Podporované funkce pracovních sil a externích tenantů

Článek
12/03/2024

Existují dva způsoby konfigurace tenanta Microsoft Entra v závislosti na tom, jak organizace hodlá tenanta používat, a prostředky, které chtějí spravovat:

Konfigurace tenanta pracovních sil je určená pro zaměstnance, interní obchodní aplikace a další organizační prostředky. Spolupráce B2B se používá v tenantovi pracovních sil ke spolupráci s externími obchodními partnery a hosty.
Konfigurace externího tenanta se používá výhradně pro scénáře externího ID, ve kterých chcete publikovat aplikace pro spotřebitele nebo firemní zákazníky.

Tento článek poskytuje podrobné porovnání funkcí a možností dostupných v pracovních silách a externích tenantech.

Poznámka:

Ve verzi Preview nejsou funkce nebo možnosti, které vyžadují licenci Premium, dostupné v externích tenantech.

Obecné porovnání funkcí

Následující tabulka porovnává obecné funkce a možnosti dostupné pracovníkům a externím tenantům.

Funkce	Tenant pracovních sil	Externí tenant
Scénář externích identit	Umožňuje obchodním partnerům a dalším externím uživatelům spolupracovat s vašimi pracovníky. Hosté můžou bezpečně přistupovat k firemním aplikacím prostřednictvím pozvánek nebo samoobslužné registrace.	K zabezpečení aplikací použijte externí ID. Spotřebitelé a firemní zákazníci můžou bezpečně přistupovat k vašim uživatelským aplikacím prostřednictvím samoobslužné registrace. Podporují se také pozvánky.
Místní účty	Místní účty jsou podporované jenom pro interní členy vaší organizace.	Místní účty jsou podporované pro: - Externí uživatelé (spotřebitelé, firemní zákazníci), kteří používají samoobslužnou registraci. – Účty vytvořené správci.
Skupiny	Skupiny je možné použít ke správě účtů pro správu a uživatele.	Skupiny je možné použít ke správě účtů pro správu. Podpora skupin Microsoft Entra a aplikačních rolí probíhá postupně do tenantů zákazníků. Nejnovější aktualizace najdete v tématu Podpora skupin a rolí aplikací.
Role a správci	Role a správci jsou plně podporovány pro účty pro správu a uživatele.	U zákaznických účtů se role nepodporují. Zákaznické účty nemají přístup k prostředkům tenanta.
Ochrana ID	Poskytuje průběžné zjišťování rizik pro vašeho tenanta Microsoft Entra. Umožňuje organizacím zjišťovat, zkoumat a opravovat rizika založená na identitách.	K dispozici je podmnožina detekce rizik microsoft Entra ID Protection. Další informace.
správa ID	Umožňuje organizacím řídit životní cyklus identit a přístupu a zabezpečit privilegovaný přístup. Další informace.	Není k dispozici
Samoobslužné resetování hesla	Umožňuje uživatelům resetovat heslo pomocí až dvou metod ověřování (viz další řádek dostupných metod).	Umožňuje uživatelům resetovat heslo pomocí e-mailu s jednorázovým heslem. Další informace.
Vlastní nastavení jazyka	Přizpůsobte si přihlašovací prostředí na základě jazyka prohlížeče, když se uživatelé ověřují ve vašich podnikových intranetových nebo webových aplikacích.	Pomocí jazyků můžete upravit řetězce zobrazené zákazníkům v rámci procesu přihlašování a registrace. Další informace.
Vlastní atributy	Pomocí atributů rozšíření adresáře můžete do adresáře Microsoft Entra ukládat další data pro uživatelské objekty, skupiny, podrobnosti tenanta a instanční objekty.	Pomocí atributů rozšíření adresáře můžete ukládat více dat v adresáři zákazníka pro objekty uživatele. Vytvořte vlastní atributy uživatele a přidejte je do toku uživatele pro registraci. Další informace.
cen	Ceny měsíčních aktivních uživatelů (MAU) pro B2B spolupráci s externími hosty (UserType=Guest).	Ceny pro měsíčně aktivní uživatele (MAU) pro všechny uživatele v externím tenant bez ohledu na roli nebo typ uživatele.

Přizpůsobení vzhledu a chování

Následující tabulka porovnává funkce, které jsou k dispozici pro vzhled a chování pracovních sil a externích tenantů.

Funkce	Tenant pracovních sil	Externí tenant
Branding společnosti	Můžete přidat firemní branding , který se vztahuje na všechna tato prostředí, a vytvořit tak konzistentní přihlašovací prostředí pro vaše uživatele.	Stejně jako pracovníci. Další informace
Vlastní nastavení jazyka	Přizpůsobte si přihlašovací prostředí podle jazyka prohlížeče.	Stejně jako pracovníci. Další informace
Vlastní názvy domén	Vlastní domény můžete používat jenom pro účty pro správu.	Funkce vlastní domény URL pro externí tenanty umožňuje přizpůsobení koncových bodů přihlašování aplikací pomocí vlastního názvu domény.
Nativní ověřování pro mobilní aplikace	Není k dispozici	Nativní ověřování Microsoft Entra umožňuje mít plnou kontrolu nad návrhem přihlašování k mobilní aplikaci.

Přidání vlastní obchodní logiky

Vlastní rozšíření ověřování umožňují přizpůsobit prostředí ověřování Microsoft Entra integrací s externími systémy. Rozšíření vlastního ověřování je v podstatě naslouchací proces událostí, který při aktivaci volá koncový bod rozhraní REST API, kde definujete vlastní obchodní logiku. Následující tabulka porovnává události vlastních rozšíření ověřování, které jsou k dispozici v pracovních silách a externích tenantech.

Událost	Tenant pracovních sil	Externí tenant
TokenIssuanceStart	Přidání deklarací identity z externích systémů	Přidání deklarací identity z externích systémů
OnAttributeCollectionStart	Není k dispozici	Nastane na začátku kroku kolekce atributů registrace před vykreslením stránky kolekce atributů. Můžete přidat akce, jako jsou předvyplnění hodnot a zobrazení blokující chyby. Další informace
OnAttributeCollectionSubmit	Není k dispozici	Nastane během procesu registrace, jakmile uživatel zadá a odešle atributy. Můžete přidat akce, jako je ověření nebo úprava položek uživatele. Další informace

Zprostředkovatelé identit a metody ověřování

Následující tabulka porovnává zprostředkovatele identit a metody dostupné pro primární ověřování a vícefaktorové ověřování (MFA) u pracovníků a externích tenantů.

Funkce	Tenant pracovních sil	Externí tenant
Zprostředkovatelé identit pro externí uživatele (primární ověřování)	Pro hosty samoobslužné registrace – účty Microsoft Entra – Účty Microsoft – Jednorázové heslo – Federace Google – Federace Facebooku Pozvaní hosté – účty Microsoft Entra – Účty Microsoft – Jednorázové heslo k e-mailu – Federace Google – SAML/WS-Fed	Pro uživatele samoobslužné registrace (uživatelé, firemní zákazníci) - e-mail s heslem - E-mail jednorázovým heslem - federace Google (Preview) - federace Facebooku (Preview) - federace Apple (Preview) - federace OIDC (Preview) U pozvaných hostů (Preview) Hosté pozvaní s rolí adresáře (například správci): - Účty Microsoft Entra – Jednorázové heslo k e-mailu účtů - Microsoft
Metody ověřování pro vícefaktorové ověřování	Pro interní uživatele (zaměstnance a správce) - Metody ověřování a ověřování pro hosty (pozvané nebo samoobslužné registrace) - pro vícefaktorové ověřování typu host	Pro uživatele samoobslužné registrace (uživatele, firemní zákazníky) nebo pozvané uživatele (Preview) - E-mail s jednorázovým heslem SMS -

Registrace aplikace

Následující tabulka porovnává funkce dostupné pro registraci aplikací v každém typu tenanta.

Funkce	Tenant pracovních sil	Externí tenant
Protokol	Předávající strany SAML, OpenID Connect a OAuth2	OpenID Connect a OAuth2
Podporované typy účtů	Následující typy účtů: Účty pouze v tomto organizačním adresáři (jeden tenant) Účty v libovolném organizačním adresáři (libovolný tenant Microsoft Entra – Víceklient) Účty v libovolném organizačním adresáři (jakýkoli tenant Microsoft Entra – Víceklient) a osobní účty Microsoft (například Skype, Xbox) Pouze osobní účty Microsoft	Vždy používejte účty pouze v tomto organizačním adresáři (jeden tenant).
Platforma	Následující platformy: Veřejný klient/nativní (mobilní a desktopová verze) Web Jednostránkové aplikace (SPA)	Následující platformy: Veřejný klient (mobilní a desktopová verze) Nativní ověřování – mobilní zařízení Web Jednostránkové aplikace (SPA)
Identifikátory URI pro přesměrování ověřování>	Identifikátor URI Microsoft Entra ID přijímá jako cíle při vracení odpovědí na ověřování (tokenů) po úspěšném ověření nebo odhlášení uživatelů.	Stejně jako pracovníci.
Adresa URL odhlášení z front-kanálu ověřování>	Tato adresa URL je místo, kde Microsoft Entra ID odesílá požadavek, aby aplikace vymaže data relace uživatele. Aby jednotné odhlášení fungovalo správně, je vyžadována adresa URL odhlášení front-channel.	Stejně jako pracovníci.
Implicitní udělení ověřování>a hybridní toky	Požádejte o token přímo z autorizačního koncového bodu.	Stejně jako pracovníci.
Certifikáty a tajné kódy	Certifikát Tajné kódy klienta Federované přihlašovací údaje	Stejně jako pracovníci.
Oprávnění rozhraní API	Přidání, odebrání a nahrazení oprávnění k aplikaci Po přidání oprávnění do aplikace musí uživatelé nebo správci udělit souhlas s novými oprávněními. Přečtěte si další informace o aktualizaci požadovaných oprávnění aplikace v ID Microsoft Entra.	Následující oprávnění jsou povolená: Microsoft Graph `offline_access`, `openid`a `User.Read` vaše delegovaná oprávnění rozhraní API. Jménem organizace může souhlasit jenom správce.
Zveřejnění rozhraní API	Definujte vlastní obory, které omezují přístup k datům a funkcím chráněným rozhraním API. Aplikace, která vyžaduje přístup k částem tohoto rozhraní API, může požádat uživatele nebo správce o souhlas s jedním nebo více z těchto oborů.	Definujte vlastní obory, které omezují přístup k datům a funkcím chráněným rozhraním API. Aplikace, která vyžaduje přístup k částem tohoto rozhraní API, může požádat správce o souhlas s jedním nebo více z těchto oborů.
Role aplikací	Role aplikací jsou vlastní role pro přiřazení oprávnění uživatelům nebo aplikacím. Aplikace definuje a publikuje aplikační role a během autorizace je interpretuje jako oprávnění.	Stejně jako pracovníci. Přečtěte si další informace o používání řízení přístupu na základě role pro aplikace v externím tenantovi.
Majitelé	Vlastníci aplikací můžou zobrazit a upravit registraci aplikace. Kromě toho může každý uživatel (který nemusí být uveden) s oprávněními správce ke správě jakékoli aplikace (například Správce cloudových aplikací), může zobrazit a upravit registraci aplikace.	Stejně jako pracovníci.
Role a správci	Role pro správu se používají k udělení přístupu k privilegovaným akcím v ID Microsoft Entra.	Pro aplikace v externích tenantech je možné použít jenom roli správce cloudových aplikací. Tato role umožňuje vytvářet a spravovat všechny aspekty registrace aplikací a podnikových aplikací.
Přiřazení uživatelů a skupin k aplikaci	Pokud se vyžaduje přiřazení uživatelů, mohou se přihlásit jenom ti uživatelé, které k aplikaci přiřadíte (buď přímým přiřazením uživatelů, nebo na základě členství ve skupinách). Další informace najdete v tématu správa přiřazení uživatelů a skupin k aplikaci.	Není k dispozici

Toky OpenID Connect a OAuth2

Následující tabulka porovnává funkce dostupné pro toky autorizace OAuth 2.0 a OpenID Connect v každém typu tenanta.

Funkce	Tenant pracovních sil	Externí tenant
OpenID Connect	Ano	Ano
Autorizační kód	Ano	Ano
Autorizační kód pomocí výměny kódu (PKCE)	Ano	Ano
Přihlašovací údaje klienta	Ano	Aplikace v2.0 (Preview)
Autorizace zařízení	Ano	Preview
Tok On-Behalf-Of	Ano	Ano
Implicitní udělení	Ano	Ano
Přihlašovací údaje pro heslo vlastníka prostředku	Ano	Ne, pro mobilní aplikace používejte nativní ověřování.

Adresa URL autority v tocích OpenID Connect a OAuth2

Adresa URL autority je adresa URL, která označuje adresář, ze kterého může msAL požadovat tokeny. Pro aplikace v externích tenantech vždy použijte následující formát: <název>_tenanta.ciamlogin.com

Následující json ukazuje příklad souboru aplikace .NET appsettings.json s adresou URL autority:

{
    "AzureAd": {
        "Authority": "https://<Enter_the_Tenant_Subdomain_Here>.ciamlogin.com/",
        "ClientId": "<Enter_the_Application_Id_Here>"
    }
}

Podmíněný přístup

Následující tabulka porovnává funkce dostupné pro podmíněný přístup v každém typu tenanta.

Funkce	Tenant pracovních sil	Externí tenant
Přiřazení	Uživatelé, skupiny a identity úloh	Zahrnout všechny uživatele a vyloučit uživatele a skupiny. Další informace najdete v tématu Přidání vícefaktorového ověřování (MFA) do aplikace.
Cílové prostředky	Cloudové aplikace Akce uživatelů Globální zabezpečený přístup Kontext ověřování	Všechny prostředky, vybrané aplikace nebo filtrujte aplikace. Kontext ověřování
Podmínky	Riziko přihlášení Riziko uživatele Platformy zařízení Umístění Klientské aplikace Filtrování pro zařízení	Riziko přihlášení Riziko uživatele Platformy zařízení Umístění
Grant	Udělení nebo blokování přístupu k prostředkům	Blokování přístupu Vyžadovat vícefaktorové ověřování Vyžadovat resetování hesla
Relace	Ovládací prvky relace	Není k dispozici

Správa účtů

Následující tabulka porovnává funkce dostupné pro správu uživatelů v každém typu tenanta. Jak je uvedeno v tabulce, určité typy účtů se vytvářejí prostřednictvím pozvánky nebo samoobslužné registrace. Správce uživatele v tenantovi může také vytvářet účty prostřednictvím Centra pro správu.

Funkce	Tenant pracovních sil	Externí tenant
Typy účtů	Interní členové, například zaměstnanci a správci. Externí uživatelé, kteří jsou pozvaní nebo používají samoobslužnou registraci.	Interní uživatelé ve vašem tenantovi, například správci. Externí spotřebitelé a firemní zákazníci, kteří používají samoobslužnou registraci nebo kteří jsou vytvořená správci. Externí uživatelé, kteří jsou pozvaní (Preview).
Správa informací o profilu uživatele	Programově a pomocí Centra pro správu Microsoft Entra.	Stejně jako pracovníci.
Resetování hesla uživatele	Správci můžou resetovat heslo uživatele, pokud je heslo zapomenuté, pokud se uživatel zamkne ze zařízení nebo pokud uživatel nikdy nepřijal heslo.	Stejně jako pracovníci.
Obnovení nebo odebrání nedávno odstraněných uživatelů	Po odstranění uživatele zůstane jeho účet po dobu 30 dnů v pozastaveném stavu. Během tohoto 30denního období je možné uživatelský účet obnovit i se všemi jeho vlastnostmi.	Stejně jako pracovníci.
Zakázání účtů	Zabránit tomu, aby se nový uživatel mohl přihlásit.	Stejně jako pracovníci.

Ochrana hesel

Následující tabulka porovnává funkce dostupné pro ochranu heslem v každém typu tenanta.

Funkce	Tenant pracovních sil	Externí tenant
Inteligentní uzamčení	Inteligentní uzamčení pomáhá zamknout chybné aktéry, kteří se snaží uhodnout hesla uživatelů nebo použít metody hrubou silou, aby se dostaly do systému.	Stejně jako pracovníci.
Vlastní zakázaná hesla	Seznam vlastních zakázaných hesel společnosti Microsoft Entra umožňuje přidat konkrétní řetězce pro vyhodnocení a blokování.	Není k dispozici.

Přizpůsobení tokenu

Následující tabulka porovnává funkce, které jsou k dispozici pro přizpůsobení tokenu v každém typu tenanta.

Funkce	Tenant pracovních sil	Externí tenant
Mapování deklarací identity	Přizpůsobte deklarace identity vydané ve webovém tokenu JSON (JWT) pro podnikové aplikace.	Stejně jako pracovníci. Volitelné deklarace identity musí být nakonfigurovány prostřednictvím atributů a deklarací identity.
Transformace deklarací identity	Použijte transformaci na atribut uživatele vydaný ve webovém tokenu JSON (JWT) pro podnikové aplikace.	Stejně jako pracovníci.
Vlastní zprostředkovatel deklarací identity	Vlastní rozšíření ověřování, které volá externí rozhraní REST API pro načtení deklarací identity z externích systémů	Stejně jako pracovníci. Další informace
Skupiny zabezpečení	Konfigurace volitelných deklarací identity skupin	Konfigurace volitelných deklarací identity skupin je omezená na ID objektu skupiny.
Životnost tokenů	Můžete zadat životnost tokenů zabezpečení vydaných ID Microsoft Entra.	Stejně jako pracovníci.

Rozhraní Microsoft Graph API

Všechny funkce podporované v externích tenantech jsou také podporovány pro automatizaci prostřednictvím rozhraní Microsoft Graph API. Některé funkce, které jsou ve verzi Preview v externích tenantech, můžou být obecně dostupné prostřednictvím Microsoft Graphu. Další informace najdete v tématu Správa identit Microsoft Entra a síťového přístupu pomocí Microsoft Graphu.

Další kroky

Plánování CIAM

Sdílet prostřednictvím