Unterstützte Features in Mitarbeiter- und externen Mandanten
Es gibt zwei Möglichkeiten zum Konfigurieren eines Microsoft Entra-Mandanten, je nachdem, wie die Organisation den Mandanten und die Ressourcen zu nutzen gedenkt, die sie verwalten möchte:
- Eine Mitarbeiter-Mandantenkonfiguration ist für Ihre Mitarbeiter, internen Geschäftsanwendungen und andere Organisationsressourcen gedacht. Die B2B-Zusammenarbeit wird in einem Mitarbeitermandanten verwendet, um mit externen Geschäftspartnern und Gästen zusammenzuarbeiten.
- Eine externe Mandantenkonfiguration wird ausschließlich für External ID-Szenarien verwendet, in denen Sie Apps für Verbraucher oder Geschäftskunden veröffentlichen möchten.
Dieser Artikel bietet einen detaillierten Vergleich der Features und Funktionalitäten, die in Mitarbeiter- und externen Mandanten verfügbar sind.
Hinweis
Während der Vorschau sind Features oder Funktionen, die eine Premium-Lizenz erfordern, in externen Mandanten nicht verfügbar.
Allgemeiner Featurevergleich
In der folgenden Tabelle werden die allgemeinen Features und Funktionalitäten verglichen, die in Mitarbeiter- und externen Mandanten verfügbar sind.
| Funktion | Mitarbeitermandant | Externer Mandant |
|---|---|---|
| Szenario für Externe Identitäten | Ermöglichen sie Geschäftspartnern und anderen externen Benutzerinnen und Benutzern die Zusammenarbeit mit Ihren Mitarbeitenden. Gäste können über Einladungen oder Self-Service-Registrierung sicher auf Ihre Geschäftsanwendungen zugreifen. | Verwenden Sie External ID, um Ihre Anwendungen zu schützen. Verbraucherinnen und Verbraucher sowie Geschäftskundinnen und -kunden können über die Self-Service-Registrierung sicher auf Ihre Consumer-Apps zugreifen. Einladungen werden ebenfalls unterstützt. |
| Lokale Konten | Lokale Konten werden nur für internen Mitglieder Ihrer Organisation unterstützt. | Lokale Konten werden unterstützt für: - Externe Benutzerkonten (Verbraucherinnen und Verbraucher, Geschäftskundinnen und Geschäftskunden), die die Self-Service-Registrierung verwenden. - Konten, die von Admins erstellt wurden. |
| Gruppen | Mit Gruppen können Sie Administrator- und Benutzerkonten verwalten. | Gruppen können zum Verwalten von Administratorkonten verwendet werden. Die Unterstützung für Microsoft Entra-Gruppen und Anwendungsrollen in Kundenmandanten wird schrittweise eingeführt. Informationen zu den letzten Updates finden Sie unter Unterstützung von Gruppen- und Anwendungsrollen. |
| Rollen und Administratoren | Rollen und Administratoren werden für Administrator- und Benutzerkonten vollständig unterstützt. | Rollen werden bei Kundenkonten nicht unterstützt. Kundenkonten haben keinen Zugriff auf Mandantenressourcen. |
| Benutzerdefinierte Domänennamen | Sie können benutzerdefinierte Domänen nur für Administratorkonten verwenden. | Wird derzeit nicht unterstützt. Die URLs, die für Kunden auf Registrierungs- und Anmeldeseiten angezeigt werden, sind jedoch neutrale URLs ohne Marke. Weitere Informationen |
| Identitätsschutz | Bietet eine kontinuierliche Risikoerkennung für Ihren Microsoft Entra-Mandanten. Damit können Organisationen identitätsbasierte Risiken entdecken, untersuchen und beheben. | Eine Teilmenge der ID Protection-Risikoerkennungen von Microsoft Entra ID steht zur Verfügung. Weitere Informationen |
| Benutzerdefinierte Authentifizierungserweiterung | Fügen Sie Ansprüchen aus externen Systemen hinzu. | Hinzufügen von Ansprüchen aus externen Systemen. |
| Tokenanpassung | Fügen Sie den Tokenansprüchen Benutzerattribute, benutzerdefinierte Authentifizierungserweiterung, Anspruchstransformation und Sicherheitsgruppenmitgliedschaft hinzu. | Fügen Sie den Tokenansprüchen Benutzerattribute, benutzerdefinierte Authentifizierungserweiterung und Sicherheitsgruppenmitgliedschaft hinzu.Weitere Informationen. |
| Self-Service-Kennwortzurücksetzung | Erlauben Sie Benutzern das Zurücksetzen ihres Kennworts mit bis zu zwei Authentifizierungsmethoden (verfügbare Methoden finden Sie in der nächsten Zeile). | Ermöglichen Sie Benutzern per E-Mail das Zurücksetzen ihres Kennworts per Einmal-Passcode. Weitere Informationen |
| Sprachanpassung | Passen Sie die Anmeldeoberfläche je nach Browsersprache der Benutzer an, die sich für Ihr Unternehmensintranet oder für webbasierte Anwendungen authentifizieren. | Verwenden Sie verschiedene Sprachen, um die Zeichenfolgen zu ändern, die Ihren Kunden im Rahmen des Anmelde- und Registrierungsprozesses angezeigt werden. Weitere Informationen |
| Benutzerdefinierte Attribute | Verwenden Sie Verzeichniserweiterungsattribute, um mehr Daten im Microsoft Entra-Verzeichnis für Benutzerobjekte, Gruppen, Mandantendetails und Dienstprinzipale zu speichern. | Verwenden Sie Verzeichniserweiterungsattribute, um mehr Daten im Kundenverzeichnis für Benutzerobjekte zu speichern. Erstellen Sie benutzerdefinierte Benutzerattribute, und fügen Sie sie Ihrem Benutzerflow für die Registrierung hinzu. Weitere Informationen |
Identitätsanbieter und Authentifizierungsmethoden
In der folgenden Tabelle finden Sie einen Vergleich der Identitätsanbieter und Methoden, die für die primäre Authentifizierung und die Multi-Faktor-Authentifizierung (MFA) bei Mitarbeitenden und externen Mandanten zur Verfügung stehen.
| Funktion | Mitarbeitermandant | Externer Mandant |
|---|---|---|
| Identitätsanbieter für externe Benutzerkonten | Für Self-Service-Registrierung für Gäste: – Microsoft Entra-Konten – Microsoft-Konten – E-Mail-Einmal-Passcode – Google-Verbund – Facebook-Verbund Für eingeladene Gäste – Microsoft Entra-Konten – Microsoft-Konten – E-Mail-Einmal-Passcode – Google-Verbund – SAML/WS-Fed-Verbund |
Für Self-Service-Registrierung für Benutzerinnen und Benutzer (Consumer, Geschäftskundschaft): - E-Mail mit Kennwort - E-Mail-Einmal-Passcode - Google-Verbund (Preview) - Facebook-Verbund (Preview) |
| Authentifizierungsmethoden | Für interne Benutzerinnen und Benutzer (Mitarbeitende und Admins): - Authentifizierung und Überprüfungsmethoden Für Gäste (eingeladene oder Self-Service-Registrierung): - Authentifizierungsmethoden für Gäste MFA |
Für Self-Service-Registrierung für Benutzerinnen und Benutzer (Consumer, Geschäftskundschaft): - E-Mail-Einmal-Passcode für MFA |
Anwendungsregistrierung
In der folgenden Tabelle werden die für die Anwendungsregistrierung verfügbaren Features den einzelnen Mandantentypen gegenübergestellt.
| Funktion | Mitarbeitermandant | Externer Mandant |
|---|---|---|
| Protokoll | Parteien, die sich auf SAML verlassen, OpenID Connect und OAuth2 | OpenID Connect und OAuth2 |
| Unterstützte Kontotypen | Die folgenden Kontotypen:
|
Verwenden Sie immer Nur Konten in diesem Organisationsverzeichnis (einzelner Mandant). |
| Plattform | Die folgenden Plattformen:
|
Die folgenden Plattformen:
|
| Authentifizierung>Umleitungs-URIs | Die URIs, die Microsoft Entra ID nach der erfolgreichen Authentifizierung oder Abmeldung von Benutzer*innen beim Zurückgeben von Authentifizierungsantworten (Token) als Ziele akzeptiert. | Identisch mit Mitarbeitermandant. |
| Authentifizierung>URL für Front-Channel-Abmeldung | An diese URL sendet Microsoft Entra ID eine Anforderung, um die Sitzungsdaten von Benutzer*innen von der Anwendung löschen zu lassen. Diese URL für Front-Channel-Abmeldung ist erforderlich, damit das einmalige Abmelden ordnungsgemäß funktioniert. | Identisch mit Mitarbeitermandant. |
| Authentifizierung>Implizite Genehmigung und Hybridflows | Fordern Sie ein Token direkt vom Autorisierungsendpunkt an. | Identisch mit Mitarbeitermandant. |
| Zertifikate und Geheimnisse | Identisch mit Mitarbeitermandant. | |
| Tokenkonfiguration |
|
|
| API-Berechtigungen | Hinzufügen, Entfernen und Ersetzen von Berechtigungen für eine Anwendung. Nachdem Ihrer Anwendung Berechtigungen hinzugefügt wurden, müssen Benutzer*innen oder Administrator*innen die Einwilligung zu den neuen Berechtigungen erteilen. Weitere Informationen zum Aktualisieren der angeforderten Berechtigungen einer App in Microsoft Entra ID. | Folgendes sind die zulässigen Berechtigungen: offline_access, openid und User.Read für Microsoft Graph und Ihre delegierten Berechtigungen für Meine APIs. Nur Administrator*innen können die Einwilligung im Auftrag der Organisation erteilen. |
| Verfügbarmachen einer API | Definieren von benutzerdefinierten Bereichen, um den Zugriff auf Daten und Funktionen einzuschränken, die durch die API geschützt sind. Eine Anwendung, die Zugriff auf Teile dieser API erfordert, kann anfordern, dass ein*e Benutzer*in oder Administrator*in die Einwilligung für einen oder mehrere dieser Bereiche erteilt. | Definieren Sie benutzerdefinierte Bereiche zum Einschränken des Zugriffs auf Daten und Funktionen, die von der API geschützt werden. Eine Anwendung, die Zugriff auf Teile dieser API erfordert, kann anfordern, dass ein*e Administrator*in die Einwilligung für einen oder mehrere dieser Bereiche erteilt. |
| App-Rollen | App-Rollen sind benutzerdefinierte Rollen, mit denen Benutzer*innen oder Apps Berechtigungen zugewiesen werden. Die Anwendung definiert und veröffentlicht die App-Rollen und interpretiert sie während der Autorisierung als Berechtigungen. | Identisch mit Mitarbeitermandant. Weitere Informationen über die Verwendung der rollenbasierten Zugriffssteuerung für Anwendungen finden Sie in einem externen Mandanten. |
| Besitzer | Anwendungsbesitzer*innen können die Anwendungsregistrierung anzeigen und bearbeiten. Darüber hinaus können alle Benutzer und Benutzerinnen (die möglicherweise nicht aufgeführt sind) mit Administratorrechten zum Verwalten von Anwendungen (z. B. Cloudanwendungsadministrator) die Anwendungsregistrierungen anzeigen und bearbeiten. | Identisch mit Mitarbeitermandant. |
| Rollen und Administratoren | Administrative Rollen werden für die Gewährung des Zugriffs für privilegierte Aktionen in Microsoft Entra ID verwendet. | Nur die Rolle Cloudanwendungsadministrator kann für Apps in externen Mandanten verwendet werden. Diese Rolle ermöglicht die Erstellung und Verwaltung aller Aspekte von Anwendungsregistrierungen und Unternehmensanwendungen. |
| Zuweisen von Benutzer*innen und Gruppen zu einer App | Wenn eine Benutzerzuweisung erforderlich ist, können sich nur die Benutzer anmelden, die Sie der Anwendung zuweisen (durch direkte Benutzerzuweisung oder basierend auf der Gruppenmitgliedschaft). Weitere Informationen finden Sie unter Verwalten von Benutzer- und Gruppenzuweisungen zu einer Anwendung. | Nicht verfügbar |
OpenID Connect- und OAuth2-Flows
In der folgenden Tabelle werden die Features verglichen, die für OAuth 2.0- und OpenID Connect-Autorisierungsflows in jedem Mandantentyp verfügbar sind.
| Funktion | Mitarbeitermandant | Externer Mandant |
|---|---|---|
| OpenID Connect | Ja | Ja |
| Autorisierungscode | Ja | Ja |
| Autorisierungscode mit Codeaustausch (PKCE) | Ja | Ja |
| Clientanmeldeinformationen | Ja | v2.0-Anwendungen |
| Geräteautorisierung | Ja | No |
| „Im Auftrag von“-Ablauf | Ja | Ja |
| Implizite Gewährung | Ja | Ja |
| Kennwortanmeldeinformationen des Ressourcenbesitzers | Ja | Nein |
Autoritäts-URL in OpenID Connect- und OAuth2-Flows
Die Autoritäts-URL ist eine URL, die ein Verzeichnis angibt, aus dem die MSAL Token anfordern kann. Verwenden Sie für Apps in externen Mandanten immer das folgende Format: <tenant-name>.ciamlogin.com
Der folgende JSON-Code zeigt ein Beispiel für App-Einstellungen einer .NET-Anwendung mit einer Autoritäts-URL:
{
"AzureAd": {
"Authority": "https://<Enter_the_Tenant_Subdomain_Here>.ciamlogin.com/",
"ClientId": "<Enter_the_Application_Id_Here>"
}
}
Bedingter Zugriff
In der folgenden Tabelle werden die für bedingten Zugriff verfügbaren Feature in den einzelnen Mandantentypen verglichen.
| Funktion | Mitarbeitermandant | Externer Mandant |
|---|---|---|
| Zuweisungen | Benutzer*innen, Gruppen und Workloadidentitäten | Alle Benutzer*innen einschließen und Benutzer*innen und Gruppen ausschließen. Weitere Informationen finden Sie unter Hinzufügen der Multi-Faktor-Authentifizierung (MFA) zu einer App. |
| Zielressourcen | ||
| Conditions (MSBuild-Bedingungen) | ||
| Erteilen | Gewähren oder Blockieren des Zugriffs auf Ressourcen | |
| Sitzung | Sitzungssteuerungen | Nicht verfügbar |
Kontoverwaltung
In der folgenden Tabelle werden die für Benutzerverwaltung verfügbaren Features in den einzelnen Mandantentypen verglichen. Wie in der Tabelle erwähnt, werden bestimmte Kontotypen über Einladungs- oder Self-Service-Registrierung erstellt. Ein Benutzeradmin im Mandanten kann über das Admin Center auch Konten erstellen.
| Funktion | Mitarbeitermandant | Externer Mandant |
|---|---|---|
| Kontotypen |
|
|
| Verwalten von Informationen zum Benutzerprofil | Programmgesteuert und über das Microsoft Entra Admin Center. | Identisch mit Mitarbeitermandant. |
| Zurücksetzen des Kennworts für einen Benutzer | Administratoren können das Kennwort von Benutzern zurücksetzen, wenn diese das Kennwort vergessen oder nie erhalten haben oder auf einem Gerät gesperrt wurden. | Identisch mit Mitarbeitermandant. |
| Wiederherstellen oder Entfernen eines kürzlich gelöschten Benutzers | Nachdem Sie einen Benutzer gelöscht haben, verbleibt das Konto 30 Tage lang im angehaltenen Zustand. Während dieses Zeitfensters von 30 Tagen kann das Benutzerkonto mit allen zugehörigen Eigenschaften wiederhergestellt werden. | Identisch mit Mitarbeitermandant. |
| Deaktivieren von Konten | Verhindern Sie, dass sich neue Benutzer anmelden können. | Identisch mit Mitarbeitermandant. |
Kennwortschutz
| Funktion | Mitarbeitermandant | Externer Mandant |
|---|---|---|
| Smart Lockout | Smart Lockout unterstützt Sie dabei, Angreifer auszusperren, die versuchen, Benutzerkennwörter zu erraten oder sich mithilfe von Brute-Force-Methoden Zugang zu verschaffen. | Identisch mit Mitarbeitermandant. |
| Benutzerdefinierte gesperrte Kennwörter | Über die benutzerdefinierte Microsoft Entra-Liste mit gesperrten Kennwörtern können Sie bestimmte Zeichenfolgen hinzufügen, die dann überprüft und gesperrt werden. | Nicht verfügbar. |