Funzionalità supportate nei tenant esterni e del personale
Esistono due modi per configurare un tenant di Microsoft Entra, a seconda del modo in cui l'organizzazione intende usare il tenant e le risorse che vuole gestire:
- Una configurazione del tenant della forza lavoro è destinata ai dipendenti, alle app aziendali interne e ad altre risorse organizzative. La collaborazione B2B viene usata in un tenant del personale per collaborare con partner commerciali e ospiti esterni.
- Una configurazione del tenant esterno viene utilizzata esclusivamente per scenari di External ID in cui si desidera pubblicare app per i clienti consumer o business.
Questo articolo offre un confronto dettagliato delle caratteristiche e delle funzionalità disponibili nei tenant del personale e nei tenant esterni.
Nota
Durante l'anteprima, le funzionalità che richiedono una licenza Premium non sono disponibili nei tenant esterni.
Confronto generale delle funzionalità
La tabella seguente confronta le caratteristiche generali e le funzionalità disponibili nei tenant del personale e in quelli esterni.
| Funzionalità | Tenant del personale | Tenant esterno |
|---|---|---|
| Scenari di identità esterne | Consentire ai partner aziendali e ad altri utenti esterni di collaborare con il personale. Gli utenti possono accedere in modo sicuro alle applicazioni aziendali tramite inviti o iscrizione auto-servizio. | Usare l'ID esterno per proteggere le applicazioni. I consumer e i clienti aziendali possono accedere in modo sicuro alle app consumer tramite l'iscrizione self-service. Sono supportati anche gli inviti. |
| Account locali | Gli account locali sono supportati solo per i membri interni dell'organizzazione. | Gli account locali sono supportati per gli utenti esterni (consumer, clienti aziendali) che usano l'iscrizione self-service. - Account creati dagli amministratori. |
| Gruppi | I gruppi possono essere usati per gestire gli account amministrativi e utente. | I gruppi possono essere usati per gestire gli account amministrativi. Il supporto per i gruppi di Microsoft Entra e i ruoli applicativi viene gradualmente introdotto nei tenant dei clienti. Per gli aggiornamenti più recenti, vedere Supporto di gruppi e ruoli applicazione. |
| Ruoli e amministratori | I ruoli e gli amministratori sono completamente supportati per gli account amministrativi e utente. | I ruoli non sono supportati per gli account cliente. Gli account cliente non hanno accesso alle risorse dell'affittuario. |
| Protezione ID | Fornisce il rilevamento continuo dei rischi per il tenant di Microsoft Entra. Consente alle organizzazioni di individuare, analizzare e correggere i rischi basati sulle identità. | È disponibile un sottoinsieme dei rilevamenti dei rischi di Microsoft Entra ID Protection. Altre informazioni. |
| ID Governance | Consente alle organizzazioni di gestire i cicli di vita delle identità e degli accessi e proteggere l'accesso con privilegi. Altre informazioni. | Non disponibile |
| Reimpostazione autonoma della password | Consentire agli utenti di reimpostare la password usando fino a due metodi di autenticazione (vedere la riga successiva per i metodi disponibili). | Consentire agli utenti di reimpostare la password usando la posta elettronica con passcode monouso. Altre informazioni. |
| Personalizzazione della lingua | Personalizzare l'esperienza di accesso in base alla lingua del browser quando gli utenti eseguono l'autenticazione nelle applicazioni intranet aziendali o basate sul Web. | Usa le lingue per modificare le stringhe che vengono visualizzate ai tuoi clienti come parte del processo di accesso e registrazione. Altre informazioni. |
| Attributi personalizzati | Usare gli attributi di estensione della directory per archiviare più dati nella directory Microsoft Entra relativi a oggetti utente, gruppi, dettagli del tenant e principali del servizio. | Usare gli attributi dell'estensione della directory per archiviare più dati nella directory del cliente per gli oggetti utente. Creare attributi utente personalizzati e aggiungerli al flusso utente di iscrizione. Altre informazioni. |
| prezzi | prezzi per utenti attivi mensili (MAU) per ospiti esterni della collaborazione B2B (UserType=Guest). | Tariffazione degli utenti attivi mensili (MAU) per tutti gli utenti nel tenant esterno, indipendentemente dal ruolo o dal TipoUtente. |
Personalizzazione del look e dell'esperienza
La tabella seguente confronta le funzionalità disponibili per la personalizzazione dell'aspetto nella forza lavoro e nei tenant esterni.
| Funzionalità | Tenant del personale | Tenant esterno |
|---|---|---|
| Immagine aziendale | È possibile aggiungere la personalizzazione aziendale applicabile a tutte queste esperienze per creare un'esperienza di accesso coerente per gli utenti. | Uguale alla forza lavoro. Ulteriori informazioni |
| Personalizzazione della lingua | Personalizzare l'esperienza di accesso in base alla lingua del browser. | Uguale alla forza lavoro. Ulteriori informazioni |
| Nomi di dominio personalizzati | È possibile usare domini personalizzati solo per gli account amministrativi. | La funzionalità di dominio URL personalizzato per i tenant esterni consente di marchiare i punti di accesso dell'app con il proprio nome di dominio. |
| Autenticazione nativa per le app per dispositivi mobili | Non disponibile | L'autenticazione nativa di Microsoft Entra consente di avere il controllo completo sulla progettazione delle esperienze di accesso dell'applicazione per dispositivi mobili. |
Aggiunta della propria logica aziendale
Le estensioni di autenticazione personalizzate consentono di personalizzare l'esperienza di autenticazione di Microsoft Entra attraverso l'integrazione con sistemi esterni. Un'estensione di autenticazione personalizzata è essenzialmente un listener di eventi che, quando attivato, effettua una chiamata HTTP a un endpoint API REST in cui si definisce la propria logica di business. La tabella seguente confronta gli eventi delle estensioni di autenticazione personalizzate disponibili nei tenant esterni e del personale.
| Evento | Tenant del personale | Tenant esterno |
|---|---|---|
| TokenIssuanceStart | Aggiungere attestazioni da sistemi esterni. | Aggiungere attestazioni da sistemi esterni. |
| OnAttributeCollectionStart | Non disponibile | Si verifica all'inizio del processo di raccolta degli attributi durante l'iscrizione, prima che venga visualizzata la pagina di raccolta degli attributi. È possibile aggiungere azioni come la precompilazione dei valori e visualizzare un errore bloccante. Ulteriori informazioni |
| OnAttributeCollectionSubmit | Non disponibile | Si verifica durante il flusso di iscrizione, dopo che l'utente immette e invia gli attributi. È possibile aggiungere azioni come la convalida o la modifica delle voci dell'utente. Ulteriori informazioni |
| OnOtpSend | Non disponibile | Configurare un provider di posta elettronica personalizzato per l'invio di eventi con passcode monouso. Ulteriori informazioni |
Provider di identità e metodi di autenticazione
La tabella seguente confronta i fornitori di identità e i metodi disponibili per l'autenticazione primaria e l'autenticazione a più fattori (MFA) nei tenant dei dipendenti ed esterni.
| Funzionalità | Tenant del personale | Tenant esterno |
|---|---|---|
| Provider di identità per utenti esterni (autenticazione primaria) |
Per gli utenti guest con registrazione self-service - Account Microsoft Entra - Account Microsoft - Passcode monouso tramite email - Federazione Google - Federazione Facebook Per gli utenti guest invitati - Account Microsoft Entra - Account Microsoft - Passcode monouso tramite email - Federazione Google - Federazione SAML/WS-Fed |
Per gli utenti di iscrizione self-service (consumer, clienti aziendali) - Posta elettronica con password - passcode monouso tramite posta elettronica - federazione di Google (anteprima) - federazione di Facebook (anteprima) - federazione Apple (anteprima) - federativa OIDC Per gli utenti guest invitati (anteprima) Utenti guest invitati con un ruolo della directory (ad esempio, amministratori): - Account Microsoft Entra - Account Microsoft - Passcode monouso inviato tramite email - SAML/WS-Fed federazione |
| Metodi di autenticazione per MFA |
Per gli utenti interni (dipendenti e amministratori) - Metodi di autenticazione e verifica Per gli utenti guest (invitati o con iscrizione self-service) - Metodi di autenticazione per l'autenticazione a più fattori per utenti guest |
Per gli utenti con iscrizione self-service (consumer, clienti aziendali) o utenti invitati (anteprima) - Passcode monouso tramite email - Autenticazione basata su SMS |
Registrazione dell'applicazione
Nella tabella seguente vengono confrontate le funzionalità disponibili per la registrazione dell'applicazione in ogni tipo di tenant.
| Funzionalità | Tenant del personale | Tenant esterno |
|---|---|---|
| Protocollo | Parti fiduciarie SAML, OpenID Connect e OAuth2 | parti affidate SAML, OpenID Connect e OAuth2 |
| Tipi di account supportati | I seguenti tipi di account:
|
Usare sempre Account solo in questa directory organizzativa (Singolo tenant). |
| Piattaforma | Le piattaforme seguenti:
|
Le piattaforme seguenti:
|
| Autenticazione>URI di reindirizzamento | Microsoft Entra ID accetta gli URI come destinazioni quando restituisce le risposte di autenticazione (token) dopo aver autenticato con successo o disconnesso gli utenti. | Uguale alla forza lavoro. |
| URL di disconnessione del canale frontale di autenticazione>autenticazione | Questo URL è il punto in cui Microsoft Entra ID invia una richiesta per cancellare i dati della sessione dell'utente. L'URL di logout front-channel è necessaria per il corretto funzionamento del Single Sign-Out. | Uguale alla forza lavoro. |
| Autenticazione>Concessione implicita e flussi ibridi | Richiedere un token direttamente dall'endpoint di autorizzazione. | Uguale alla forza lavoro. |
| Certificati e segreti | Uguale alla forza lavoro. | |
| Autorizzazioni API | Aggiungere, rimuovere e sostituire le autorizzazioni per un'applicazione. Dopo l'aggiunta delle autorizzazioni all'applicazione, gli utenti o gli amministratori devono concedere il consenso alle nuove autorizzazioni. Altre informazioni sull'aggiornamento delle autorizzazioni richieste di un'app in Microsoft Entra ID. | Di seguito sono riportate le autorizzazioni consentite: Microsoft Graph offline_access, openid e User.Read e le autorizzazioni delegate delle API personali. Solo un amministratore può fornire il consenso per conto dell'organizzazione. |
| Esporre un'API | Definire ambiti personalizzati per limitare l'accesso ai dati e alle funzionalità protetti dall'API. Un'applicazione che richiede l'accesso a parti di questa API può richiedere il consenso di un utente o di un amministratore a uno o più di questi ambiti. | Definire ambiti personalizzati per restringere l'accesso ai dati e alle funzionalità protette dall'API. Un'applicazione che richiede l'accesso a parti di questa API può richiedere il consenso dell'amministratore a uno o più di questi ambiti. |
| Ruoli dell'app | I ruoli app sono ruoli personalizzati usati per assegnare autorizzazioni a utenti o app. L'applicazione definisce e pubblica i ruoli app e li interpreta come permessi durante l'autorizzazione. | Uguale alla forza lavoro. Altre informazioni sull'uso del controllo degli accessi in base al ruolo per le applicazioni in un tenant esterno. |
| Proprietari | I proprietari delle applicazioni possono visualizzare e modificare la registrazione dell'applicazione. Inoltre, qualsiasi utente (che potrebbe non essere elencato) con privilegi amministrativi per gestire qualsiasi applicazione (ad esempio, Amministratore applicazione cloud) può visualizzare e modificare la registrazione dell'applicazione. | Uguale alla forza lavoro. |
| Ruoli e amministratori | I ruoli amministrativi vengono usati per concedere l'accesso per le azioni con privilegi in Microsoft Entra ID. | Solo il ruolo Amministratore applicazione cloud può essere usato per le app in tenant esterni. Questo ruolo concede la possibilità di creare e gestire tutti gli aspetti delle registrazioni delle applicazioni e delle applicazioni aziendali. |
| Assegnazione di utenti e gruppi a un'app | Quando è richiesta l'assegnazione utente, solo gli utenti assegnati all'applicazione (tramite assegnazione utente diretta o in base all'appartenenza al gruppo) potranno eseguire l'accesso. Per altre informazioni, vedere Gestire l'assegnazione di utenti e gruppi a un'applicazione | Non disponibile |
Flussi OpenID Connect e OAuth2
La tabella seguente confronta le funzionalità disponibili per i flussi di autorizzazione OAuth 2.0 e OpenID Connect in ogni tipo di tenant.
| Funzionalità | Tenant del personale | Tenant esterno |
|---|---|---|
| OpenID Connect | Sì | Sì |
| Codice di autorizzazione | Sì | Sì |
| Codice di autorizzazione con Code Exchange (PKCE) | Sì | Sì |
| Credenziali del client | Sì | Applicazioni v2.0 (anteprima) |
| Autorizzazione dispositivo | Sì | Anteprima |
| Flusso Per Conto Di | Sì | Sì |
| Concessione implicita | Sì | Sì |
| Credenziali password del proprietario della risorsa | Sì | No, per le applicazioni per dispositivi mobili, usare l'autenticazione nativa. |
URL dell’ autorità nei flussi OpenID Connect e OAuth2
L'URL dell'autorità è un URL che indica una directory da cui MSAL può richiedere token. Per le app nei tenant esterni, usare sempre il formato seguente: <tenant-name>.ciamlogin.com
Il codice JSON seguente mostra un esempio di un file di applicazione .NET appsettings.json con un URL dell'autorità:
{
"AzureAd": {
"Authority": "https://<Enter_the_Tenant_Subdomain_Here>.ciamlogin.com/",
"ClientId": "<Enter_the_Application_Id_Here>"
}
}
Accesso condizionale
La tabella seguente confronta le funzionalità disponibili per l'accesso condizionale in ogni tipo di tenant.
| Funzionalità | Tenant del personale | Tenant esterno |
|---|---|---|
| Assegnazioni | Utenti, gruppi e identità del carico di lavoro | Includere tutti gli utenti ed escludere utenti e gruppi. Per altre informazioni, vedere Aggiungere l'autenticazione a più fattori (MFA) a un'app. |
| Risorse di destinazione |
|
|
| Condizioni | ||
| Concessione | Concedere o bloccare l'accesso alle risorse | |
| Sessione | Controlli di sessione | Non disponibile |
Gestione dell'account
La tabella seguente confronta le funzionalità disponibili per la gestione degli utenti in ogni tipo di tenant. Come indicato nella tabella, alcuni tipi di account vengono creati tramite l'invito o l'iscrizione self-service. Un amministratore utente nel tenant può anche creare account tramite l'interfaccia di amministrazione.
| Funzionalità | Tenant del personale | Tenant esterno |
|---|---|---|
| Tipi di account |
|
|
| Gestire le informazioni sul profilo utente | Programmaticamente e tramite l'interfaccia di amministrazione di Microsoft Entra. | Uguale alla forza lavoro. |
| Reimpostare la password di un utente | Se un utente dimentica la password e non può accedere a un dispositivo o se non ha mai ricevuto la password, gli amministratori possono reimpostarla. | Uguale alla forza lavoro. |
| Ripristinare o rimuovere gli utenti eliminati di recente | Dopo aver eliminato un utente, l'account rimane in uno stato di sospensione per 30 giorni. Durante tale intervallo di 30 giorni, l'account utente può essere ripristinato, con tutte le relative proprietà. | Uguale alla forza lavoro. |
| Disabilita account | Impedire al nuovo utente di accedere. | Uguale alla forza lavoro. |
Password di protezione
La tabella seguente confronta le funzionalità disponibili per la protezione delle password in ogni tipo di tenant.
| Funzionalità | Tenant del personale | Tenant esterno |
|---|---|---|
| Blocco intelligente | La funzione di blocco intelligente blocca gli attori malintenzionati che tentano di indovinare le password degli utenti o usano metodi di forza bruta per ottenere l'accesso | Uguale alla forza lavoro. |
| Password vietate personalizzate | L'elenco di password vietate personalizzate di Microsoft Entra consente di aggiungere stringhe specifiche da valutare e bloccare. | Non disponibile. |
Personalizzazione dei token
La tabella seguente confronta le funzionalità disponibili per la personalizzazione dei token in ogni tipo di tenant.
| Funzionalità | Tenant del personale | Tenant esterno |
|---|---|---|
| Mapping delle dichiarazioni | Personalizzare le attestazioni rilasciate nel token Web JSON (JWT) per le applicazioni aziendali. | Uguale alla forza lavoro. Le attestazioni facoltative devono essere configurate tramite Attributi e attestazioni. |
| Trasformazione delle attestazioni | Applicare una trasformazione a un attributo utente rilasciato nel token Web JSON (JWT) per le applicazioni aziendali. | Uguale alla forza lavoro. |
| Fornitore di dichiarazioni personalizzate | Estensione di autenticazione personalizzata che chiama un'API REST esterna per recuperare le attestazioni da sistemi esterni. | Uguale alla forza lavoro. Ulteriori informazioni |
| Gruppi di sicurezza | Configurare le attestazioni facoltative di gruppo. | La configurazione delle attestazioni facoltative di gruppo è limitata all'ID dell'oggetto del gruppo. |
| Durate dei token | È possibile specificare la durata dei token di sicurezza emessi da Microsoft Entra ID. | Uguale alla forza lavoro. |
API Microsoft Graph
Tutte le funzionalità supportate nei tenant esterni sono supportate anche per l'automazione tramite le API Microsoft Graph. Alcune funzionalità disponibili in anteprima nei tenant esterni potrebbero essere disponibili a livello generale tramite Microsoft Graph. Per altre informazioni, vedere Gestire l'identità e l'accesso alla rete di Microsoft Entra tramite Microsoft Graph.