Udostępnij za pośrednictwem


Obsługiwane funkcje pracowników i dzierżaw zewnętrznych

Istnieją dwa sposoby konfigurowania dzierżawy firmy Microsoft Entra w zależności od tego, w jaki sposób organizacja zamierza korzystać z dzierżawy i zasobów, którymi chce zarządzać:

  • Konfiguracja dzierżawy pracowników dotyczy pracowników, wewnętrznych aplikacji biznesowych i innych zasobów organizacji. Współpraca B2B jest używana w dzierżawie pracowników do współpracy z zewnętrznymi partnerami biznesowymi i gośćmi.
  • Konfiguracja dzierżawy zewnętrznej jest używana wyłącznie w scenariuszach identyfikatorów zewnętrznych , w których chcesz publikować aplikacje dla klientów lub klientów biznesowych.

Ten artykuł zawiera szczegółowe porównanie funkcji i możliwości dostępnych dla pracowników i dzierżaw zewnętrznych.

Uwaga

W wersji zapoznawczej funkcje lub możliwości wymagające licencji Premium są niedostępne w dzierżawach zewnętrznych.

Ogólne porównanie funkcji

W poniższej tabeli porównaliśmy ogólne funkcje i możliwości dostępne dla pracowników i dzierżaw zewnętrznych.

Funkcja Dzierżawa pracowników Dzierżawa zewnętrzna
Scenariusz tożsamości zewnętrznych Zezwól partnerom biznesowym i innym użytkownikom zewnętrznym na współpracę z pracownikami. Goście mogą bezpiecznie uzyskiwać dostęp do aplikacji biznesowych za pośrednictwem zaproszeń lub rejestracji samoobsługowej. Użyj identyfikatora zewnętrznego, aby zabezpieczyć aplikacje. Klienci i klienci biznesowi mogą bezpiecznie uzyskiwać dostęp do aplikacji konsumenckich za pośrednictwem rejestracji samoobsługowej. Zaproszenia są również obsługiwane.
Konta lokalne Konta lokalne są obsługiwane tylko dla wewnętrznych członków organizacji. Konta lokalne są obsługiwane dla użytkowników
zewnętrznych (konsumentów, klientów biznesowych), którzy korzystają z rejestracji samoobsługowej.
— Konta utworzone przez administratorów.
Grupy Grupy mogą służyć do zarządzania kontami administracyjnymi i kontami użytkowników. Grupy mogą służyć do zarządzania kontami administracyjnymi. Obsługa grup i ról aplikacji firmy Microsoft jest stopniowo wdrażana w dzierżawach klientów. Aby uzyskać najnowsze aktualizacje, zobacz Obsługa grup i ról aplikacji.
Role i administratorzy Role i administratorzy są w pełni obsługiwane w przypadku kont administracyjnych i użytkowników. Role nie są obsługiwane w przypadku kont klientów. Konta klientów nie mają dostępu do zasobów dzierżawy.
Ochrona identyfikatorów Zapewnia ciągłe wykrywanie ryzyka dla dzierżawy firmy Microsoft Entra. Umożliwia ona organizacjom odnajdywanie, badanie i korygowanie zagrożeń opartych na tożsamościach. Dostępny jest podzestaw wykrywania ryzyka Ochrona tożsamości Microsoft Entra. Dowiedz się więcej.
Zarządzanie tożsamościami Umożliwia organizacjom zarządzanie cyklami życia tożsamości i dostępu oraz zabezpieczanie dostępu uprzywilejowanego. Dowiedz się więcej. Niedostępny
Samoobsługowe resetowanie haseł Zezwalaj użytkownikom na resetowanie hasła przy użyciu maksymalnie dwóch metod uwierzytelniania (zobacz następny wiersz dla dostępnych metod). Zezwalaj użytkownikom na resetowanie hasła przy użyciu poczty e-mail z jednorazowym kodem dostępu. Dowiedz się więcej.
Dostosowywanie języka Dostosuj środowisko logowania na podstawie języka przeglądarki, gdy użytkownicy uwierzytelniają się w firmowych aplikacjach intranetowych lub internetowych. Użyj języków, aby zmodyfikować ciągi wyświetlane klientom w ramach procesu logowania i rejestracji. Dowiedz się więcej.
Atrybuty niestandardowe Użyj atrybutów rozszerzenia katalogu, aby przechowywać więcej danych w katalogu Entra firmy Microsoft dla obiektów użytkowników, grup, szczegółów dzierżawy i jednostek usługi. Użyj atrybutów rozszerzenia katalogu, aby przechowywać więcej danych w katalogu klienta dla obiektów użytkownika. Utwórz niestandardowe atrybuty użytkownika i dodaj je do przepływu użytkownika rejestracji. Dowiedz się więcej.
Cennik cennik dla miesięcznych aktywnych użytkowników (MAU) dla gości zewnętrznych współpracy B2B (UserType=Guest). wycena miesięcznych aktywnych użytkowników (MAU) dla wszystkich użytkowników zewnętrznego tenant niezależnie od roli lub typu użytkownika.

Dostosowywanie wyglądu i działania

W poniższej tabeli porównaliśmy funkcje dostępne do wyszukiwania i działania dostosowywania pracowników i dzierżaw zewnętrznych.

Funkcja Dzierżawa pracowników Dzierżawa zewnętrzna
Znakowanie firmowe Możesz dodać znakowanie firmowe, które ma zastosowanie do wszystkich tych środowisk, aby utworzyć spójne środowisko logowania dla użytkowników. Tak samo jak pracownicy. Dowiedz się więcej
Dostosowywanie języka Dostosuj środowisko logowania według języka przeglądarki. Tak samo jak pracownicy. Dowiedz się więcej
Niestandardowe nazwy domen Domeny niestandardowe można używać tylko dla kont administracyjnych. Funkcja niestandardowej domeny adresu URL dla zewnętrznych klientów umożliwia dostosowanie punktów końcowych logowania aplikacji za pomocą własnej nazwy domeny.
Uwierzytelnianie natywne dla aplikacji mobilnych Niedostępny Natywne uwierzytelnianie firmy Microsoft Entra umożliwia pełną kontrolę nad projektowaniem środowisk logowania do aplikacji mobilnych.

Dodawanie własnej logiki biznesowej

Niestandardowe rozszerzenia uwierzytelniania umożliwiają dostosowanie środowiska uwierzytelniania firmy Microsoft Entra przez integrację z systemami zewnętrznymi. Niestandardowe rozszerzenie uwierzytelniania jest zasadniczo odbiornikiem zdarzeń, który po aktywowaniu wykonuje wywołanie HTTP do punktu końcowego interfejsu API REST, w którym definiujesz własną logikę biznesową. W poniższej tabeli porównaliśmy zdarzenia rozszerzeń uwierzytelniania niestandardowego dostępne dla pracowników i dzierżaw zewnętrznych.

Zdarzenie Dzierżawa pracowników Dzierżawa zewnętrzna
TokenIssuanceStart Dodawanie oświadczeń z systemów zewnętrznych. Dodawanie oświadczeń z systemów zewnętrznych.
OnAttributeCollectionStart Niedostępny Występuje na początku kroku zbierania atrybutów rejestracji przed renderowaniem strony kolekcji atrybutów. Możesz dodać akcje, takie jak wstępne wypełnianie wartości i wyświetlanie błędu blokowania. Dowiedz się więcej
OnAttributeCollectionSubmit Niedostępny Występuje podczas przepływu rejestracji, po wprowadzeniu i przesłaniu atrybutów przez użytkownika. Możesz dodawać akcje, takie jak weryfikowanie lub modyfikowanie wpisów użytkownika. Dowiedz się więcej

Dostawcy tożsamości i metody uwierzytelniania

W poniższej tabeli porównaliśmy dostawców tożsamości i metody dostępne dla uwierzytelniania podstawowego i uwierzytelniania wieloskładnikowego (MFA) pracowników i dzierżaw zewnętrznych.

Funkcja Dzierżawa pracowników Dzierżawa zewnętrzna
Dostawcy tożsamości dla użytkowników zewnętrznych (uwierzytelnianie podstawowe) W przypadku gości
rejestracji samoobsługowej — Konta
Microsoft Entra — Konta
Microsoft — Jednorazowe hasło
e-mail — federacja Google — federacja
serwisu Facebook

Dla zaproszonych gości
— Konta
Microsoft Entra — Konta
Microsoft — Jednorazowy kod
dostępu e-mail — Federacja
Google — SAML/WS-Fed
W przypadku użytkowników rejestracji samoobsługowej (użytkownicy, klienci biznesowi)
- e-mail z hasłem
- e-mail jednorazowy kod dostępu
- federacji Google (wersja zapoznawcza)
- federacji Facebook (wersja zapoznawcza)
- federacji Apple (wersja zapoznawcza)
- federacji OIDC (wersja zapoznawcza)

Dla zaproszonych gości (wersja zapoznawcza)
Goście zaproszeni z rolą katalogu (na przykład administratorzy):
- Konta Microsoft Entra — Konta

- Microsoft E-mail jednorazowy kod dostępu
Metody uwierzytelniania dla uwierzytelniania wieloskładnikowego W przypadku użytkowników wewnętrznych (pracowników i administratorów) metody-

- Metody uwierzytelniania gościa uwierzytelniania wieloskładnikowego
W przypadku użytkowników rejestracji samoobsługowej (użytkowników, klientów biznesowych) lub zaproszonych użytkowników (wersja zapoznawcza)
- Wyślij wiadomość e-mail za pomocą jednorazowego uwierzytelniania sms z kodem dostępu
-

Rejestrowanie aplikacji

W poniższej tabeli porównaliśmy funkcje dostępne do rejestracji aplikacji w każdym typie dzierżawy.

Funkcja Dzierżawa pracowników Dzierżawa zewnętrzna
Protokół Jednostki uzależnione SAML, OpenID Connect i OAuth2 OpenID Connect i OAuth2
Obsługiwane typy kont Następujące typy kont:
  • Konta w tym katalogu organizacyjnym (tylko jedna dzierżawa)
  • Konta w dowolnym katalogu organizacyjnym (dowolna dzierżawa firmy Microsoft — wielodostępna)
  • Konta w dowolnym katalogu organizacyjnym (dowolna dzierżawa firmy Microsoft — wielodostępna) i osobiste konta Microsoft (takie jak Skype, Xbox)
  • Tylko osobiste konta Microsoft
Zawsze używaj kont w tym katalogu organizacyjnym (tylko jedna dzierżawa).
Platforma Następujące platformy:
  • Klient publiczny/natywny (mobilny i klasyczny)
  • Internet
  • Aplikacja jednostronicowa (SPA)
    Następujące platformy:
    Identyfikatory URI przekierowania uwierzytelniania> Identyfikatory URI firmy Microsoft entra są akceptowane jako miejsca docelowe podczas zwracania odpowiedzi uwierzytelniania (tokenów) po pomyślnym uwierzytelnieniu lub wylogowaniu użytkowników. Tak samo jak pracownicy.
    Adres URL wylogowywania kanału frontonu uwierzytelniania> Ten adres URL polega na tym, że identyfikator Entra firmy Microsoft wysyła żądanie, aby aplikacja wyczyściła dane sesji użytkownika. Adres URL wylogowywania kanału frontonu jest wymagany, aby logowanie jednokrotne działało poprawnie. Tak samo jak pracownicy.
    Udzielanie niejawne uwierzytelniania>i przepływy hybrydowe Zażądaj tokenu bezpośrednio z punktu końcowego autoryzacji. Tak samo jak pracownicy.
    Certyfikaty i wpisy tajne Tak samo jak pracownicy.
    Uprawnienia interfejsu API Dodawanie, usuwanie i zastępowanie uprawnień do aplikacji. Po dodaniu uprawnień do aplikacji użytkownicy lub administratorzy muszą wyrazić zgodę na nowe uprawnienia. Dowiedz się więcej o aktualizowaniu żądanych uprawnień aplikacji w identyfikatorze Entra firmy Microsoft. Poniżej przedstawiono dozwolone uprawnienia: Uprawnienia delegowane programu Microsoft Graph offline_access, openidi User.Read moje interfejsy API. Tylko administrator może wyrazić zgodę w imieniu organizacji.
    Uwidacznianie interfejsu API Zdefiniuj zakresy niestandardowe, aby ograniczyć dostęp do danych i funkcji chronionych przez interfejs API. Aplikacja, która wymaga dostępu do części tego interfejsu API, może zażądać zgody użytkownika lub administratora na co najmniej jeden z tych zakresów. Zdefiniuj zakresy niestandardowe, aby ograniczyć dostęp do danych i funkcji chronionych przez interfejs API. Aplikacja, która wymaga dostępu do części tego interfejsu API, może zażądać zgody administratora na co najmniej jeden z tych zakresów.
    Role aplikacji Role aplikacji to role niestandardowe do przypisywania uprawnień do użytkowników lub aplikacji. Aplikacja definiuje i publikuje role aplikacji i interpretuje je jako uprawnienia podczas autoryzacji. Tak samo jak pracownicy. Dowiedz się więcej o korzystaniu z kontroli dostępu opartej na rolach dla aplikacji w dzierżawie zewnętrznej.
    Właścicieli Właściciele aplikacji mogą wyświetlać i edytować rejestrację aplikacji. Ponadto każdy użytkownik (który może nie być wymieniony) z uprawnieniami administracyjnymi do zarządzania dowolną aplikacją (na przykład administrator aplikacji w chmurze) może wyświetlać i edytować rejestrację aplikacji. Tak samo jak pracownicy.
    Role i administratorzy Role administracyjne są używane do udzielania dostępu do akcji uprzywilejowanych w usłudze Microsoft Entra ID. W przypadku aplikacji w dzierżawach zewnętrznych można używać tylko roli Administrator aplikacji w chmurze. Ta rola umożliwia tworzenie wszystkich aspektów rejestracji aplikacji i aplikacji dla przedsiębiorstw oraz zarządzanie nimi.
    Przypisywanie użytkowników i grup do aplikacji Jeśli wymagane jest przypisanie użytkownika, będą mogli się zalogować tylko użytkownicy przypisani do aplikacji (przez bezpośrednie przypisanie użytkownika lub na podstawie członkostwa w grupie). Aby uzyskać więcej informacji, zobacz Zarządzanie przypisaniem użytkowników i grup do aplikacji Niedostępny

    Przepływy OpenID Connect i OAuth2

    W poniższej tabeli porównaliśmy funkcje dostępne dla przepływów autoryzacji protokołu OAuth 2.0 i OpenID Connect w każdym typie dzierżawy.

    Funkcja Dzierżawa pracowników Dzierżawa zewnętrzna
    OpenID Connect Tak Tak
    Kod autoryzacji Tak Tak
    Kod autoryzacji za pomocą programu Code Exchange (PKCE) Tak Tak
    Poświadczenia klienta Tak Aplikacje w wersji 2.0 (wersja zapoznawcza)
    Autoryzacja urządzenia Tak Podgląd
    Przepływ „w imieniu” Tak Tak
    Niejawne udzielanie Tak Tak
    Poświadczenia hasła właściciela zasobu Tak Nie, w przypadku aplikacji mobilnych użyj uwierzytelniania natywnego.

    Adres URL urzędu w przepływach OpenID Connect i OAuth2

    Adres URL urzędu to adres URL wskazujący katalog, z którego biblioteka MSAL może żądać tokenów. W przypadku aplikacji w dzierżawach zewnętrznych należy zawsze używać następującego formatu: <nazwa-dzierżawy.ciamlogin.com>

    Poniższy kod JSON przedstawia przykład pliku appsettings.json aplikacji platformy .NET z adresem URL urzędu:

    {
        "AzureAd": {
            "Authority": "https://<Enter_the_Tenant_Subdomain_Here>.ciamlogin.com/",
            "ClientId": "<Enter_the_Application_Id_Here>"
        }
    }
    

    Dostęp warunkowy

    W poniższej tabeli porównaliśmy funkcje dostępne dla dostępu warunkowego w każdym typie dzierżawy.

    Funkcja Dzierżawa pracowników Dzierżawa zewnętrzna
    Przypisania Tożsamości użytkowników, grup i obciążeń Uwzględnij wszystkich użytkowników i wyklucz użytkowników i grupy. Aby uzyskać więcej informacji, zobacz Dodawanie uwierzytelniania wieloskładnikowego (MFA) do aplikacji.
    Zasoby docelowe
    Warunki
    Grant Udzielanie lub blokowanie dostępu do zasobów
    Sesja Kontrolki sesji Niedostępny

    Zarządzanie klientami

    W poniższej tabeli porównaliśmy funkcje dostępne do zarządzania użytkownikami w każdym typie dzierżawy. Jak wspomniano w tabeli, niektóre typy kont są tworzone za pośrednictwem zaproszenia lub rejestracji samoobsługowej. Administrator użytkownika w dzierżawie może również tworzyć konta za pośrednictwem centrum administracyjnego.

    Funkcja Dzierżawa pracowników Dzierżawa zewnętrzna
    Typy kont
    • Członkowie wewnętrzni, na przykład pracownicy i administratorzy.
    • Użytkownicy zewnętrzni, którzy są zapraszani lub korzystają z rejestracji samoobsługowej.
    • Użytkownicy wewnętrzni w dzierżawie, na przykład administratorzy.
    • Zewnętrzni konsumenci i klienci biznesowi, którzy korzystają z rejestracji samoobsługowej lub którzy są utworzeni przez administratorów.
    • Użytkownicy zewnętrzni, którzy są zapraszani (wersja zapoznawcza).
    Zarządzanie informacjami o profilu użytkownika Programowo i przy użyciu centrum administracyjnego firmy Microsoft Entra. Tak samo jak pracownicy.
    Resetowanie hasła użytkownika Administratorzy mogą zresetować hasło użytkownika, jeśli hasło zostanie zapomniane, jeśli użytkownik zostanie zablokowany z urządzenia lub jeśli użytkownik nigdy nie otrzymał hasła. Tak samo jak pracownicy.
    Przywracanie lub usuwanie ostatnio usuniętego użytkownika Po usunięciu użytkownika konto zostanie wstrzymane na 30 dni. Podczas tego 30-dniowego okresu można przywrócić konto użytkownika wraz ze wszystkimi jego właściwościami. Tak samo jak pracownicy.
    Wyłączanie kont Uniemożliwiać nowemu użytkownikowi logowanie się. Tak samo jak pracownicy.

    Ochrona hasłem

    W poniższej tabeli porównaliśmy funkcje dostępne do ochrony haseł w każdym typie dzierżawy.

    Funkcja Dzierżawa pracowników Dzierżawa zewnętrzna
    Inteligentna blokada Inteligentna blokada pomaga zablokować złych aktorów, którzy próbują odgadnąć hasła użytkowników lub użyć metod siłowych, aby uzyskać dostęp Tak samo jak pracownicy.
    Niestandardowe zakazane hasła Lista niestandardowych haseł zabronionych przez firmę Microsoft Entra umożliwia dodawanie określonych ciągów do oceny i blokowania. Niedostępne.

    Dostosowywanie tokenu

    W poniższej tabeli porównaliśmy funkcje dostępne do dostosowywania tokenu w każdym typie dzierżawy.

    Funkcja Dzierżawa pracowników Dzierżawa zewnętrzna
    Mapowanie oświadczeń Dostosowywanie oświadczeń wystawionych w tokenie internetowym JSON (JWT) dla aplikacji dla przedsiębiorstw. Tak samo jak pracownicy. Opcjonalne oświadczenia należy skonfigurować za pomocą atrybutów i oświadczeń.
    Przekształcanie oświadczeń Zastosuj przekształcenie do atrybutu użytkownika wystawionego w tokenie internetowym JSON (JWT) dla aplikacji dla przedsiębiorstw. Tak samo jak pracownicy.
    Niestandardowy dostawca oświadczeń Niestandardowe rozszerzenie uwierzytelniania, które wywołuje zewnętrzny interfejs API REST w celu pobrania oświadczeń z systemów zewnętrznych. Tak samo jak pracownicy. Dowiedz się więcej
    Grupy zabezpieczeń Konfigurowanie opcjonalnych oświadczeń grup. Konfigurowanie opcjonalnych oświadczeń grup jest ograniczone do identyfikatora obiektu grupy.
    Okresy istnienia tokenu Możesz określić okres istnienia tokenów zabezpieczających wystawionych przez identyfikator Entra firmy Microsoft. Tak samo jak pracownicy.

    Interfejsy API programu Microsoft Graph

    Wszystkie funkcje obsługiwane w dzierżawach zewnętrznych są również obsługiwane w celu automatyzacji za pośrednictwem interfejsów API programu Microsoft Graph. Niektóre funkcje dostępne w wersji zapoznawczej w dzierżawach zewnętrznych mogą być ogólnie dostępne za pośrednictwem programu Microsoft Graph. Aby uzyskać więcej informacji, zobacz Zarządzanie tożsamością firmy Microsoft i dostępem do sieci przy użyciu programu Microsoft Graph.

    Następne kroki