员工和外部租户支持的功能
可通过两种方式配置 Microsoft Entra 租户,具体取决于组织希望如何使用租户以及想要管理的资源:
- 员工租户配置适用于员工、内部业务应用和其他组织资源。 B2B 协作在员工租户中用于与外部业务合作伙伴和来宾协作。
- 外部租户配置专用于外部 ID 方案,在这些方案中,你想要向使用者或企业客户发布应用。
本文详细比较了员工和外部租户中可用的特性和功能。
注意
在预览期间,需要高级许可证的特性或功能在外部租户中不可用。
常规特性比较
下表比较了员工和外部租户中可用的常规特性和功能。
| 功能 | 工作人员租户 | 外部租户 |
|---|---|---|
| 外部标识场景 | 允许业务合作伙伴和其他外部用户与员工协作。 来宾可以通过邀请或自助注册安全地访问业务应用程序。 | 使用外部 ID 保护应用程序。 使用者和企业客户可以通过自助注册安全地访问使用者应用。 还支持邀请。 |
| 本地帐户 | 仅支持组织“内部”成员使用本地帐户。 | 支持本地帐户用于: - 使用自助注册的外部用户(使用者、企业客户)。 - 管理员创建的帐户。 |
| 组 | 组可用于管理管理帐户和用户帐户。 | 组可用于管理管理帐户。 对 Microsoft Entra 组和应用程序角色的支持正在分阶段引入客户租户。 有关最新更新,请参阅组和应用程序角色支持。 |
| 角色和管理员 | 管理帐户和用户帐户完全支持角色和管理员。 | 客户帐户不支持角色。 客户帐户无权访问租户资源。 |
| ID 保护 | 为 Microsoft Entra 租户提供持续性的风险检测。 它使组织能够发现、调查和修正基于标识的风险。 | 有一部分 Microsoft Entra ID 保护风险检测功能可供使用。 了解详细信息。 |
| 自助式密码重置 | 允许用户使用最多两种身份验证方法重置其密码(请参阅下一行了解可用的方法)。 | 允许用户使用电子邮件与一次性密码重置其密码。 了解详细信息。 |
| 语言自定义 | 当用户在企业 Intranet 或基于 Web 的应用程序中进行身份验证时,基于浏览器语言自定义登录体验。 | 使用语言修改在登录和注册过程中显示给客户的字符串。 了解详细信息。 |
| 自定义特性 | 使用目录扩展属性将用户对象、组、租户详细信息和服务主体的更多数据存储在 Microsoft Entra 目录中。 | 使用目录扩展属性将用户对象的更多数据存储在客户目录中。 创建自定义用户属性并将其添加到注册用户流。 了解详细信息。 |
外观自定义
下表比较了员工租户和外部租户的外观自定义功能。
| 功能 | 工作人员租户 | 外部租户 |
|---|---|---|
| 公司品牌 | 可以添加适用于所有这些体验的公司品牌打造,以便为用户创建一致的登录体验。 | 与员工相同。 了解详细信息 |
| 语言自定义 | 按浏览器语言自定义登录体验。 | 与员工相同。 了解详细信息 |
| 自定义域名 | 只能对管理帐户使用自定义域。 | 有了外部租户的自定义 URL 域(预览版)功能,你就可以使用自己的域名为应用登录终结点打造品牌。 |
| 移动应用的本机身份验证 | 不可用 | Microsoft Entra 的本机身份验证允许你完全控制移动应用程序登录体验的设计。 |
添加自己的业务逻辑
使用自定义身份验证扩展时,可以通过与外部系统集成来自定义 Microsoft Entra 身份验证体验。 自定义身份验证扩展本质上是一个事件侦听器,激活后会对定义你自己业务逻辑的 REST API 终结点发出 HTTP 调用。 下表比较了员工租户和外部租户中可用的自定义身份验证扩展事件。
| 活动 | 工作人员租户 | 外部租户 |
|---|---|---|
| TokenIssuanceStart | 从外部系统添加声明。 | 从外部系统添加声明。 |
| OnAttributeCollectionStart | 不可用 | 发生在注册的属性集合步骤开始时,在属性集合页面呈现之前。 可以添加例如预填充值和显示阻止错误等操作。 了解详细信息 |
| OnAttributeCollectionSubmit | 不可用 | 在注册流中,用户输入并提交属性后发生。 可以添加验证或修改用户条目等操作。 了解详细信息 |
标识提供者和身份验证方法
下表比较了员工和外部租户中可用于主要身份验证和多重身份验证 (MFA) 的标识提供者和方法。
| 功能 | 工作人员租户 | 外部租户 |
|---|---|---|
| 外部用户的标识提供者(主要身份验证) | 对于自助注册来宾 - Microsoft Entra 帐户 - Microsoft 帐户 - 通过电子邮件发送一次性密码 - Google 联合身份验证 - Facebook 联合身份验证 对于受邀来宾 - Microsoft Entra 帐户 - Microsoft 帐户 - 通过电子邮件发送一次性密码 - Google 联合身份验证 - SAML/WS-Fed 联合身份验证 |
对于自助注册用户(使用者、企业客户) - 包含密码的电子邮件 - 通过电子邮件发送一次性密码 - Google 联合身份验证(预览版) - Facebook 联合身份验证(预览版) 对于受邀来宾(预览版) 以目录角色受邀的来宾(例如管理员): - Microsoft Entra 帐户 - Microsoft帐户 - 通过电子邮件发送一次性密码 |
| MFA 的身份验证方法 | 对于内部用户(员工和管理员) - 身份验证和验证方法 对于来宾(受邀或自助注册) - 来宾 MFA 的身份验证方法 |
对于自助注册用户(使用者、企业客户)或受邀用户(预览版) - 通过电子邮件发送一次性密码 - 基于短信的身份验证 |
应用程序注册
下表比较了每种类型的租户中可用于应用程序注册的功能。
| 功能 | 工作人员租户 | 外部租户 |
|---|---|---|
| 协议 | SAML 信赖方、OpenID Connect 和 OAuth2 | OpenID Connect 和 OAuth2 |
| 支持的帐户类型 | 以下帐户类型:
|
使用使用仅此组织目录中的帐户(单租户)。 |
| 平台 | 以下平台:
|
以下平台:
|
| 身份验证>重定向 URI | 在成功验证用户或将用户退出登录后返回身份验证响应(令牌)时 Microsoft Entra ID 接受的作为目标的 URI。 | 与员工相同。 |
| 身份验证>前端通道退出登录 URL | Microsoft Entra ID 在此 URL 中发送请求,让应用程序清除用户的会话数据。 为使单一退出登录正常工作,前端通道退出登录 URL是必需的。 | 与员工相同。 |
| 身份验证>隐式授权和混合流 | 直接从授权终结点请求令牌。 | 与员工相同。 |
| 证书和机密 | 与员工相同。 | |
| API 权限 | 为应用程序添加、删除和替换权限。 将权限添加到应用程序后,用户或管理员需要授予对新权限的同意。 详细了解如何在 Microsoft Entra ID 中更新应用的已请求权限。 | 以下是允许的权限:Microsoft Graph offline_access、openid 和 User.Read,以及我的 API 委托的权限。 只有管理员才能代表组织表示同意。 |
| 公开 API | 定义自定义作用域,以限制对受 API 保护的数据和功能的访问权限。 需要访问此 API 的多个部分的应用程序可以请求用户或管理员同意这些作用域中的一个或多个。 | 定义自定义作用域,以限制对受 API 保护的数据和功能的访问。 需要访问此 API 的多个部分的应用程序可以请求管理员同意这些作用域中的一个或多个。 |
| 应用角色 | 应用角色是用于向用户或应用分配权限的自定义角色。 应用程序定义和发布应用角色,并在授权期间将它们解释为权限。 | 与员工相同。 详细了解在外部租户中对应用程序使用基于角色的访问控制。 |
| 所有者 | 应用程序所有者可以查看和编辑应用程序注册。 此外,具有管理任何应用程序的管理权限的任何用户(可能未列出,例如云应用程序管理员)都可以查看和编辑应用程序注册。 | 与员工相同。 |
| 角色和管理员 | 管理角色用于授予对 Microsoft Entra ID 中特权操作的访问权限。 | 只有云应用程序管理员角色可用于外部租户中的应用。 此角色授予创建和管理应用程序注册和企业应用程序的所有方面的权限。 |
| 将用户和组分配到应用 | 需要进行用户分配时,只有(通过直接用户分配或基于组成员身份)分配到应用程序的用户才能登录。 有关详细信息,请参阅管理应用程序的用户和组分配 | 不可用 |
OpenID Connect 和 OAuth2 流
下表比较了每种类型的租户中适用于 OAuth 2.0 和 OpenID Connect 授权流的功能。
| 功能 | 工作人员租户 | 外部租户 |
|---|---|---|
| OpenID Connect | 是 | 是 |
| 授权代码 | 是 | 是 |
| 使用代码交换 (PKCE) 的授权代码 | 是 | 是 |
| 客户端凭据 | 是 | v2.0 应用程序(预览版) |
| 设备授权 | 是 | 预览 |
| 代理流 | 是 | 是 |
| 隐式授权 | 是 | 是 |
| 资源所有者密码凭据 | 是 | 否,对于移动应用程序,请使用本机身份验证。 |
OpenID Connect 和 OAuth2 流中的授权 URL
颁发机构 URL 是一个表示目录的 URL,MSAL 可从该目录中请求令牌。 对于外部租户中的应用,请始终使用以下格式:<租户名称>.ciamlogin.com
以下 JSON 显示了一个具有授权 URL 的 .NET 应用程序 appsettings.json 文件:
{
"AzureAd": {
"Authority": "https://<Enter_the_Tenant_Subdomain_Here>.ciamlogin.com/",
"ClientId": "<Enter_the_Application_Id_Here>"
}
}
条件性访问
下表比较了每种类型租户中可用于条件访问的功能。
| 功能 | 工作人员租户 | 外部租户 |
|---|---|---|
| 分配 | 用户、组和工作负荷标识 | 包括所有用户,并排除用户和组。 有关详细信息,请参阅向应用添加多重身份验证 (MFA)。 |
| 目标资源 | ||
| 条件 | ||
| 授予 | 授予或阻止对资源的访问权限 | |
| 会话 | 会话控制 | 不可用 |
帐户管理
下表比较了每种类型租户中可用于用户管理的功能。 如表中所述,某些帐户类型是通过邀请或自助注册创建的。 租户中的用户管理员还可以通过管理中心创建帐户。
| 功能 | 工作人员租户 | 外部租户 |
|---|---|---|
| 帐户类型 |
|
|
| 管理用户配置文件信息 | 通过编程以及通过使用 Microsoft Entra 管理中心。 | 与员工相同。 |
| 重置用户的密码 | 如果用户忘记密码、设备遭锁定导致用户无法使用,或用户从未收到过密码,则管理员可以重置用户的密码。 | 与员工相同。 |
| 还原或移除最近删除的用户 | 删除用户后,帐户将保持挂起状态 30 天。 在这 30 天的期限内,可以还原用户帐户及其所有属性。 | 与员工相同。 |
| 禁用帐户 | 阻止新用户登录。 | 与员工相同。 |
密码保护
下表比较了每种类型租户中可用于密码保护的功能。
| 功能 | 工作人员租户 | 外部租户 |
|---|---|---|
| 智能锁定 | 智能锁定用于锁定那些试图猜测用户密码或使用暴力破解方法进入系统的恶意行动者 | 与员工相同。 |
| 自定义受禁密码 | 可以通过 Microsoft Entra 自定义受禁密码列表来添加要评估和阻止的特定字符串。 | 不可用。 |
令牌自定义
下表比较了每种类型租户中可用于令牌自定义的功能。
| 功能 | 工作人员租户 | 外部租户 |
|---|---|---|
| 声明映射 | 为企业应用程序自定义在 JSON Web 令牌 (JWT) 中发布的声明。 | 与员工相同。 可选声明必须通过属性和声明进行配置。 |
| 声明转换 | 为企业应用程序对在 JSON Web 令牌 (JWT) 中发布的用户属性应用转换。 | 与员工相同。 |
| 自定义声明提供程序 | 自定义可调用外部 REST API 的身份验证扩展,从外部系统提取请求。 | 与员工相同。 了解详细信息 |
| 安全组 | 配置组可选声明。 | 配置组可选声明仅限于组对象 ID。 |
| 令牌生存期 | 可以指定 Microsoft Entra ID 颁发的安全令牌的生存期。 | 与员工相同。 |
Microsoft 图形 API
外部租户中支持的所有功能也支持通过 Microsoft Graph API 实现自动化。 外部租户中处于预览阶段的某些功能可能会通过 Microsoft Graph 正式发布。 有关详细信息,请参阅使用 Microsoft Graph 管理 Microsoft Entra 标识和网络访问。