Obsługiwane funkcje dla zespołów i najemców zewnętrznych

Artykuł
03/05/2025

Istnieją dwa sposoby konfigurowania dzierżawy Microsoft Entra w zależności od zamierzeń organizacji dotyczących korzystania z dzierżawy i zasobów, którymi chcą zarządzać:

Konfiguracja dzierżawy zasobów pracowniczych dotyczy pracowników, wewnętrznych aplikacji biznesowych i innych zasobów organizacyjnych. Współpraca B2B jest używana w środowisku pracy do współpracy z zewnętrznymi partnerami biznesowymi i gośćmi.
Konfiguracja dzierżawy zewnętrznej jest używana wyłącznie w scenariuszach identyfikatorów zewnętrznych , w których chcesz publikować aplikacje dla klientów lub klientów biznesowych.

Ten artykuł zawiera szczegółowe porównanie funkcji i możliwości dostępnych dla pracowników i najemców zewnętrznych.

Uwaga

W wersji zapoznawczej funkcje lub możliwości wymagające licencji Premium są niedostępne w dzierżawach zewnętrznych.

Ogólne porównanie funkcji

W poniższej tabeli porównuje się ogólne funkcje i możliwości dostępne w zasobach ludzkich i najemnikach zewnętrznych.

Funkcja	Najemca zasobów ludzkich	Zewnętrzny najemca
Scenariusz tożsamości zewnętrznych	Zezwól partnerom biznesowym i innym użytkownikom zewnętrznym na współpracę z pracownikami. Goście mogą bezpiecznie uzyskiwać dostęp do aplikacji biznesowych za pośrednictwem zaproszeń lub rejestracji samoobsługowej.	Użyj identyfikatora zewnętrznego, aby zabezpieczyć aplikacje. Klienci i klienci biznesowi mogą bezpiecznie uzyskiwać dostęp do aplikacji konsumenckich za pośrednictwem rejestracji samoobsługowej. Zaproszenia są również obsługiwane.
Konta lokalne	Konta lokalne są obsługiwane tylko dla wewnętrznych członków organizacji.	Konta lokalne są obsługiwane dla użytkowników zewnętrznych (konsumentów, klientów biznesowych), którzy korzystają z rejestracji samoobsługowej. — Konta utworzone przez administratorów.
Grupy	Grupy mogą służyć do zarządzania kontami administracyjnymi i kontami użytkowników.	Grupy mogą służyć do zarządzania kontami administracyjnymi. Obsługa grup i ról aplikacji firmy Microsoft jest stopniowo wdrażana w dzierżawach klientów. Aby uzyskać najnowsze aktualizacje, zobacz Obsługa grup i ról aplikacji.
Role i administratorzy	Role i administratorzy są w pełni obsługiwane w przypadku kont administracyjnych i użytkowników.	Role nie są obsługiwane w przypadku kont klientów. Konta klientów nie mają dostępu do zasobów najemcy.
Ochrona identyfikatorów	Zapewnia ciągłe wykrywanie ryzyka dla dzierżawy Microsoft Entra. Umożliwia ona organizacjom odnajdywanie, badanie i korygowanie zagrożeń opartych na tożsamościach.	Podzestaw wykrywania ryzyka w Ochronie tożsamości Entra firmy Microsoft jest dostępny. Dowiedz się więcej.
Zarządzanie ID	Umożliwia organizacjom zarządzanie cyklami życia tożsamości i dostępu oraz zabezpieczanie dostępu uprzywilejowanego. Dowiedz się więcej.	Niedostępny
Samoobsługowe resetowanie haseł	Zezwalaj użytkownikom na resetowanie hasła przy użyciu maksymalnie dwóch metod uwierzytelniania (zobacz następny wiersz dla dostępnych metod).	Zezwalaj użytkownikom na resetowanie hasła przy użyciu poczty e-mail z jednorazowym kodem dostępu. Dowiedz się więcej.
Dostosowywanie języka	Dostosuj środowisko logowania na podstawie języka przeglądarki, gdy użytkownicy uwierzytelniają się w firmowych aplikacjach intranetowych lub internetowych.	Użyj języków, aby zmodyfikować ciągi wyświetlane klientom w ramach procesu logowania i rejestracji. Dowiedz się więcej.
Atrybuty niestandardowe	Użyj atrybutów rozszerzenia katalogu, aby przechowywać więcej danych w katalogu Entra firmy Microsoft dla obiektów użytkowników, grup, szczegółów dzierżawy i jednostek usługi.	Użyj atrybutów rozszerzenia katalogu, aby przechowywać więcej danych w katalogu klienta dla obiektów użytkownika. Utwórz niestandardowe atrybuty użytkownika i dodaj je do procesu rejestracji użytkownika. Dowiedz się więcej.
Cennik	Opłaty dla miesięcznych aktywnych użytkowników (MAU) dla zewnętrznych gości współpracy B2B (UserType=Guest).	Wycena miesięcznych aktywnych użytkowników (MAU) dla wszystkich użytkowników zewnętrznego najemcy, niezależnie od roli lub typu użytkownika.

Dostosowywanie wyglądu i interfejsu

W poniższej tabeli porównano funkcje dostępne do dostosowywania wyglądu i stylu dla personelu i dzierżawców zewnętrznych.

Funkcja	Najemca siły roboczej	Zewnętrzny najemca
Znakowanie firmowe	Możesz dodać znakowanie firmowe, które ma zastosowanie do wszystkich tych środowisk, aby utworzyć spójne środowisko logowania dla użytkowników.	Tak samo jak siła robocza. Dowiedz się więcej
Dostosowywanie języka	Dostosuj środowisko logowania według języka przeglądarki.	Tak samo jak siła robocza. Dowiedz się więcej
Niestandardowe nazwy domen	Domeny niestandardowe można używać tylko dla kont administracyjnych.	Funkcja niestandardowej domeny adresu URL dla zewnętrznych najemców umożliwia dostosowanie punktów końcowych logowania aplikacji za pomocą własnej nazwy domeny.
Uwierzytelnianie natywne dla aplikacji mobilnych	Niedostępny	Natywne uwierzytelnianie firmy Microsoft Entra umożliwia pełną kontrolę nad projektowaniem środowisk logowania do aplikacji mobilnych.

Dodawanie własnej logiki biznesowej

Niestandardowe rozszerzenia uwierzytelniania umożliwiają dostosowanie środowiska uwierzytelniania firmy Microsoft Entra przez integrację z systemami zewnętrznymi. Niestandardowe rozszerzenie uwierzytelniania jest zasadniczo odbiornikiem zdarzeń, który po aktywowaniu wykonuje wywołanie HTTP do punktu końcowego interfejsu API REST, w którym definiujesz własną logikę biznesową. W poniższej tabeli porównaliśmy zdarzenia rozszerzeń uwierzytelniania niestandardowego dostępne dla pracowników i dzierżaw zewnętrznych.

Zdarzenie	Najemca zasobów ludzkich	Zewnętrzny najemca
TokenIssuanceStart	Dodawanie oświadczeń z systemów zewnętrznych.	Dodawanie oświadczeń z systemów zewnętrznych.
OnAttributeCollectionStart	Niedostępny	Występuje na początku kroku zbierania atrybutów, zanim strona zbierania atrybutów zostanie wyrenderowana. Możesz dodać akcje, takie jak wstępne wypełnianie wartości i wyświetlanie błędu blokowania. Dowiedz się więcej
OnAttributeCollectionSubmit	Niedostępny	Występuje podczas procesu rejestracji, po wprowadzeniu i przesłaniu danych przez użytkownika. Możesz dodawać akcje, takie jak weryfikowanie lub modyfikowanie wpisów użytkownika. Dowiedz się więcej
OnOtpSend	Niedostępny	Skonfiguruj niestandardowego dostawcę poczty e-mail dla zdarzeń wysyłania kodów jednorazowych. Dowiedz się więcej

Dostawcy tożsamości i metody uwierzytelniania

W poniższej tabeli porównano dostawców tożsamości i metody dostępne dla uwierzytelniania podstawowego i wieloskładnikowego (MFA) w przypadku pracowników oraz najemców zewnętrznych.

Funkcja	Najemca zasobów kadrowych	Zewnętrzny najemca
Dostawcy tożsamości dla użytkowników zewnętrznych (uwierzytelnianie podstawowe)	Dla gości rejestrujących się samodzielnie — Konta Microsoft Entra — Konta Microsoft — Jednorazowe hasło e-mail — Federacja Google — Federacja Facebooka Dla zaproszonych gości — Konta Microsoft Entra — Konta Microsoft — Jednorazowy kod dostępu wysyłany e-mailem — Federacja Google — SAML/WS-Fed	W przypadku użytkowników rejestracji samoobsługowej (użytkownicy, klienci biznesowi) - e-mail z hasłem - e-mail z jednorazowym kodem dostępu - federacja Google (wersja zapoznawcza) - federacja Facebook (wersja zapoznawcza) - federacja Apple (wersja zapoznawcza) - federacja OIDC (wersja zapoznawcza) - federacja SAML/WS-Fed (wersja zapoznawcza) Dla zaproszonych gości (wersja zapoznawcza) Goście zaproszeni z rolą katalogu (na przykład administratorzy): - Konta Microsoft Entra - Konta Microsoft - E-mail jednorazowy kod dostępu - federacja SAML/WS-Fed (wersja zapoznawcza)
Metody uwierzytelniania dla MFA	Dla użytkowników wewnętrznych (pracowników i administratorów) - Metody uwierzytelniania i weryfikacji Dla gości (zaproszonych lub z własnym rejestracją) - Metody uwierzytelniania dla gości MFA	W przypadku użytkowników rejestracji samoobsługowej (konsumentów, klientów biznesowych) lub zaproszonych użytkowników (wersja zapoznawcza) - Jednorazowy kod dostępu e-mailem - Uwierzytelnianie na podstawie SMS

Rejestrowanie aplikacji

W poniższej tabeli porównano funkcje dostępne do rejestrowania aplikacji w każdym typie najemcy.

Funkcja	Najemca siły roboczej	Zewnętrzny najemca
Protokół	Jednostki uzależnione SAML, OpenID Connect i OAuth2	usługi zaufane SAML, OpenID Connect, i OAuth2
Obsługiwane typy kont	Następujące typy kont: Konta tylko w tym katalogu organizacyjnym (pojedynczy dzierżawca) Konta w dowolnym katalogu organizacyjnym (Dowolny dzierżawca Microsoft Entra — wielodzierżawca) Konta w dowolnym katalogu organizacyjnym (dowolny dzierżawca Microsoft Entra — wielodzierżawowa) oraz osobiste konta Microsoft (takie jak Skype, Xbox) Tylko osobiste konta Microsoft	Zawsze używaj kont w tym katalogu organizacyjnym (pojedynczy dzierżawca).
Platforma	Następujące platformy: Klient publiczny/natywny (mobilny i klasyczny) Web Aplikacja jednostronicowa (SPA)	Następujące platformy: Klient publiczny (komputery przenośne i stacjonarne) Natywne uwierzytelnianie mobilne Internet Aplikacja jednostronicowa (SPA)
Uwierzytelnianie>Identyfikatory URI przekierowania	Identyfikatory URI firmy Microsoft entra są akceptowane jako miejsca docelowe podczas zwracania odpowiedzi uwierzytelniania (tokenów) po pomyślnym uwierzytelnieniu lub wylogowaniu użytkowników.	Tak samo jak siła robocza.
Uwierzytelnianie>Adres URL wylogowywania z front-channel	Ten adres URL polega na tym, że identyfikator Entra firmy Microsoft wysyła żądanie, aby aplikacja wyczyściła dane sesji użytkownika. Adres URL wylogowywania kanału frontowego jest wymagany, aby jednokrotne wylogowanie działało poprawnie.	Tak samo jak siła robocza.
Udzielanie niejawne uwierzytelniania>i przepływy hybrydowe	Zażądaj tokenu bezpośrednio z punktu końcowego autoryzacji.	Tak samo jak siła robocza.
Certyfikaty i wpisy tajne	Certyfikat Tajemnice klienta Poświadczenia federacyjne	Tak samo jak siła robocza.
Uprawnienia interfejsu API	Dodawanie, usuwanie i zastępowanie uprawnień do aplikacji. Po dodaniu uprawnień do aplikacji użytkownicy lub administratorzy muszą wyrazić zgodę na nowe uprawnienia. Dowiedz się więcej o aktualizowaniu żądanych uprawnień aplikacji w identyfikatorze Entra firmy Microsoft.	Poniżej znajdują się dozwolone uprawnienia: Microsoft Graph `offline_access`, `openid`, `User.Read` oraz uprawnienia delegowane w ramach Moje interfejsy API. Tylko administrator może wyrazić zgodę w imieniu organizacji.
Uwidacznianie interfejsu API	Zdefiniuj zakresy niestandardowe, aby ograniczyć dostęp do danych i funkcji chronionych przez interfejs API. Aplikacja, która wymaga dostępu do części tego interfejsu API, może zażądać zgody użytkownika lub administratora na co najmniej jeden z tych zakresów.	Zdefiniuj zakresy niestandardowe, aby ograniczyć dostęp do danych i funkcji chronionych przez interfejs API. Aplikacja, która wymaga dostępu do części tego interfejsu API, może zażądać zgody administratora na co najmniej jeden z tych zakresów.
Role aplikacji	Role aplikacji to niestandardowe role do przypisywania uprawnień użytkownikom lub aplikacjom. Aplikacja definiuje i publikuje role aplikacji i interpretuje je jako uprawnienia podczas autoryzacji.	Tak samo jak siła robocza. Dowiedz się więcej o korzystaniu z kontroli dostępu opartej na rolach dla aplikacji w dzierżawie zewnętrznej.
Właścicieli	Właściciele aplikacji mogą wyświetlać i edytować rejestrację aplikacji. Ponadto każdy użytkownik (który może nie być wymieniony) z uprawnieniami administracyjnymi do zarządzania dowolną aplikacją (na przykład administrator aplikacji w chmurze) może wyświetlać i edytować rejestrację aplikacji.	Tak samo jak siła robocza.
Role i administratorzy	Role administracyjne są używane do udzielania dostępu do akcji uprzywilejowanych w usłudze Microsoft Entra ID.	Tylko rola Administrator aplikacji w chmurze może być używana dla aplikacji w dzierżawach zewnętrznych. Ta rola umożliwia tworzenie wszystkich aspektów rejestracji aplikacji i aplikacji dla przedsiębiorstw oraz zarządzanie nimi.
Przypisywanie użytkowników i grup do aplikacji	Jeśli wymagane jest przypisanie użytkownika, będą mogli się zalogować tylko użytkownicy przypisani do aplikacji (przez bezpośrednie przypisanie użytkownika lub na podstawie członkostwa w grupie). Aby uzyskać więcej informacji, zobacz Zarządzanie przypisaniem użytkowników i grup do aplikacji	Niedostępny

Przepływy OpenID Connect i OAuth2

W poniższej tabeli porównane są funkcje dostępne w przepływach autoryzacji OAuth 2.0 i OpenID Connect dla każdego typu dzierżawcy.

Funkcja	Najemca siły roboczej	Najemca zewnętrzny
OpenID Connect	Tak	Tak
Kod autoryzacji	Tak	Tak
Kod autoryzacji za pomocą programu Code Exchange (PKCE)	Tak	Tak
Poświadczenia klienta	Tak	Aplikacje w wersji 2.0 (wersja zapoznawcza)
Autoryzacja urządzenia	Tak	Podgląd
Przepływ „w imieniu”	Tak	Tak
Niejawne udzielanie	Tak	Tak
Poświadczenia hasłowe właściciela zasobu	Tak	Nie, w przypadku aplikacji mobilnych użyj uwierzytelniania natywnego.

Adres URL autoryzacji w przepływach OpenID Connect i OAuth2

Adres URL autorytetu to adres URL wskazujący katalog, z którego MSAL może żądać tokenów. W przypadku aplikacji w dzierżawach zewnętrznych należy zawsze używać następującego formatu: <nazwa-dzierżawy.ciamlogin.com>

Poniższy kod JSON przedstawia przykład pliku appsettings.json aplikacji .NET z adresem URL autorytetu:

{
    "AzureAd": {
        "Authority": "https://<Enter_the_Tenant_Subdomain_Here>.ciamlogin.com/",
        "ClientId": "<Enter_the_Application_Id_Here>"
    }
}

Dostęp warunkowy

W poniższej tabeli porównaliśmy funkcje dostępne dla dostępu warunkowego w każdym typie dzierżawy.

Funkcja	Najemca siły roboczej	Zewnętrzny najemca
Zadania	Tożsamości użytkowników, grup i obciążeń	Uwzględnij wszystkich użytkowników i wyklucz użytkowników i grupy. Aby uzyskać więcej informacji, zobacz Dodawanie uwierzytelniania wieloskładnikowego (MFA) do aplikacji.
Zasoby docelowe	Aplikacje w chmurze Akcje użytkownika Globalny bezpieczny dostęp Kontekst uwierzytelniania	Wszystkie zasoby, wybrane aplikacje lub filtrowanie aplikacji. Kontekst uwierzytelniania
Warunki	Ryzyko związane z logowaniem Ryzyko związane z użytkownikiem Platformy urządzeń Lokalizacje Aplikacje klienckie Filtrowanie dla urządzeń	Ryzyko związane z logowaniem Ryzyko związane z użytkownikiem Platformy urządzeń Lokalizacje
Grant	Udzielanie lub blokowanie dostępu do zasobów	Blokuj dostęp Wymaganie uwierzytelniania wieloskładnikowego Wymagaj resetowania hasła
Sesja	Kontrolki sesji	Niedostępny

Zarządzanie klientami

W poniższej tabeli porównaliśmy funkcje dostępne do zarządzania użytkownikami w każdym typie dzierżawy. Jak wspomniano w tabeli, niektóre typy kont są tworzone za pośrednictwem zaproszenia lub rejestracji samoobsługowej. Administrator dzierżawcy może również tworzyć konta za pośrednictwem centrum administracyjnego.

Funkcja	Najemca siły roboczej	Zewnętrzny najemca
Typy kont	Członkowie wewnętrzni, na przykład pracownicy i administratorzy. Użytkownicy zewnętrzni, którzy są zapraszani lub korzystają z rejestracji samoobsługowej.	Użytkownicy wewnętrzni w twojej dzierżawie, na przykład administratorzy. Zewnętrzni konsumenci i klienci biznesowi, którzy korzystają z rejestracji samoobsługowej lub którzy są utworzeni przez administratorów. Użytkownicy zewnętrzni, którzy są zapraszani (wersja zapoznawcza).
Zarządzanie informacjami o profilu użytkownika	Programowo i przy użyciu centrum administracyjnego firmy Microsoft Entra.	Tak samo jak pracownicy.
Resetowanie hasła użytkownika	Administratorzy mogą zresetować hasło użytkownika, jeśli hasło zostanie zapomniane, jeśli użytkownik zostanie zablokowany z urządzenia lub jeśli użytkownik nigdy nie otrzymał hasła.	Tak samo jak siła robocza.
Przywracanie lub usuwanie ostatnio usuniętego użytkownika	Po usunięciu użytkownika konto zostanie wstrzymane na 30 dni. Podczas tego 30-dniowego okresu można przywrócić konto użytkownika wraz ze wszystkimi jego właściwościami.	Tak samo jak siła robocza.
Wyłącz konta	Uniemożliwiać nowemu użytkownikowi logowanie się.	Tak samo jak siła robocza.

Ochrona hasłem

W poniższej tabeli porównaliśmy funkcje dostępne do ochrony haseł w każdym typie dzierżawy.

Funkcja	Najemca siły roboczej	Zewnętrzny najemca
Inteligentna blokada	Inteligentna blokada pomaga zablokować złych aktorów, którzy próbują odgadnąć hasła użytkowników lub użyć metod siłowych, aby uzyskać dostęp	Tak samo jak siła robocza.
Niestandardowe zakazane hasła	Lista niestandardowych haseł zabronionych przez firmę Microsoft Entra umożliwia dodawanie określonych ciągów do oceny i blokowania.	Niedostępne.

Dostosowywanie tokenu

W poniższej tabeli porównaliśmy funkcje dostępne do dostosowywania tokenu w każdym typie dzierżawy.

Funkcja	Najemca siły roboczej	Najemca zewnętrzny
Mapowanie roszczeń	Dostosowywanie oświadczeń wystawionych w tokenie internetowym JSON (JWT) dla aplikacji dla przedsiębiorstw.	Tak samo jak siła robocza. Opcjonalne oświadczenia należy skonfigurować za pomocą atrybutów i oświadczeń.
Przekształcanie roszczeń	Zastosuj przekształcenie do atrybutu użytkownika zawartego w tokenie internetowym JSON (JWT) dla aplikacji korporacyjnych.	Tak samo jak siła robocza.
Niestandardowy dostawca roszczeń	Niestandardowe rozszerzenie uwierzytelniania, które wywołuje zewnętrzny interfejs API REST w celu pobrania oświadczeń z systemów zewnętrznych.	Tak samo jak siła robocza. Dowiedz się więcej
Grupy zabezpieczeń	Konfigurowanie opcjonalnych oświadczeń grupowych.	Konfigurowanie opcjonalnych oświadczeń grup jest ograniczone do identyfikatora obiektu grupy.
Okresy istnienia tokenu	Możesz określić okres istnienia tokenów zabezpieczających wystawionych przez identyfikator Entra firmy Microsoft.	Tak samo jak siła robocza.

Interfejsy API programu Microsoft Graph

Wszystkie funkcje obsługiwane w dzierżawach zewnętrznych są również obsługiwane w ramach automatyzacji za pośrednictwem interfejsów API programu Microsoft Graph. Niektóre funkcje dostępne w wersji zapoznawczej w dzierżawach zewnętrznych mogą być ogólnie dostępne za pośrednictwem programu Microsoft Graph. Aby uzyskać więcej informacji, zobacz Zarządzanie tożsamością firmy Microsoft i dostępem do sieci przy użyciu programu Microsoft Graph.

Następne kroki

Planowanie CIAM

Udostępnij za pośrednictwem