Recursos suportados na força de trabalho e locatários externos
Há duas maneiras de configurar um locatário do Microsoft Entra, dependendo de como a organização pretende usar o locatário e dos recursos que deseja gerenciar:
- Uma configuração de locatário da força de trabalho é para seus funcionários, aplicativos de negócios internos e outros recursos organizacionais. A colaboração B2B é usada em um locatário da força de trabalho para colaborar com parceiros de negócios externos e convidados.
- Uma configuração de locatário externo é usada exclusivamente para cenários de ID externa em que você deseja publicar aplicativos para consumidores ou clientes empresariais.
Este artigo fornece uma comparação detalhada dos recursos e capacidades disponíveis na força de trabalho e locatários externos.
Nota
Durante a visualização, os recursos ou capacidades que exigem uma licença premium não estão disponíveis em locatários externos.
Comparação geral de recursos
A tabela a seguir compara os recursos gerais e os recursos disponíveis na força de trabalho e nos locatários externos.
Caraterística | Inquilino da força de trabalho | Inquilino externo |
---|---|---|
Cenário de identidades externas | Permita que parceiros de negócios e outros usuários externos colaborem com sua força de trabalho. Os hóspedes podem acessar com segurança seus aplicativos de negócios por meio de convites ou inscrição de autoatendimento. | Use a ID externa para proteger seus aplicativos. Consumidores e clientes empresariais podem acessar com segurança seus aplicativos de consumidor por meio de inscrição de autoatendimento. Convites também são suportados. |
Contas locais | As contas locais são suportadas apenas para membros internos da sua organização. | As contas locais são suportadas para: - Usuários externos (consumidores, clientes empresariais) que usam a inscrição de autoatendimento. - Contas criadas por administradores. |
Grupos | Os grupos podem ser usados para gerenciar contas administrativas e de usuário. | Os grupos podem ser usados para gerenciar contas administrativas. O suporte para grupos e funções de aplicativos do Microsoft Entra está sendo faseado para locatários de clientes. Para obter as atualizações mais recentes, consulte Suporte a grupos e funções de aplicativo. |
Funções e administradores | Funções e administradores são totalmente suportados para contas administrativas e de usuário. | As funções não são suportadas com contas de clientes. As contas de clientes não têm acesso aos recursos do locatário. |
Proteção de ID | Fornece deteção de risco contínua para seu locatário do Microsoft Entra. Ele permite que as organizações descubram, investiguem e corrijam riscos baseados em identidade. | Está disponível um subconjunto das deteções de risco do Microsoft Entra ID Protection. Mais informações. |
Governança de Identidade | Permite que as organizações controlem os ciclos de vida de identidade e acesso e protejam o acesso privilegiado. Mais informações. | Não disponível |
Reposição personalizada de palavras-passe | Permita que os usuários redefina sua senha usando até dois métodos de autenticação (consulte a próxima linha para obter os métodos disponíveis). | Permita que os usuários redefina sua senha usando e-mail com senha única. Mais informações. |
Personalização de idioma | Personalize a experiência de entrada com base no idioma do navegador quando os usuários se autenticarem em sua intranet corporativa ou aplicativos baseados na Web. | Use idiomas para modificar as cadeias de caracteres exibidas para seus clientes como parte do processo de entrada e inscrição. Mais informações. |
Atributos personalizados | Use atributos de extensão de diretório para armazenar mais dados no diretório do Microsoft Entra para objetos de usuário, grupos, detalhes do locatário e entidades de serviço. | Use atributos de extensão de diretório para armazenar mais dados no diretório do cliente para objetos de usuário. Crie atributos de usuário personalizados e adicione-os ao seu fluxo de usuário de inscrição. Mais informações. |
Preços | Preços de usuários ativos mensais (MAU) para convidados externos na colaboração B2B (UserType=Guest). | Preço de usuários ativos mensais (MAU) para todos os usuários no inquilino externo, independentemente da função ou do tipo de usuário. |
Personalização da aparência
A tabela a seguir compara os recursos disponíveis para personalização de aparência na força de trabalho e locatários externos.
Caraterística | Inquilino da força de trabalho | Inquilino externo |
---|---|---|
Marca da empresa | Você pode adicionar a marca da empresa que se aplica a todas essas experiências para criar uma experiência de login consistente para seus usuários. | O mesmo que força de trabalho. Mais informações |
Personalização de idioma | Personalize a experiência de início de sessão por idioma do browser. | O mesmo que força de trabalho. Mais informações |
Nomes de domínio personalizados | Você pode usar domínios personalizados apenas para contas administrativas. | A funcionalidade de domínio de URL personalizado para locatários externos permite que os utilizadores personalizem os pontos de acesso de início de sessão de aplicações com o seu próprio nome de domínio. |
Autenticação nativa para aplicativos móveis | Não disponível | A autenticação nativa do Microsoft Entra permite-lhe ter controlo total sobre o design das suas experiências de início de sessão na aplicação móvel. |
Adicionando sua própria lógica de negócios
As extensões de autenticação personalizadas permitem personalizar a experiência de autenticação do Microsoft Entra integrando-se com sistemas externos. Uma extensão de autenticação personalizada é essencialmente um ouvinte de eventos que, quando ativado, faz uma chamada HTTP para um ponto de extremidade da API REST onde você define sua própria lógica de negócios. A tabela a seguir compara os eventos de extensões de autenticação personalizadas disponíveis na força de trabalho e em locatários externos.
Evento | Inquilino da força de trabalho | Inquilino externo |
---|---|---|
TokenIssuanceStart | Adicione declarações de sistemas externos. | Adicione declarações de sistemas externos. |
OnAttributeCollectionStart | Não disponível | Ocorre no início da etapa de coleta de atributos da inscrição, antes da renderização da página de coleta de atributos. Você pode adicionar ações como pré-preencher valores e exibir um erro de bloqueio. Mais informações |
OnAttributeCollectionSubmit | Não disponível | Ocorre durante o fluxo de inscrição, depois que o usuário insere e envia atributos. Você pode adicionar ações como validar ou modificar as entradas do usuário. Mais informações |
Provedores de identidade e métodos de autenticação
A tabela a seguir compara os provedores de identidade e os métodos disponíveis para autenticação primária e autenticação multifator (MFA) na força de trabalho e locatários externos.
Caraterística | Inquilino da força de trabalho | Inquilino externo |
---|---|---|
Provedores de identidade para usuários externos (autenticação primária) |
Para convidados de inscrição self-service- Contas Microsoft Entra- Contas Microsoft- Senha única por e-mail- Federação do Google- Federação do Facebook Para convidados - Contas Microsoft Entra- Contas Microsoft- Senha única por e-mail - Federação do Google- Federação SAML/WS-Fed |
Para usuários de inscrição de autoatendimento (consumidores, clientes empresariais) - E-mail com senha - senha única de e-mail - federação do Google (visualização) - federação do Facebook (visualização) - federação da Apple (visualização) - federação OIDC (visualização) Para convidados (visualização) Convidados convidados com uma função de diretório (por exemplo, administradores): - Contas Microsoft Entra - Contas - Microsoft Senha única por e-mail |
Métodos de autenticação para MFA |
Para usuários internos (funcionários e administradores) - Métodos de autenticação e verificação Para convidados (inscrição convidada ou self-service) - Métodos de autenticação para MFA convidado |
Para utilizadores de registo self-service (consumidores, clientes empresariais) ou utilizadores convidados (pré-visualização) - Autenticação baseada em SMS com código - de acesso único por e-mail |
Registo de aplicação
A tabela a seguir compara os recursos disponíveis para o registro de aplicativos em cada tipo de locatário.
Caraterística | Inquilino da força de trabalho | Inquilino externo |
---|---|---|
Protocolo | Partes confiáveis SAML, OpenID Connect e OAuth2 | OpenID Connect e OAuth2 |
Tipos de conta suportados | Os seguintes tipos de conta:
|
Sempre use Contas somente neste diretório organizacional (Locatário único). |
Plataforma | As seguintes plataformas:
|
As seguintes plataformas:
|
URIs de redirecionamento de autenticação> | Os URIs que o Microsoft Entra ID aceita como destinos ao retornar respostas de autenticação (tokens) depois de autenticar ou sair com êxito dos usuários. | O mesmo que força de trabalho. |
URL de logout do canal frontal de autenticação> | Essa URL é onde o Microsoft Entra ID envia uma solicitação para que o aplicativo limpe os dados de sessão do usuário. A URL de logout do canal frontal é necessária para que a saída única funcione corretamente. | O mesmo que força de trabalho. |
Autenticação>Concessão implícita e fluxos híbridos | Solicite um token diretamente do ponto de extremidade de autorização. | O mesmo que força de trabalho. |
Certificados & segredos | O mesmo que força de trabalho. | |
Permissões da API | Adicione, remova e substitua permissões para um aplicativo. Depois que as permissões são adicionadas ao seu aplicativo, os usuários ou administradores precisam conceder consentimento para as novas permissões. Saiba mais sobre como atualizar as permissões solicitadas de um aplicativo no Microsoft Entra ID. | A seguir estão as permissões permitidas: Microsoft Graph offline_access , openid e User.Read suas permissões delegadas Minhas APIs . Apenas um administrador pode consentir em nome da organização. |
Expor uma API | Defina escopos personalizados para restringir o acesso a dados e funcionalidades protegidos pela API. Um aplicativo que requer acesso a partes dessa API pode solicitar que um usuário ou administrador consinta em um ou mais desses escopos. | Defina escopos personalizados para restringir o acesso a dados e funcionalidades protegidos pela API. Um aplicativo que requer acesso a partes dessa API pode solicitar o consentimento do administrador para um ou mais desses escopos. |
Funções do aplicativo | As funções de aplicativo são funções personalizadas para atribuir permissões a usuários ou aplicativos. A aplicação define e publica as funções de aplicação e interpreta-as como permissões durante a autorização. | O mesmo que força de trabalho. Saiba mais sobre como usar o controle de acesso baseado em função para aplicativos em um locatário externo. |
Proprietários | Os proprietários de aplicativos podem visualizar e editar o registro do aplicativo. Além disso, qualquer usuário (que pode não estar listado) com privilégios administrativos para gerenciar qualquer aplicativo (por exemplo, Cloud Application Administrator) pode exibir e editar o registro do aplicativo. | O mesmo que força de trabalho. |
Funções e administradores | As funções administrativas são usadas para conceder acesso a ações privilegiadas no Microsoft Entra ID. | Somente a função Cloud Application Administrator pode ser usada para aplicativos em locatários externos. Essa função concede a capacidade de criar e gerenciar todos os aspetos de registros de aplicativos e aplicativos corporativos. |
Atribuir utilizadores e grupos a uma aplicação | Quando a atribuição do utilizador é necessária, apenas os utilizadores que atribua à aplicação (seja através da atribuição direta do utilizador ou com base na associação ao grupo) podem iniciar sessão. Para obter mais informações, consulte gerenciar a atribuição de usuários e grupos a um aplicativo | Não disponível |
Fluxos OpenID Connect e OAuth2
A tabela a seguir compara os recursos disponíveis para OAuth 2.0 e fluxos de autorização do OpenID Connect em cada tipo de locatário.
Caraterística | Inquilino da força de trabalho | Inquilino externo |
---|---|---|
OpenID Connect | Sim | Sim |
Código de autorização | Sim | Sim |
Código de autorização com troca de código (PKCE) | Sim | Sim |
Credenciais de cliente | Sim | Aplicações V2.0 (Pré-visualização) |
Autorização do dispositivo | Sim | Pré-visualizar |
Fluxo Em-Nome-De | Sim | Sim |
Subvenção implícita | Sim | Sim |
Credenciais de senha do proprietário do recurso | Sim | Não, para aplicativos móveis, use autenticação nativa. |
URL de autoridade no OpenID Connect e fluxos OAuth2
A URL de autoridade é uma URL que indica um diretório do qual a MSAL pode solicitar tokens. Para aplicativos em locatários externos, sempre use o seguinte formato: <tenant-name.ciamlogin.com>
O JSON a seguir mostra um exemplo de um aplicativo .NET appsettings.json arquivo com uma URL de autoridade:
{
"AzureAd": {
"Authority": "https://<Enter_the_Tenant_Subdomain_Here>.ciamlogin.com/",
"ClientId": "<Enter_the_Application_Id_Here>"
}
}
Acesso Condicional
A tabela a seguir compara os recursos disponíveis para Acesso Condicional em cada tipo de locatário.
Caraterística | Inquilino da força de trabalho | Inquilino externo |
---|---|---|
Atribuições | Identidades de usuários, grupos e carga de trabalho | Inclua todos os usuários e exclua usuários e grupos. Para obter mais informações, consulte Adicionar autenticação multifator (MFA) a um aplicativo. |
Recursos de destino |
|
|
Condições | ||
Conceder | Conceder ou bloquear o acesso aos recursos | |
Sessão | Controles de sessão | Não disponível |
Gestão de contas
A tabela a seguir compara os recursos disponíveis para gerenciamento de usuários em cada tipo de locatário. Conforme observado na tabela, determinados tipos de conta são criados por meio de convite ou inscrição de autoatendimento. Um administrador de utilizador no inquilino também pode criar contas através do centro de administração.
Caraterística | Inquilino da força de trabalho | Inquilino externo |
---|---|---|
Tipos de contas |
|
|
Gerenciar informações de perfil de usuário | Programaticamente e usando o centro de administração do Microsoft Entra. | O mesmo que força de trabalho. |
Redefinir a senha de um usuário | Os administradores podem redefinir a senha de um usuário se a senha for esquecida, se o usuário for bloqueado de um dispositivo ou se o usuário nunca recebeu uma senha. | O mesmo que força de trabalho. |
Restaurar ou remover um utilizador recentemente eliminado | Depois de eliminar um utilizador, a conta permanece num estado suspenso por um período de 30 dias. Durante a janela de 30 dias, a conta do utilizador pode ser restaurada, juntamente com todas as propriedades. | O mesmo que força de trabalho. |
Desativar contas | Impedir que o novo utilizador consiga iniciar sessão. | O mesmo que força de trabalho. |
Proteção por palavra-passe
A tabela a seguir compara os recursos disponíveis para proteção por senha em cada tipo de locatário.
Caraterística | Inquilino da força de trabalho | Inquilino externo |
---|---|---|
Bloqueio inteligente | O bloqueio inteligente ajuda a bloquear agentes mal-intencionados que tentam adivinhar as senhas de seus usuários ou usam métodos de força bruta para entrar | O mesmo que força de trabalho. |
Palavras-passe personalizadas proibidas | A lista de senhas proibidas personalizadas do Microsoft Entra permite adicionar cadeias de caracteres específicas para avaliar e bloquear. | Não disponível. |
Personalização de token
A tabela a seguir compara os recursos disponíveis para personalização de token em cada tipo de locatário.
Caraterística | Inquilino da força de trabalho | Inquilino externo |
---|---|---|
Mapeamento de sinistros | Personalize as declarações emitidas no token da Web JSON (JWT) para aplicativos corporativos. | O mesmo que força de trabalho. As declarações opcionais devem ser configuradas por meio de Atributos & Declarações. |
Transformação de sinistros | Aplique uma transformação a um atributo de usuário emitido no token da Web JSON (JWT) para aplicativos corporativos. | O mesmo que força de trabalho. |
Provedor de declarações personalizado | Extensão de autenticação personalizada que chama uma API REST externa para buscar declarações de sistemas externos. | O mesmo que força de trabalho. Mais informações |
Grupos de segurança | Configure declarações opcionais de grupos. | As declarações opcionais de configuração de grupos são limitadas ao ID do objeto de grupo. |
Durações de token | Você pode especificar o tempo de vida dos tokens de segurança emitidos pela ID do Microsoft Entra. | O mesmo que força de trabalho. |
Microsoft Graph APIs
Todos os recursos suportados em locatários externos também são suportados para automação por meio de APIs do Microsoft Graph. Alguns recursos que estão em visualização em locatários externos podem estar geralmente disponíveis através do Microsoft Graph. Para obter mais informações, consulte Gerenciar a identidade do Microsoft Entra e o acesso à rede usando o Microsoft Graph.