Поддерживаемые функции в организациях и внешних арендаторах
Существует два способа настройки клиента Microsoft Entra в зависимости от того, как организация намерена использовать клиент и ресурсы, которыми они хотят управлять:
- Конфигурация арендатора рабочей силы предназначена для ваших сотрудников, внутренних бизнес-приложений и других организационных ресурсов. Совместная работа B2B используется в тенанте рабочей силы для взаимодействия с внешними деловыми партнерами и гостями.
- Конфигурация внешнего клиента используется исключительно для сценариев внешнего идентификатора, в которых требуется опубликовать приложения для потребителей или бизнес-клиентов.
В этой статье приведено подробное сравнение функций и возможностей, доступных в рабочей силе и внешних клиентах.
Примечание.
Во время предварительного просмотра функции или возможности, требующие премиальной лицензии, недоступны во внешних арендаторах.
Сравнение общих признаков
В следующей таблице сравниваются общие функции и возможности, доступные в рабочей силе и внешних клиентах.
Функция | Арендатор рабочей силы | Внешний арендатор |
---|---|---|
Сценарий внешних идентичностей | Разрешить бизнес-партнерам и другим внешним пользователям сотрудничать с сотрудниками. Гости могут безопасно получить доступ к бизнес-приложениям с помощью приглашений или самостоятельной регистрации. | Используйте внешний идентификатор для защиты приложений. Потребители и бизнес-клиенты могут безопасно получать доступ к приложениям-потребителям через самостоятельную регистрацию. Приглашения также поддерживаются. |
Локальные учетные записи | Локальные учетные записи поддерживаются только для внутренних членов организации. | Локальные учетные записи поддерживаются для: - Внешние пользователи (потребители, бизнес-клиенты), использующие самостоятельную регистрацию. — учетные записи, созданные администраторами. |
Группы | Группы можно использовать для управления учетными записями администратора и пользователей. | Группы можно использовать для управления учетными записями администраторов. Поддержка групп и ролей приложений в Microsoft Entra поэтапно внедряется в клиентские тенанты. Для получения последних обновлений см. раздел Поддержка групп и ролей приложений. |
Роли и администраторы | Роли и администраторы полностью поддерживаются для администраторских и пользовательских учетных записей. | Роли не поддерживаются с учетными записями клиентов. Учетные записи клиентов не имеют доступа к ресурсам арендатора. |
Защита идентификаторов | Обеспечивает постоянное обнаружение рисков для клиента Microsoft Entra. Она позволяет организациям обнаруживать, исследовать и устранять идентификационные риски. | Доступно подмножество обнаружений рисков в системе защиты идентификатора Microsoft Entra. Подробнее. |
управление идентификаторами | Позволяет организациям управлять жизненным циклом удостоверений и доступа, а также обеспечивать безопасность привилегированного доступа. Подробнее. | Недоступно |
Самостоятельный сброс пароля | Разрешить пользователям сбрасывать пароль с помощью двух методов проверки подлинности (см. следующую строку доступных методов). | Разрешить пользователям сбрасывать пароль, используя электронную почту с одноразовым кодом доступа. Подробнее. |
Настройка языка | Настройте интерфейс входа на основе языка браузера при проверке подлинности пользователей в корпоративной интрасети или веб-приложениях. | Используйте языки для изменения строк, отображаемых клиентам в рамках процесса входа и регистрации. Подробнее. |
Настраиваемые атрибуты | Используйте атрибуты расширения каталога для хранения дополнительных данных в каталоге Microsoft Entra для пользовательских объектов, групп, сведений о клиенте и субъектов-служб. | Используйте атрибуты расширения каталога для хранения дополнительных данных в каталоге клиента для пользовательских объектов. Создайте настраиваемые атрибуты пользователя и добавьте их в процесс регистрации пользователя. Подробнее. |
Цены | Ценообразование для ежемесячно активных пользователей (MAU) для внешних гостей в рамках B2B совместной работы (UserType=Guest). | Цены на ежемесячных активных пользователей (MAU) для всех пользователей во внешнем тенанте, независимо от роли или UserType. |
Настройка внешнего вида и ощущений
В следующей таблице сравниваются функции, доступные для настройки внешнего вида и стиля у сотрудников и внешних тенантов.
Функция | Арендатор рабочей силы | Внешний арендатор |
---|---|---|
Фирменная символика компании | Вы можете добавить фирменную символику компании, которая применяется ко всем этим интерфейсам, чтобы создать согласованный интерфейс входа для пользователей. | То же самое, что и рабочая сила. Подробнее |
Настройка языка | Настройте интерфейс входа на языке браузера. | То же самое, что и рабочая сила. Подробнее |
Личные доменные имена | Пользовательские домены можно использовать только для административных учетных записей. | Функция пользовательского домена URL для внешних арендаторов позволяет брендировать точки входа в приложение, используя ваше собственное доменное имя. |
Встроенная проверка подлинности для мобильных приложений | Недоступно | Встроенная проверка подлинности Microsoft Entra позволяет полностью контролировать проектирование возможностей входа в мобильное приложение. |
Добавление собственной бизнес-логики
Пользовательские расширения проверки подлинности позволяют настроить интерфейс проверки подлинности Microsoft Entra путем интеграции с внешними системами. Расширение пользовательской аутентификации фактически представляет собой прослушиватель событий, который при активации выполняет вызов HTTP к конечной точке REST API, где определяется ваша собственная бизнес-логика. В следующей таблице сравниваются события настраиваемых расширений для проверки подлинности, доступные в рабочих учетных записях и у внешних клиентов.
Мероприятие | Арендатор рабочей силы | Внешний арендатор |
---|---|---|
TokenIssuanceStart | Добавьте утверждения из внешних систем. | Добавьте утверждения из внешних систем. |
ПриНачалеСбораАтрибутов | Недоступно | Происходит в начале этапа сбора атрибутов при регистрации, перед отображением страницы сбора атрибутов. Можно добавить такие действия, как предварительное заполнение значений и отображение ошибки блокировки. Подробнее |
OnAttributeCollectionSubmit | Недоступно | Происходит во время потока регистрации после ввода и отправки атрибутов. Можно добавить такие действия, как проверка или изменение записей пользователя. Подробнее |
OnOtpSend | Недоступно | Настройте настраиваемый поставщик электронной почты для однократных событий отправки секретного кода. Подробнее |
Поставщики удостоверений и методы проверки подлинности
В следующей таблице сравниваются поставщики удостоверений и методы, доступные для первичной проверки подлинности и многофакторной проверки подлинности (MFA) в рабочей силе и внешних клиентах.
Функция | Арендатор рабочей силы | Внешний арендатор |
---|---|---|
Поставщики удостоверений для внешних пользователей (первичная проверка подлинности) |
Для гостей, регистрирующихся самостоятельно - Учетная запись Microsoft Entra - Учетная запись Microsoft - Одноразовый пароль по электронной почте - Федерация Google - Федерация Facebook Для приглашенных гостей — учетные записи Microsoft Entra — учетные записи Microsoft — одноразовый секретный код по электронной почте — федерация Google — федерация SAML/WS-Fed |
Для пользователей самостоятельной регистрации (потребителей, бизнес-клиентов) - Электронная почта с паролем - одноразовый проверочный код по электронной почте - федерация Google - федерация Facebook - федерация Apple (предварительная версия) - федерация OIDC (предварительная версия) - SAML/WS-Fed федерация (предварительная версия) Для приглашенных гостей (предварительная версия) Гости, приглашенные с ролью в каталоге (например, администраторы): - Учётные записи Microsoft Entra - Учетные записи Microsoft - Одноразовый код доступа по электронной почте - SAML/WS-Fed федерация (предварительная версия) |
Методы проверки подлинности для MFA |
Для внутренних пользователей (сотрудников и администраторов) - Методы аутентификации и верификации Для гостей (приглашенных или зарегистрированных самостоятельно) - Методы аутентификации для многофакторной аутентификации гостей |
Для пользователей самостоятельной регистрации (потребителей, бизнес-клиентов) или приглашенных пользователей (предварительная версия) - Одноразовый пароль по электронной почте - Аутентификация на основе SMS |
Регистрация приложения
В следующей таблице сравниваются функции, доступные для регистрации приложений в каждом типе клиента.
Функция | Арендатор рабочей силы | Внешний арендатор |
---|---|---|
Протокол | Доверенные стороны SAML, OpenID Connect и OAuth2 | стороны, полагающиеся на доверие в SAML, OpenID Connectи OAuth2 |
Поддерживаемые типы учетных записей | Следующие типы учетных записей:
|
Всегда используйте учетные записи в каталоге только этой организации (один арендатор). |
Платформа | Следующие платформы:
|
Следующие платформы:
|
Проверка подлинности>URI перенаправления | URI, которые Microsoft Entra ID принимает в качестве направлений при возврате ответов аутентификации (токенов) после успешной аутентификации или выхода пользователей. | То же самое, что и рабочая сила. |
Проверка подлинности>URL-адрес выхода из системы (front-channel) | Это URL-адрес, в котором идентификатор Microsoft Entra отправляет запрос, чтобы приложение очистит данные сеанса пользователя. URL-адрес выхода фронт-канала требуется для корректной работы единого выхода. | То же самое, что и рабочая сила. |
Аутентификация>Неявное предоставление и гибридные потоки | Запрашивайте маркер непосредственно от конечной точки авторизации. | То же самое, что и рабочая сила. |
Сертификаты и секреты | То же самое, что и рабочая сила. | |
Разрешения API | Добавление, удаление и замена разрешений для приложения. После добавления разрешений в приложение пользователи или администраторы должны предоставить согласие новым разрешениям. Узнайте больше об обновлении запрошенных разрешений приложения в идентификаторе Microsoft Entra. | Ниже перечислены разрешенные права доступа: Microsoft Graph offline_access , openid , и User.Read и ваши мои API-интерфейсы. Только администратор может предоставить согласие от имени организации. |
Предоставление API | Определите пользовательские области для ограничения доступа к данным и функциям, защищенным API. Приложение, требующее доступа к частям этого API, может запросить согласие пользователя или администратора на одну или несколько этих областей. | Определите пользовательские области, чтобы ограничить доступ к данным и функциям, защищаемым API. Приложение, требующее доступа к частям этого API, может запросить согласие администратора на одну или несколько этих областей. |
Роли приложения | Роли приложений — это пользовательские роли для назначения разрешений пользователям или приложениям. Приложение определяет и публикует роли приложения, а также интерпретирует их как разрешения во время авторизации. | То же самое, что и рабочая сила. Дополнительные сведения об использовании управления доступом на основе ролей для приложений во внешнем клиенте. |
Владельцы | Владельцы приложений могут просматривать и изменять регистрацию приложения. Кроме того, любой пользователь (который не может быть указан) с правами администратора для управления любым приложением (например, администратор облачных приложений) может просматривать и изменять регистрацию приложения. | То же самое, что и рабочая сила. |
Роли и администраторы | Административные роли используются для предоставления доступа к привилегированным действиям в идентификаторе Microsoft Entra. | Для приложений в внешних клиентах можно использовать только роль администратора облачных приложений. Эта роль предоставляет возможность создавать и управлять всеми аспектами регистрации приложений и корпоративными приложениями. |
Назначение пользователей и групп приложению | Если требуется назначение пользователей, вход будет доступен только пользователям, назначенным приложению (с помощью прямого назначения пользователей или на основе членства в группе). Дополнительные сведения см. в разделе "Управление пользователями и группами" для приложения | Недоступно |
Потоки OpenID Connect и OAuth2
В следующей таблице сравниваются функции, доступные для потоков авторизации OAuth 2.0 и OpenID Connect в каждом типе клиента.
Функция | Арендатор рабочей силы | Внешний арендатор |
---|---|---|
OpenID Connect | Да | Да |
Код авторизации | Да | Да |
Код авторизации с помощью Code Exchange (PKCE) | Да | Да |
Учетные данные клиента | Да | Приложения версии 2.0 (предварительная версия) |
Авторизация устройства | Да | Предварительный просмотр |
Поток от имени | Да | Да |
Неявное разрешение | Да | Да |
Учетные данные владельца ресурса | Да | Нет, для мобильных приложений используйте собственную проверку подлинности. |
URL-адрес авторизации в потоках OpenID Connect и OAuth2
URL-адрес авторитета — это URL-адрес, указывающий каталог, из которого MSAL может запрашивать токены. Для приложений во внешних арендаторах всегда используйте следующий формат: <имя-арендатора>.ciamlogin.com
В следующем примере JSON показан пример файла appsettings.json приложения .NET с URL-адресом авторизации:
{
"AzureAd": {
"Authority": "https://<Enter_the_Tenant_Subdomain_Here>.ciamlogin.com/",
"ClientId": "<Enter_the_Application_Id_Here>"
}
}
Условный доступ
В следующей таблице сравниваются функции, доступные для условного доступа в каждом типе клиента.
Функция | Арендатор рабочей силы | Внешний арендатор |
---|---|---|
Назначения | Пользователи, группы и идентификаторы рабочих нагрузок | Включите всех пользователей и исключите пользователей и группы. Дополнительные сведения см. в разделе "Добавление многофакторной проверки подлинности(MFA) в приложение. |
Целевые ресурсы | ||
Условия | ||
Грант | Предоставление или блокировка доступа к ресурсам | |
Сессия | Элементы управления сеансами | Недоступно |
Управление учетной записью
В следующей таблице сравниваются функции, доступные для управления пользователями в каждом типе клиента. Как отмечалось в таблице, некоторые типы учетных записей создаются с помощью приглашения или самостоятельной регистрации. Администратор пользователя в клиенте также может создавать учетные записи через центр администрирования.
Функция | Арендатор рабочей силы | Внешний арендатор |
---|---|---|
Типы учетных записей |
|
|
Управление сведениями профиля пользователя | Программно и с помощью Центра администрирования Microsoft Entra. | То же самое, что и рабочая сила. |
Сброс пароля пользователя | Администраторы могут сбросить пароль пользователя, если пароль забылся, если пользователь заблокирован на устройстве или если пользователь никогда не получил пароль. | То же самое, что и рабочая сила. |
Восстановление или окончательное удаление недавно удаленного пользователя | После удаления пользователя его учетная запись остается в заблокированном состоянии в течение 30 дней. В течение этого времени учетную запись пользователя и все ее свойства можно восстановить. | То же самое, что и рабочая сила. |
Отключение учетных записей | Запретить новому пользователю войти в систему. | То же самое, что и рабочая сила. |
Защита паролем
В следующей таблице сравниваются функции, доступные для защиты паролей в каждом типе клиента.
Функция | Арендатор рабочей силы | Внешний арендатор |
---|---|---|
Смарт-блокировка | Смарт-блокировка помогает заблокировать злоумышленников, которые пытаются угадать пароли пользователей или использовать методы подбора, чтобы проникнуть. | То же самое, что и рабочая сила. |
Настраиваемые запрещенные пароли | Настраиваемый список запрещенных паролей Microsoft Entra позволяет добавлять определенные строки для оценки и блокировки. | Недоступна. |
Настройка токена
В следующей таблице сравниваются возможности, доступные для настройки токенов в каждом типе арендатора.
Функция | Арендатор рабочей силы | Внешний арендатор |
---|---|---|
Сопоставление утверждений | Настройте утверждения, выдаваемые в токене JSON (JWT) для корпоративных приложений. | То же самое, что и рабочая сила. Необязательные утверждения должны быть настроены с помощью атрибутов и утверждений. |
Преобразование утверждений | Примените преобразование к атрибуту пользователя, выданному в веб-токене JSON (JWT) для корпоративных приложений. | То же самое, что и рабочая сила. |
Поставщик пользовательских утверждений | Расширение пользовательской проверки подлинности , которое вызывает внешний REST API для получения утверждений из внешних систем. | То же самое, что и рабочая сила. Подробнее |
Группы безопасности | Настройте необязательные параметры групп. | Настройка необязательных утверждений для групп ограничена идентификатором объекта группы. |
Время существования токена | Можно указать время существования маркеров безопасности, выданных идентификатором Microsoft Entra. | То же самое, что и рабочая сила. |
API-интерфейсы Microsoft Graph
Все функции, поддерживаемые внешними клиентами, также поддерживаются для автоматизации через API Microsoft Graph. Некоторые функции, которые находятся в предварительной версии во внешних клиентах, могут быть общедоступными с помощью Microsoft Graph. Дополнительные сведения см. в статье "Управление удостоверением Microsoft Entra и сетевым доступом с помощью Microsoft Graph".