Características admitidas en inquilinos externos y del personal
Hay dos maneras de configurar un inquilino de Microsoft Entra, en función de cómo la organización pretende usar el inquilino y los recursos que quiere administrar:
- Una configuración de inquilino de personal es para los empleados, las aplicaciones empresariales internas y otros recursos de la organización. La colaboración B2B se usa en un inquilino de personal para colaborar con asociados empresariales externos e invitados.
- Una configuración de inquilino externo se usa exclusivamente para escenarios de Id. externa en los que quiere publicar aplicaciones para consumidores o clientes empresariales.
En este artículo se proporciona una comparación detallada de las características y funcionalidades disponibles en los inquilinos del personal y externos.
Nota:
Durante la versión preliminar, las características o funcionalidades que requieren una licencia Premium no están disponibles en los inquilinos externos.
Comparación de las características generales
En la tabla siguiente se comparan las características y funcionalidades generales disponibles en los inquilinos externos y del personal.
Característica | Inquilino de personal | Inquilino externo |
---|---|---|
Escenarios de identidades externas | Permitir que los asociados comerciales y otros usuarios externos colaboren con tu personal. Los invitados pueden acceder de forma segura a sus aplicaciones empresariales a través de invitaciones o del registro de autoservicio. | Usa Id. externa para proteger las aplicaciones. Los consumidores y los clientes empresariales pueden acceder de manera segura a las aplicaciones de consumidor a través del registro de autoservicio. También se admiten invitaciones. |
Cuentas locales | Las cuentas locales solo se admiten para los miembros internos de tu organización. | Las cuentas locales son compatibles con: - Usuarios externos (consumidores, clientes empresariales) que usan el registro de autoservicio. - Cuentas creadas por administradores. |
Grupos | Se pueden usar grupos para administrar cuentas administrativas y de usuario. | Los grupos se pueden usar para administrar cuentas administrativas. La compatibilidad con grupos y roles de aplicación de Microsoft Entra se implementa por fases en los inquilinos de los clientes. Para obtener las últimas actualizaciones, consulta Compatibilidad con grupos y roles de aplicación. |
Roles y administradores | Los roles y administradores se admiten totalmente para cuentas administrativas y de usuario. | Los roles no se admiten para cuentas de cliente. Las cuentas de cliente no tienen acceso a los recursos del inquilino. |
ID Protection | Proporciona detección constante de riesgos a su inquilino de Microsoft Entra. Permite a las organizaciones detectar, investigar y corregir los riesgos basados en la identidad. | Un subconjunto de las detecciones de riesgo de Microsoft Entra ID Protection. Más información. |
Restablecimiento de la contraseña de autoservicio | Permite que los usuarios restablezcan su contraseña usando hasta dos métodos de autenticación (consulte la siguiente fila para conocer los métodos disponibles). | Permite que los usuarios restablezcan su contraseña a través del correo electrónico con un código de acceso de un solo uso. Más información. |
Personalización de lenguaje | Personaliza la experiencia de inicio de sesión en función del lenguaje del explorador cuando los usuarios se autentiquen en la Intranet corporativa o en las aplicaciones basadas en web. | Usa idiomas para modificar las cadenas que se muestran a los clientes como parte del proceso de inicio de sesión y registro. Más información. |
Atributos personalizados | Usa atributos de extensión de directorio para almacenar más datos en el directorio de Microsoft Entra para objetos de usuario, grupos, detalles del inquilino y entidades de servicio. | Usa atributos de extensión de directorio para almacenar más datos en el directorio del cliente para objetos de usuario. Crea atributos de usuario personalizados y agrégalos al flujo de usuario de registro. Más información. |
Apariencia de la personalización
En la tabla siguiente, se comparan las características disponibles para la búsqueda y la sensación de personalización en los inquilinos externos y del personal.
Característica | Inquilino de personal | Inquilino externo |
---|---|---|
Personalización de marca de empresa | Puedes agregar una personalización de marca de empresa que se aplique a todas estas experiencias para crear una experiencia de inicio de sesión coherente para los usuarios. | Igual que los empleados. Más información |
Personalización de lenguaje | Personalización de la experiencia de inicio de sesión por idioma del explorador. | Igual que los empleados. Más información |
Nombres de dominio personalizados | Puedes usar dominios personalizados solo para cuentas administrativas. | La característica dominio de dirección URL personalizada (versión preliminar) para inquilinos externos te permite personalizar los puntos de conexión de inicio de sesión de la aplicación con su propio nombre de dominio. |
Autenticación nativa para aplicaciones móviles | No disponible | La autenticación nativa de Microsoft Entra te permite tener un control total sobre el diseño de las experiencias de inicio de sesión de la aplicación móvil. |
Incorporación de tu propia lógica de negocios
Las extensiones de autenticación personalizadas te permiten personalizar la experiencia de autenticación de Microsoft Entra mediante la integración con sistemas externos. Una extensión de autenticación personalizada es básicamente un cliente de escucha de eventos que, cuando se activa, realiza una llamada HTTP a un punto de conexión de la API de REST donde se define tu propia lógica de negocios. En la tabla siguiente se comparan los eventos de extensiones de autenticación personalizados disponibles en los inquilinos externos y del personal.
Evento | Inquilino de personal | Inquilino externo |
---|---|---|
TokenIssuanceStart | Agrega notificaciones de sistemas externos. | Agrega notificaciones de sistemas externos. |
OnAttributeCollectionStart | No disponible | Se produce al principio del paso de colección de atributos del registro, antes de que se represente la página de colección de atributos. Puedes agregar acciones como rellenar previamente valores y mostrar un error de bloqueo. Más información |
OnAttributeCollectionSubmit | No disponible | Se produce durante el flujo de registro, después de que el usuario escriba y envíe atributos. Puedes agregar acciones como validar o modificar las entradas del usuario. Más información |
Proveedores de identidades y métodos de autenticación
En la tabla siguiente se comparan los proveedores de identidades y los métodos disponibles para la autenticación principal y la autenticación multifactor (MFA) en los inquilinos externos y los empleados.
Característica | Inquilino de personal | Inquilino externo |
---|---|---|
Proveedores de identidad para usuarios externos (autenticación principal) | Para invitados al registro de autoservicio: - Cuentas de Microsoft Entra - Cuentas de Microsoft - Código de acceso de un solo uso por correo electrónico - Federación de Google - Federación de Facebook Para usuarios invitados: - Cuentas de Microsoft Entra - Cuentas de Microsoft - Código de acceso de un solo uso por correo electrónico - Federación de Google - Federación de SAML/WS-Fed |
Para los usuarios de registro de autoservicio (consumidores y clientes empresariales): - Correo electrónico con contraseña - Código de acceso de un solo uso por correo electrónico - Federación de Google (versión preliminar) - Federación de Facebook (versión preliminar) Para invitados (versión preliminar) Invitados con un rol de directorio (por ejemplo, administradores): - Cuentas de Microsoft Entra -Cuentas de Microsoft - Código de acceso de un solo uso de correo electrónico de cuentas |
Métodos de autenticación para MFA | Para usuarios internos (empleados y administradores): - Métodos de autenticación y verificación Para invitados (registro por invitación o autoservicio) - Métodos de autenticación para invitados MFA |
Para usuarios de registro de autoservicio (consumidores y clientes empresariales) o usuarios invitados (versión preliminar) - Código de acceso de un solo uso por correo electrónico - Autenticación por SMS |
Registro de la aplicación
En la siguiente tabla se comparan las características disponibles para el Registro de aplicaciones en cada tipo de inquilino.
Característica | Inquilino de personal | Inquilino externo |
---|---|---|
Protocolo | Usuarios de confianza de SAML, OpenID Connect y OAuth2 | OpenID Connect y OAuth2 |
Tipos de cuenta admitidos | Los siguientes tipos de cuenta:
|
Usa siempre Cuentas de este directorio organizativo solo (inquilino único). |
Plataforma | Las siguientes plataformas:
|
Las siguientes plataformas:
|
Autenticación>URI de redirección | Se trata de los URI que Microsoft Entra ID acepta como destinos al devolver respuestas de autenticación (tokens) después de autenticar correctamente o cerrar la sesión de los usuarios. | Igual que los empleados. |
Autenticación>URL de cierre de sesión de canal frontal | Esta es la dirección URL a la que Microsoft Entra ID envía una solicitud para que la aplicación borre los datos de sesión del usuario. La dirección URL de cierre de sesión de canal frontal es necesaria para que el cierre de sesión único funcione correctamente. | Igual que los empleados. |
Autenticación>Concesión implícita y flujos híbridos | Solicitar un token directamente desde el punto de conexión de autorización. | Igual que los empleados. |
Certificados y secretos | Igual que los empleados. | |
Permisos de API | Agrega, quita y reemplaza permisos en una aplicación. Una vez agregados los permisos a la aplicación, los usuarios o administradores deben conceder consentimiento a los nuevos permisos. Obtén más información sobre cómo actualizar los permisos solicitados de una aplicación en Microsoft Entra ID. | Estos son los permisos permitidos: Microsoft Graph offline_access , openid y User.Read , y tus permisos delegados de Mis API. Solo un administrador puede conceder consentimiento en nombre de la organización. |
Exponer una API | Definir ámbitos personalizados permite restringir el acceso a los datos y la funcionalidad protegidos por la API. Una aplicación que requiera acceso a partes de esta API puede solicitar que un usuario o administrador dé su consentimiento a uno o varios de estos ámbitos. | Defina ámbitos personalizados para restringir el acceso a los datos y las funciones protegidas por la API. Una aplicación que requiera acceso a partes de esta API puede solicitar que el administrador dé su consentimiento a uno o varios de estos ámbitos. |
Roles de aplicación | Los roles de aplicación son roles personalizados que se usan para asignar permisos a usuarios o aplicaciones. La aplicación define y publica los roles de aplicación y los interpreta como permisos durante la autorización. | Igual que los empleados. Obtenga más información sobre cómo usar el control de acceso basado en roles para aplicaciones en un inquilino externo. |
Propietarios | Los propietarios de las aplicaciones pueden ver y editar el registro de la aplicación. Además, cualquier usuario (que podría no figurar en la lista) con privilegios de administrador para administrar cualquier aplicación (por ejemplo, Administrador de aplicaciones en la nube) puede ver y editar el registro de la aplicación. | Igual que los empleados. |
Roles y administradores | Los roles administrativos se usan para conceder acceso a acciones con privilegios en Microsoft Entra ID. | Solo se puede usar el rol de Administrador de aplicaciones en la nube para aplicaciones de inquilinos externos. Este rol concede la capacidad de crear y administrar todos los aspectos de los registros de aplicaciones y las aplicaciones empresariales. |
Asignación de usuarios y grupos a una aplicación | Cuando se requiere la asignación de usuarios, solo podrán iniciar sesión los usuarios que se asignen a la aplicación (ya sea a través de una asignación directa de usuarios o según la pertenencia a grupos). Para obtener más información, consulte Administración de la asignación de usuarios y grupos a una aplicación | No disponible |
Flujos de OpenID Connect y OAuth2
En la tabla siguiente se comparan las características disponibles para los flujos de autorización de OAuth 2.0 y OpenID Connect en cada tipo de inquilino.
Característica | Inquilino de personal | Inquilino externo |
---|---|---|
OpenID Connect | Sí | Sí |
Código de autorización | Sí | Sí |
Código de autorización con intercambio de código (PKCE) | Sí | Sí |
Credenciales de cliente | Sí | Aplicaciones v2.0 (versión preliminar) |
Autorización de dispositivos | Sí | Vista previa |
Flujos en nombre de | Sí | Sí |
Concesión implícita | Sí | Sí |
Credenciales de contraseña del propietario del recurso | Sí | No, para las aplicaciones móviles, use la autenticación nativa. |
URL de autoridad en flujos de OpenID Connect y OAuth2
La URL de autoridad es una dirección URL que indica un directorio desde el que MSAL puede solicitar tokens. Para las aplicaciones de inquilinos externos, use siempre el siguiente formato: <nombre-inquilino>.ciamlogin.com
El siguiente JSON muestra un ejemplo de un archivo appsettings.json de aplicación de .NET con una URL de autoridad:
{
"AzureAd": {
"Authority": "https://<Enter_the_Tenant_Subdomain_Here>.ciamlogin.com/",
"ClientId": "<Enter_the_Application_Id_Here>"
}
}
Acceso condicional
En la siguiente tabla se comparan las características disponibles para el acceso condicional en cada tipo de inquilino.
Característica | Inquilino de personal | Inquilino externo |
---|---|---|
Assignments | Usuarios, grupos e identidades de carga de trabajo | Inclusión de todos los usuarios y exclusión de usuarios y grupos. Para obtener más información, consulte Adición de autenticación multifactor (MFA) a una aplicación. |
Recursos de destino | ||
Condiciones | ||
Conceder | Conceder o bloquear el acceso a los recursos | |
Sesión | Controles de sesión | No disponible |
Administración de cuentas
En la siguiente tabla se comparan las características disponibles para la administración de usuarios en cada tipo de inquilino. Como se indica en la tabla, determinados tipos de cuenta se crean mediante invitación o registro de autoservicio. Un administrador de usuarios del inquilino también puede crear cuentas a través del Centro de administración.
Característica | Inquilino de personal | Inquilino externo |
---|---|---|
Tipos de cuentas |
|
|
Administrar la información del perfil de usuario | Mediante programación y mediante el Centro de administración de Microsoft Entra. | Igual que los empleados. |
Restablecer la contraseña de usuario | Los administradores pueden restablecer la contraseña de un usuario si se olvida la contraseña, si el usuario bloquea su dispositivo o si nunca ha recibido una contraseña. | Igual que los empleados. |
Restauración o eliminación de un usuario recientemente eliminado | Después de eliminar a un usuario, la cuenta permanece en estado de suspensión durante 30 días. Durante ese período de 30 días, la cuenta de usuario se puede restaurar, junto con todas sus propiedades. | Igual que los empleados. |
Deshabilitar cuentas | Impedir que el nuevo usuario pueda iniciar sesión. | Igual que los empleados. |
Protección con contraseña
En la siguiente tabla, se comparan las características disponibles para la protección de contraseñas en cada tipo de inquilino.
Característica | Inquilino de personal | Inquilino externo |
---|---|---|
Bloqueo inteligente | El bloqueo inteligente ayuda a bloquear a los actores malintencionados que intentan adivinar las contraseñas de los usuarios o que usan métodos de fuerza bruta para acceder. | Igual que los empleados. |
Contraseñas prohibidas personalizadas | La lista de contraseñas prohibidas personalizadas de Microsoft Entra permite agregar cadenas específicas para evaluar y bloquear. | No disponible. |
Personalización de tokens
En la siguiente tabla, se comparan las características disponibles para la personalización de tokens en cada tipo de inquilino.
Característica | Inquilino de personal | Inquilino externo |
---|---|---|
Asignación de notificaciones | Personalización de notificaciones emitidas en JSON Web Token (JWT) para aplicaciones empresariales | Igual que los empleados. Las notificaciones opcionales deben configurarse a través de Atributos y Notificaciones. |
Transformación de notificaciones | Aplique una transformación a un atributo de usuario emitido en el token web JSON (JWT) para aplicaciones empresariales. | Igual que los empleados. |
Proveedor de notificaciones personalizado | Extensión de autenticación personalizada que llama a una API de REST externa para capturar notificaciones de sistemas externos. | Igual que los empleados. Más información |
Grupos de seguridad | Configuración de notificaciones opcionales de grupos. | Configuración de notificaciones opcionales de grupos: limitado al identificador de objeto de grupo. |
Vigencia de los tokens | Puede especificar la duración de los tokens de seguridad emitidos por Microsoft Entra ID. | Igual que los empleados. |
Microsoft Graph API
Todas las características que se admiten en inquilinos externos también se admiten para la automatización a través de las API de Microsoft Graph. Algunas características que están en versión preliminar en inquilinos externos pueden estar disponibles con carácter general a través de Microsoft Graph. Para obtener más información, consulte Administrar la identidad y el acceso a la red de Microsoft Entra mediante Microsoft Graph.