Поддерживаемые функции в организациях и внешних арендаторах

Существует два способа настройки клиента Microsoft Entra в зависимости от того, как организация намерена использовать клиент и ресурсы, которыми они хотят управлять:

• Конфигурация арендатора рабочей силы предназначена для ваших сотрудников, внутренних бизнес-приложений и других организационных ресурсов. Совместная работа B2B используется в тенанте рабочей силы для взаимодействия с внешними деловыми партнерами и гостями.
• Конфигурация внешнего клиента используется исключительно для сценариев внешнего идентификатора, в которых требуется опубликовать приложения для потребителей или бизнес-клиентов.

В этой статье приведено подробное сравнение функций и возможностей, доступных в рабочей силе и внешних клиентах.

Примечание.

Во время предварительного просмотра функции или возможности, требующие премиальной лицензии, недоступны во внешних арендаторах.

Сравнение общих признаков

В следующей таблице сравниваются общие функции и возможности, доступные в рабочей силе и внешних клиентах.

Функция	Арендатор рабочей силы	Внешний арендатор
Сценарий внешних идентичностей	Разрешить бизнес-партнерам и другим внешним пользователям сотрудничать с сотрудниками. Гости могут безопасно получить доступ к бизнес-приложениям с помощью приглашений или самостоятельной регистрации.	Используйте внешний идентификатор для защиты приложений. Потребители и бизнес-клиенты могут безопасно получать доступ к приложениям-потребителям через самостоятельную регистрацию. Приглашения также поддерживаются.
Локальные учетные записи	Локальные учетные записи поддерживаются только для внутренних членов организации.	Локальные учетные записи поддерживаются для: - Внешние пользователи (потребители, бизнес-клиенты), использующие самостоятельную регистрацию. — учетные записи, созданные администраторами.
Группы	Группы можно использовать для управления учетными записями администратора и пользователей.	Группы можно использовать для управления учетными записями администраторов. Поддержка групп и ролей приложений в Microsoft Entra поэтапно внедряется в клиентские тенанты. Для получения последних обновлений см. раздел Поддержка групп и ролей приложений.
Роли и администраторы	Роли и администраторы полностью поддерживаются для администраторских и пользовательских учетных записей.	Роли не поддерживаются с учетными записями клиентов. Учетные записи клиентов не имеют доступа к ресурсам арендатора.
Защита идентификаторов	Обеспечивает постоянное обнаружение рисков для клиента Microsoft Entra. Она позволяет организациям обнаруживать, исследовать и устранять идентификационные риски.	Доступно подмножество обнаружений рисков в системе защиты идентификатора Microsoft Entra. Подробнее.
управление идентификаторами	Позволяет организациям управлять жизненным циклом удостоверений и доступа, а также обеспечивать безопасность привилегированного доступа. Подробнее.	Недоступно
Самостоятельный сброс пароля	Разрешить пользователям сбрасывать пароль с помощью двух методов проверки подлинности (см. следующую строку доступных методов).	Разрешить пользователям сбрасывать пароль, используя электронную почту с одноразовым кодом доступа. Подробнее.
Настройка языка	Настройте интерфейс входа на основе языка браузера при проверке подлинности пользователей в корпоративной интрасети или веб-приложениях.	Используйте языки для изменения строк, отображаемых клиентам в рамках процесса входа и регистрации. Подробнее.
Настраиваемые атрибуты	Используйте атрибуты расширения каталога для хранения дополнительных данных в каталоге Microsoft Entra для пользовательских объектов, групп, сведений о клиенте и субъектов-служб.	Используйте атрибуты расширения каталога для хранения дополнительных данных в каталоге клиента для пользовательских объектов. Создайте настраиваемые атрибуты пользователя и добавьте их в процесс регистрации пользователя. Подробнее.
Цены	Ценообразование для ежемесячно активных пользователей (MAU) для внешних гостей в рамках B2B совместной работы (UserType=Guest).	Цены на ежемесячных активных пользователей (MAU) для всех пользователей во внешнем тенанте, независимо от роли или UserType.

Настройка внешнего вида и ощущений

В следующей таблице сравниваются функции, доступные для настройки внешнего вида и стиля у сотрудников и внешних тенантов.

Функция	Арендатор рабочей силы	Внешний арендатор
Фирменная символика компании	Вы можете добавить фирменную символику компании, которая применяется ко всем этим интерфейсам, чтобы создать согласованный интерфейс входа для пользователей.	То же самое, что и рабочая сила. Подробнее
Настройка языка	Настройте интерфейс входа на языке браузера.	То же самое, что и рабочая сила. Подробнее
Личные доменные имена	Пользовательские домены можно использовать только для административных учетных записей.	Функция пользовательского домена URL для внешних арендаторов позволяет брендировать точки входа в приложение, используя ваше собственное доменное имя.
Встроенная проверка подлинности для мобильных приложений	Недоступно	Встроенная проверка подлинности Microsoft Entra позволяет полностью контролировать проектирование возможностей входа в мобильное приложение.

Добавление собственной бизнес-логики

Пользовательские расширения проверки подлинности позволяют настроить интерфейс проверки подлинности Microsoft Entra путем интеграции с внешними системами. Расширение пользовательской аутентификации фактически представляет собой прослушиватель событий, который при активации выполняет вызов HTTP к конечной точке REST API, где определяется ваша собственная бизнес-логика. В следующей таблице сравниваются события настраиваемых расширений для проверки подлинности, доступные в рабочих учетных записях и у внешних клиентов.

Мероприятие	Арендатор рабочей силы	Внешний арендатор
TokenIssuanceStart	Добавьте утверждения из внешних систем.	Добавьте утверждения из внешних систем.
ПриНачалеСбораАтрибутов	Недоступно	Происходит в начале этапа сбора атрибутов при регистрации, перед отображением страницы сбора атрибутов. Можно добавить такие действия, как предварительное заполнение значений и отображение ошибки блокировки. Подробнее
OnAttributeCollectionSubmit	Недоступно	Происходит во время потока регистрации после ввода и отправки атрибутов. Можно добавить такие действия, как проверка или изменение записей пользователя. Подробнее
OnOtpSend	Недоступно	Настройте настраиваемый поставщик электронной почты для однократных событий отправки секретного кода. Подробнее

Поставщики удостоверений и методы проверки подлинности

В следующей таблице сравниваются поставщики удостоверений и методы, доступные для первичной проверки подлинности и многофакторной проверки подлинности (MFA) в рабочей силе и внешних клиентах.

Функция	Арендатор рабочей силы	Внешний арендатор
Поставщики удостоверений для внешних пользователей (первичная проверка подлинности)	Для гостей, регистрирующихся самостоятельно - Учетная запись Microsoft Entra - Учетная запись Microsoft - Одноразовый пароль по электронной почте - Федерация Google - Федерация Facebook Для приглашенных гостей — учетные записи Microsoft Entra — учетные записи Microsoft — одноразовый секретный код по электронной почте — федерация Google — федерация SAML/WS-Fed	Для пользователей самостоятельной регистрации (потребителей, бизнес-клиентов) - Электронная почта с паролем - одноразовый проверочный код по электронной почте - федерация Google - федерация Facebook - федерация Apple (предварительная версия) - федерация OIDC (предварительная версия) - SAML/WS-Fed федерация (предварительная версия) Для приглашенных гостей (предварительная версия) Гости, приглашенные с ролью в каталоге (например, администраторы): - Учётные записи Microsoft Entra - Учетные записи Microsoft - Одноразовый код доступа по электронной почте - SAML/WS-Fed федерация (предварительная версия)
Методы проверки подлинности для MFA	Для внутренних пользователей (сотрудников и администраторов) - Методы аутентификации и верификации Для гостей (приглашенных или зарегистрированных самостоятельно) - Методы аутентификации для многофакторной аутентификации гостей	Для пользователей самостоятельной регистрации (потребителей, бизнес-клиентов) или приглашенных пользователей (предварительная версия) - Одноразовый пароль по электронной почте - Аутентификация на основе SMS

Регистрация приложения

В следующей таблице сравниваются функции, доступные для регистрации приложений в каждом типе клиента.

Функция	Арендатор рабочей силы	Внешний арендатор
Протокол	Доверенные стороны SAML, OpenID Connect и OAuth2	стороны, полагающиеся на доверие в SAML, OpenID Connectи OAuth2
Поддерживаемые типы учетных записей	Следующие типы учетных записей: Учетные записи в этом каталоге организации (только один клиент) Учетные записи в любом каталоге организации (любой клиент Microsoft Entra — Multitenant) Учетные записи в любом каталоге организации (любой клиент Microsoft Entra — Multitenant) и личные учетные записи Майкрософт (например, Skype, Xbox) Только личные учетные записи Майкрософт	Всегда используйте учетные записи в каталоге только этой организации (один арендатор).
Платформа	Следующие платформы: Публичный/родной клиент (мобильный и настольный) Интернет Одностраничные приложения (SPA)	Следующие платформы: Общедоступный клиент (мобильный и настольный) Нативная аутентификация на мобильных устройствах Интернет Одностраничные приложения (SPA)
Проверка подлинности>URI перенаправления	URI, которые Microsoft Entra ID принимает в качестве направлений при возврате ответов аутентификации (токенов) после успешной аутентификации или выхода пользователей.	То же самое, что и рабочая сила.
Проверка подлинности>URL-адрес выхода из системы (front-channel)	Это URL-адрес, в котором идентификатор Microsoft Entra отправляет запрос, чтобы приложение очистит данные сеанса пользователя. URL-адрес выхода фронт-канала требуется для корректной работы единого выхода.	То же самое, что и рабочая сила.
Аутентификация>Неявное предоставление и гибридные потоки	Запрашивайте маркер непосредственно от конечной точки авторизации.	То же самое, что и рабочая сила.
Сертификаты и секреты	Сертификат Секреты клиента Федеративные учетные данные	То же самое, что и рабочая сила.
Разрешения API	Добавление, удаление и замена разрешений для приложения. После добавления разрешений в приложение пользователи или администраторы должны предоставить согласие новым разрешениям. Узнайте больше об обновлении запрошенных разрешений приложения в идентификаторе Microsoft Entra.	Ниже перечислены разрешенные права доступа: Microsoft Graph offline_access, openid, и User.Read и ваши мои API-интерфейсы. Только администратор может предоставить согласие от имени организации.
Предоставление API	Определите пользовательские области для ограничения доступа к данным и функциям, защищенным API. Приложение, требующее доступа к частям этого API, может запросить согласие пользователя или администратора на одну или несколько этих областей.	Определите пользовательские области, чтобы ограничить доступ к данным и функциям, защищаемым API. Приложение, требующее доступа к частям этого API, может запросить согласие администратора на одну или несколько этих областей.
Роли приложения	Роли приложений — это пользовательские роли для назначения разрешений пользователям или приложениям. Приложение определяет и публикует роли приложения, а также интерпретирует их как разрешения во время авторизации.	То же самое, что и рабочая сила. Дополнительные сведения об использовании управления доступом на основе ролей для приложений во внешнем клиенте.
Владельцы	Владельцы приложений могут просматривать и изменять регистрацию приложения. Кроме того, любой пользователь (который не может быть указан) с правами администратора для управления любым приложением (например, администратор облачных приложений) может просматривать и изменять регистрацию приложения.	То же самое, что и рабочая сила.
Роли и администраторы	Административные роли используются для предоставления доступа к привилегированным действиям в идентификаторе Microsoft Entra.	Для приложений в внешних клиентах можно использовать только роль администратора облачных приложений. Эта роль предоставляет возможность создавать и управлять всеми аспектами регистрации приложений и корпоративными приложениями.
Назначение пользователей и групп приложению	Если требуется назначение пользователей, вход будет доступен только пользователям, назначенным приложению (с помощью прямого назначения пользователей или на основе членства в группе). Дополнительные сведения см. в разделе "Управление пользователями и группами" для приложения	Недоступно

Потоки OpenID Connect и OAuth2

В следующей таблице сравниваются функции, доступные для потоков авторизации OAuth 2.0 и OpenID Connect в каждом типе клиента.

Функция	Арендатор рабочей силы	Внешний арендатор
OpenID Connect	Да	Да
Код авторизации	Да	Да
Код авторизации с помощью Code Exchange (PKCE)	Да	Да
Учетные данные клиента	Да	Приложения версии 2.0 (предварительная версия)
Авторизация устройства	Да	Предварительный просмотр
Поток от имени	Да	Да
Неявное разрешение	Да	Да
Учетные данные владельца ресурса	Да	Нет, для мобильных приложений используйте собственную проверку подлинности.

URL-адрес авторизации в потоках OpenID Connect и OAuth2

URL-адрес авторитета — это URL-адрес, указывающий каталог, из которого MSAL может запрашивать токены. Для приложений во внешних арендаторах всегда используйте следующий формат: <имя-арендатора>.ciamlogin.com

В следующем примере JSON показан пример файла appsettings.json приложения .NET с URL-адресом авторизации:

{
    "AzureAd": {
        "Authority": "https://<Enter_the_Tenant_Subdomain_Here>.ciamlogin.com/",
        "ClientId": "<Enter_the_Application_Id_Here>"
    }
}

Условный доступ

В следующей таблице сравниваются функции, доступные для условного доступа в каждом типе клиента.

Функция	Арендатор рабочей силы	Внешний арендатор
Назначения	Пользователи, группы и идентификаторы рабочих нагрузок	Включите всех пользователей и исключите пользователей и группы. Дополнительные сведения см. в разделе "Добавление многофакторной проверки подлинности(MFA) в приложение.
Целевые ресурсы	Облачные приложения Действия пользователя Глобальный безопасный доступ Контекст проверки подлинности	Все ресурсы, выбранные приложения или фильтры приложений. Контекст проверки подлинности
Условия	Риск при входе Риск пользователя Платформы устройств Расположения Клиентские приложения Фильтрация для устройств	Риск при входе Риск пользователя Платформы устройств Расположения
Грант	Предоставление или блокировка доступа к ресурсам	Заблокировать доступ Требовать многофакторную проверку подлинности Требовать сброс пароля
Сессия	Элементы управления сеансами	Недоступно

Управление учетной записью

В следующей таблице сравниваются функции, доступные для управления пользователями в каждом типе клиента. Как отмечалось в таблице, некоторые типы учетных записей создаются с помощью приглашения или самостоятельной регистрации. Администратор пользователя в клиенте также может создавать учетные записи через центр администрирования.

Функция	Арендатор рабочей силы	Внешний арендатор
Типы учетных записей	Внутренние члены, например сотрудники и администраторы. Внешние пользователи, которых пригласили или которые используют самостоятельную регистрацию.	Внутренние пользователи вашего клиента, например администраторы. Внешние потребители и бизнес-клиенты, использующие самостоятельную регистрацию или созданные администраторами. Внешние пользователи, приглашенные (предварительная версия).
Управление сведениями профиля пользователя	Программно и с помощью Центра администрирования Microsoft Entra.	То же самое, что и рабочая сила.
Сброс пароля пользователя	Администраторы могут сбросить пароль пользователя, если пароль забылся, если пользователь заблокирован на устройстве или если пользователь никогда не получил пароль.	То же самое, что и рабочая сила.
Восстановление или окончательное удаление недавно удаленного пользователя	После удаления пользователя его учетная запись остается в заблокированном состоянии в течение 30 дней. В течение этого времени учетную запись пользователя и все ее свойства можно восстановить.	То же самое, что и рабочая сила.
Отключение учетных записей	Запретить новому пользователю войти в систему.	То же самое, что и рабочая сила.

Защита паролем

В следующей таблице сравниваются функции, доступные для защиты паролей в каждом типе клиента.

Функция	Арендатор рабочей силы	Внешний арендатор
Смарт-блокировка	Смарт-блокировка помогает заблокировать злоумышленников, которые пытаются угадать пароли пользователей или использовать методы подбора, чтобы проникнуть.	То же самое, что и рабочая сила.
Настраиваемые запрещенные пароли	Настраиваемый список запрещенных паролей Microsoft Entra позволяет добавлять определенные строки для оценки и блокировки.	Недоступна.

Настройка токена

В следующей таблице сравниваются возможности, доступные для настройки токенов в каждом типе арендатора.

Функция	Арендатор рабочей силы	Внешний арендатор
Сопоставление утверждений	Настройте утверждения, выдаваемые в токене JSON (JWT) для корпоративных приложений.	То же самое, что и рабочая сила. Необязательные утверждения должны быть настроены с помощью атрибутов и утверждений.
Преобразование утверждений	Примените преобразование к атрибуту пользователя, выданному в веб-токене JSON (JWT) для корпоративных приложений.	То же самое, что и рабочая сила.
Поставщик пользовательских утверждений	Расширение пользовательской проверки подлинности , которое вызывает внешний REST API для получения утверждений из внешних систем.	То же самое, что и рабочая сила. Подробнее
Группы безопасности	Настройте необязательные параметры групп.	Настройка необязательных утверждений для групп ограничена идентификатором объекта группы.
Время существования токена	Можно указать время существования маркеров безопасности, выданных идентификатором Microsoft Entra.	То же самое, что и рабочая сила.

API-интерфейсы Microsoft Graph

Все функции, поддерживаемые внешними клиентами, также поддерживаются для автоматизации через API Microsoft Graph. Некоторые функции, которые находятся в предварительной версии во внешних клиентах, могут быть общедоступными с помощью Microsoft Graph. Дополнительные сведения см. в статье "Управление удостоверением Microsoft Entra и сетевым доступом с помощью Microsoft Graph".

Следующие шаги

• Планирование управления идентификацией и доступом клиентов (CIAM)