Ondersteunde functies in personeel en externe gebruikers
Er zijn twee manieren om een Microsoft Entra-tenant te configureren, afhankelijk van hoe de organisatie de tenant en de resources wil gebruiken die ze willen beheren:
- Een tenantconfiguratie voor werknemers is bedoeld voor uw werknemers, interne zakelijke apps en andere organisatieresources. B2B-samenwerking wordt gebruikt in een personeelstenant om samen te werken met externe zakelijke partners en gasten.
- Een externe tenantconfiguratie wordt uitsluitend gebruikt voor scenario's met externe id's waarin u apps wilt publiceren naar consumenten of zakelijke klanten.
Dit artikel bevat een gedetailleerde vergelijking van de functies en mogelijkheden die beschikbaar zijn in werknemers en externe tenants.
Notitie
Tijdens de preview zijn functies of mogelijkheden waarvoor een Premium-licentie is vereist, niet beschikbaar in externe tenants.
Algemene functievergelijking
In de volgende tabel worden de algemene functies en mogelijkheden vergeleken die beschikbaar zijn in werknemers en externe tenants.
| Functie | Personeelstenant | Externe huurder |
|---|---|---|
| Scenario met externe identiteiten | Sta zakelijke partners en andere externe gebruikers toe om samen te werken met uw werknemers. Gasten hebben veilig toegang tot uw zakelijke toepassingen via uitnodigingen of selfserviceregistratie. | Gebruik externe id om uw toepassingen te beveiligen. Consumenten en zakelijke klanten hebben veilig toegang tot uw consumenten-apps via selfserviceregistratie. Uitnodigingen worden ook ondersteund. |
| Lokale accounts | Lokale accounts worden alleen ondersteund voor interne leden van uw organisatie. | Lokale accounts worden ondersteund voor:
|
| Groepen | Groepen kunnen worden gebruikt voor het beheren van beheerders- en gebruikersaccounts. | Groepen kunnen worden gebruikt voor het beheren van beheerdersaccounts. Ondersteuning voor Microsoft Entra-groepen en toepassingsrollen wordt stapsgewijs geïmplementeerd bij klanttenants. Zie Ondersteuning voor groepen en toepassingsrollen voor de nieuwste updates. |
| Rollen en beheerders | Rollen en beheerders worden volledig ondersteund voor beheerders- en gebruikersaccounts. | Rollen worden ondersteund voor alle gebruikers. Alle gebruikers in een externe tenant hebben standaardmachtigingen, tenzij ze een beheerdersrol hebben. |
| Id-beveiliging | Biedt doorlopende risicodetectie voor uw Microsoft Entra-tenant. Hiermee kunnen organisaties risico's op basis van identiteiten detecteren, onderzoeken en oplossen. | Er is een subset van de risicodetecties van Microsoft Entra ID Protection beschikbaar. Meer informatie. |
| ID Governance | Hiermee kunnen organisaties identiteits- en toegangslevenscycli en beveiligde bevoegde toegang beheren. Meer informatie. | Niet beschikbaar |
| Zelfbediening wachtwoord resetten | Gebruikers toestaan hun wachtwoord opnieuw in te stellen met maximaal twee verificatiemethoden (zie de volgende rij voor beschikbare methoden). | Gebruikers toestaan hun wachtwoord opnieuw in te stellen via e-mail met eenmalige wachtwoordcode. Meer informatie. |
| Taal aanpassen | Pas de aanmeldingservaring aan op basis van browsertaal wanneer gebruikers zich verifiëren bij uw bedrijfsintranet of webtoepassingen. | Gebruik talen om de tekenreeksen te wijzigen die worden weergegeven voor uw klanten als onderdeel van het aanmeldings- en registratieproces. Meer informatie. |
| Aangepaste kenmerken | Gebruik kenmerken van directory-extensies om meer gegevens op te slaan in de Microsoft Entra-map voor gebruikersobjecten, groepen, tenantdetails en service-principals. | Gebruik kenmerken van de mapextensie om meer gegevens op te slaan in de directory van de klant voor gebruikersobjecten. Maak aangepaste gebruikerskenmerken en voeg deze toe aan uw gebruikersstroom voor registratie. Meer informatie. |
| prijsstelling | Maandelijkse actieve gebruikers (MAU) prijzen voor externe gasten van B2B-samenwerking (UserType=Guest). | Maandelijkse actieve gebruikers (MAU) prijsstelling voor alle gebruikers in de externe tenant, ongeacht rol of gebruikerstype. |
Aanpassing van uiterlijk en gevoel
In de volgende tabel worden de functies vergeleken die beschikbaar zijn voor aanpassing van het uiterlijk van werknemers en externe tenants.
| Functie | Personeelstenant | Externe huurder |
|---|---|---|
| Huisstijl van bedrijf | U kunt huisstijl toevoegen die van toepassing is op al deze ervaringen om een consistente aanmeldingservaring voor uw gebruikers te maken. | Hetzelfde als het personeel. Meer informatie |
| Taal aanpassen | Pas de aanmeldingservaring aan op browsertaal. | Hetzelfde als het personeel. Meer informatie |
| Aangepaste domeinnamen | U kunt alleen aangepaste domeinen gebruiken voor beheerdersaccounts. | Met de functie voor aangepaste URL-domeinen voor externe tenants kunt u app-aanmeldingspunten voorzien van uw eigen domeinnaam. |
| Systeemeigen verificatie voor mobiele apps | Niet beschikbaar | Met de systeemeigen verificatie van Microsoft Entra hebt u volledige controle over het ontwerp van de aanmeldingservaring van uw mobiele toepassing. |
Uw eigen bedrijfslogica toevoegen
Met aangepaste verificatie-extensies kunt u de Microsoft Entra-verificatie-ervaring aanpassen door te integreren met externe systemen. Een aangepaste verificatie-extensie is in wezen een gebeurtenislistener die, wanneer deze wordt geactiveerd, een HTTP-aanroep maakt naar een REST API-eindpunt waarin u uw eigen bedrijfslogica definieert. In de volgende tabel worden de gebeurtenissen voor aangepaste verificatie-extensies vergeleken die beschikbaar zijn voor interne en externe tenants.
| Gebeurtenis | Personeelstenant | Externe huurder |
|---|---|---|
| TokenIssuanceStart | Claims van externe systemen toevoegen. | Claims van externe systemen toevoegen. |
| OnAttributeCollectionStart | Niet beschikbaar | Vindt plaats aan het begin van de registratie bij de stap van het verzamelen van kenmerken, voordat de pagina om kenmerken te verzamelen wordt weergegeven. U kunt acties toevoegen, zoals het vooraf doorvoeren van waarden en het weergeven van een blokkeringsfout. Meer informatie |
| OnAttributeCollectionSubmit | Niet beschikbaar | Vindt plaats tijdens de registratiestroom, nadat de gebruiker kenmerken heeft ingevoerd en verzonden. U kunt acties toevoegen, zoals het valideren of wijzigen van de vermeldingen van de gebruiker. Meer informatie |
| OnOtpSend | Niet beschikbaar | Configureer een aangepaste e-mailprovider voor eenmalige wachtwoordcode voor het verzenden van gebeurtenissen. Meer informatie |
Identiteitsproviders en authenticatiemethoden
In de volgende tabel worden de id-providers en methoden vergeleken die beschikbaar zijn voor primaire verificatie en meervoudige verificatie (MFA) in werknemers en externe tenants.
| Eigenschap | Personeelstenant | Externe huurder |
|---|---|---|
| Id-providers voor externe gebruikers (primaire verificatie) |
Voor zelfbedieningsinschrijving gasten - Microsoft Entra-accounts - Microsoft-accounts - Eenmalige wachtwoordcode via e-mail - Google-federatie - Facebook-federatie Voor uitgenodigde gasten - Microsoft Entra-accounts - Microsoft-accounts - Eenmalige wachtwoordcode e-mailen- Google federation - SAML/WS-Fed-federatie |
Voor selfservicegebruikers (consumenten, zakelijke klanten) - E-mail met wachtwoord - Eenmalige wachtwoordcode - Google-federatie (preview) - Facebook-federatie (preview) - Apple-federatie (preview) - OIDC-federatie Voor uitgenodigde gasten (preview) Gasten uitgenodigd met een directoryrol (bijvoorbeeld beheerders): - Microsoft Entra-accounts - Microsoft-accounts - eenmalige wachtwoordcode via e-mail - SAML /WS-Fed federatie / |
| Verificatiemethoden voor MFA |
Voor interne gebruikers (werknemers en beheerders) - Verificatie- en verificatiemethoden voor gasten (uitgenodigde of selfserviceregistratie) - Verificatiemethoden voor gast-MFA |
Voor selfservicegebruikers (consumenten, zakelijke klanten) of uitgenodigde gebruikers (preview) - E-mail eenmalige wachtwoordcode - sms-verificatie |
Aanmelding van toepassingen
De volgende tabel vergelijkt de functies die beschikbaar zijn voor toepassingsregistratie in elk type tenant.
| Kenmerk | Personeelstenant | Externe huurder |
|---|---|---|
| Protocol | SAML-vertrouwende partijen, OpenID Connect en OAuth2 | SAML-vertrouwende partijen, OpenID Connect en OAuth2 |
| Ondersteunde accounttypen | De volgende accounttypen:
|
Gebruik altijd alleen accounts in deze organisatiemap (één tenant). |
| Platform | De volgende platforms:
|
De volgende platforms:
|
| Verificatie>Omleidings-URI's | De URI's die Microsoft Entra ID als bestemmingen accepteert bij het retourneren van authenticatiereacties (tokens) na het succesvol authentiseren of afmelden van gebruikers. | Hetzelfde als het personeel. |
| Verificatie>Front-channel afmeld-URL | Met deze URL verzendt Microsoft Entra ID een aanvraag om de toepassing de sessiegegevens van de gebruiker te laten wissen. De afmeldings-URL van het Front-kanaal is vereist om het single sign-out proces correct te laten werken. | Hetzelfde als het personeel. |
| Authenticatie>Impliciete toestemming en hybride stromen | Vraag een token rechtstreeks aan bij het autorisatie-eindpunt. | Hetzelfde als het personeel. |
| Certificaten en geheimen | Hetzelfde als het personeel. | |
| API-machtigingen | Machtigingen voor een toepassing toevoegen, verwijderen en vervangen. Nadat machtigingen zijn toegevoegd aan uw toepassing, moeten gebruikers of beheerders toestemming geven voor de nieuwe machtigingen. Meer informatie over het bijwerken van de aangevraagde machtigingen van een app in Microsoft Entra ID. | Hier volgen de toegestane machtigingen: Microsoft Graphoffline_accessopenid, en User.Read uw gedelegeerde machtigingen voor Mijn API's. Alleen een beheerder kan namens de organisatie toestemming geven. |
| Een API beschikbaar maken | Definieer aangepaste scopes om de toegang tot gegevens en functionaliteit te beperken die door de API wordt beschermd. Een toepassing die toegang tot onderdelen van deze API vereist, kan aanvragen dat een gebruiker of beheerder toestemming moet geven voor een of meer van deze bereiken. | Definieer aangepaste scopes om toegang tot de gegevens en functionaliteit die door de API worden beschermd te beperken. Een toepassing die toegang tot onderdelen van deze API vereist, kan aanvragen dat de beheerder toestemming moet geven voor een of meer van deze bereiken. |
| App-rollen | App-rollen zijn aangepaste rollen om machtigingen toe te wijzen aan gebruikers of apps. De toepassing definieert en publiceert de app-rollen en interpreteert die als machtigingen tijdens de autorisatie. | Hetzelfde als het personeel. Meer informatie over het gebruik van op rollen gebaseerd toegangsbeheer voor toepassingen in een externe tenant. |
| Eigenaren | Eigenaren van toepassingen kunnen de registratie van de toepassing bekijken en bewerken. Bovendien kan elke gebruiker (die mogelijk niet wordt vermeld) met beheerdersbevoegdheden voor het beheren van een toepassing (bijvoorbeeld Cloud Application Administrator) de registratie van de toepassing bekijken en bewerken. | Hetzelfde als het personeel. |
| Rollen en beheerders | Beheerdersrollen worden gebruikt voor het verlenen van toegang voor bevoegde acties in Microsoft Entra-id. | Alleen de rol Cloudtoepassingsbeheerder kan worden gebruikt voor apps in externe tenants. Deze rol verleent de mogelijkheid om alle aspecten van toepassingsregistraties en bedrijfstoepassingen te maken en te beheren. |
| Gebruikers en groepen toewijzen aan een app | Wanneer gebruikerstoewijzing is vereist, kunnen alleen de gebruikers die u aan de toepassing toewijst (via directe gebruikerstoewijzing of op basis van groepslidmaatschap) zich aanmelden. Zie Gebruikers en groepstoewijzingen beheren voor een toepassing voor meer informatie | Niet beschikbaar |
OpenID Connect- en OAuth2-stromen
De volgende tabel vergelijkt de functies die beschikbaar zijn voor OAuth 2.0- en OpenID Connect-autorisatiestromen in elk type tenant.
| Kenmerk | Personeelstenant | Externe huurder |
|---|---|---|
| OpenID Connect | Ja | Ja |
| Autorisatiecode | Ja | Ja |
| Autorisatiecode met PKCE (Code Exchange) | Ja | Ja |
| Clientgegevens | Ja | v2.0-toepassingen (preview) |
| Apparaatautorisatie | Ja | Voorbeeld |
| Vertegenwoordigingstroom | Ja | Ja |
| Impliciete toestemming | Ja | Ja |
| Wachtwoordgegevens van de eigenaar van middelen | Ja | Nee, voor mobiele toepassingen gebruikt u systeemeigen verificatie. |
URL van autoriteit in OpenID Connect- en OAuth2-stromen
De URL van de instantie is een URL die een map aangeeft waaruit MSAL tokens kan aanvragen. Gebruik voor apps in externe tenants altijd de volgende indeling: <tenant-name>.ciamlogin.com
In de volgende JSON ziet u een voorbeeld van een .NET-toepassing appsettings.json-bestand met een authority-URL.
{
"AzureAd": {
"Authority": "https://<Enter_the_Tenant_Subdomain_Here>.ciamlogin.com/",
"ClientId": "<Enter_the_Application_Id_Here>"
}
}
Voorwaardelijke toegang
In de volgende tabel worden de functies vergeleken die beschikbaar zijn voor voorwaardelijke toegang in elk type tenant.
| Kenmerk | Personeelstenant | Externe huurder |
|---|---|---|
| Toewijzingen | Gebruikers, groepen en workloadidentiteiten | Alle gebruikers opnemen en gebruikers en groepen uitsluiten. Zie Meervoudige verificatie (MFA) toevoegen aan een app voor meer informatie. |
| Doelgerichte middelen | ||
| Voorwaarden | ||
| Toekennen | Toegang tot resources verlenen of blokkeren | |
| Sessie | Sessieregelingen | Niet beschikbaar |
Accountbeheer
De volgende tabel vergelijkt de functies die beschikbaar zijn voor gebruikersbeheer in elk type tenant. Zoals in de tabel vermeld, worden bepaalde accounttypen aangemaakt via uitnodiging of zelfbedieningsaanmelding. Een gebruikersbeheerder in de tenant kan ook accounts maken via het beheercentrum.
| Kenmerk | Personeelstenant | Externe huurder |
|---|---|---|
| Typen van accounts |
|
|
| Gebruikersprofielgegevens beheren | Programmatisch en met behulp van het Microsoft Entra-beheercentrum. | Hetzelfde als het personeel. |
| Het wachtwoord van een gebruiker opnieuw instellen | Beheerders kunnen het wachtwoord van een gebruiker opnieuw instellen als het wachtwoord wordt vergeten, als de gebruiker wordt vergrendeld op een apparaat of als de gebruiker nooit een wachtwoord heeft ontvangen. | Hetzelfde als het personeel. |
| Onlangs verwijderde gebruiker herstellen of verwijderen | Nadat u een gebruiker hebt verwijderd, blijft het account 30 dagen in de opgeschorte status. Tijdens de periode van 30 dagen kan het gebruikersaccount worden hersteld, samen met alle eigenschappen ervan. | Hetzelfde als het personeel. |
| Accounts uitschakelen | Voorkom dat de nieuwe gebruiker zich kan aanmelden. | Hetzelfde als het personeel. |
Wachtwoordbeveiliging
In de volgende tabel worden de functies vergeleken die beschikbaar zijn voor wachtwoordbeveiliging in elk type tenant.
| Kenmerk | Personeelstenant | Externe huurder |
|---|---|---|
| Slimme vergrendeling | Slimme vergrendeling helpt slechte actoren te vergrendelen die proberen de wachtwoorden van uw gebruikers te raden of brute force-methoden te gebruiken om binnen te komen | Hetzelfde als het personeel. |
| Aangepaste verboden wachtwoorden | Met de aangepaste lijst met verboden wachtwoorden van Microsoft Entra kunt u specifieke tekenreeksen toevoegen om te evalueren en te blokkeren. | Niet beschikbaar. |
Tokenpersonalisatie
In de volgende tabel worden de functies vergeleken die beschikbaar zijn voor het aanpassen van tokens in elk type tenant.
| Functie | Personeelstenant | Externe huurder |
|---|---|---|
| Claims-mapping | Aanpassen van claims die worden uitgegeven in een JSON-webtoken (JWT) voor ondernemingstoepassingen. | Hetzelfde als het personeel. Optionele claims moeten worden geconfigureerd via kenmerken en claims. |
| Claimstransformatie | Pas een transformatie toe op een gebruikerskenmerk dat is uitgegeven in het JSON-webtoken (JWT) voor bedrijfstoepassingen. | Hetzelfde als het personeel. |
| Aangepaste claimverwerker | Aangepaste verificatie-extensie die een externe REST API aanroept om claims op te halen van externe systemen. | Hetzelfde als het personeel. Meer informatie |
| Beveiligingsgroepen | Configureer groepen voor optionele claims. | Groepen optionele claims configureren is beperkt tot de groepsobject-ID. |
| Levensduur van tokens | U kunt de levensduur opgeven van beveiligingstokens die zijn uitgegeven door de Microsoft Entra-id. | Hetzelfde als het personeel. |
Microsoft Graph API's
Alle functies die worden ondersteund in externe tenants, worden ook ondersteund voor automatisering via Microsoft Graph-API's. Sommige functies die in preview zijn in externe tenants, zijn mogelijk algemeen beschikbaar via Microsoft Graph. Zie Microsoft Entra-identiteit en netwerktoegang beheren met behulp van Microsoft Graph voor meer informatie.