Támogatott funkciók a munkaerőben és a külső bérlőkben

A Microsoft Entra-bérlők kétféleképpen konfigurálhatók attól függően, hogy a szervezet hogyan kívánja használni a bérlőt és a kezelni kívánt erőforrásokat:

• A munkaerő-bérlő konfigurációja az alkalmazottak, a belső üzleti alkalmazások és más szervezeti erőforrások számára készült. A B2B együttműködés a munkaerő-bérlőben külső üzleti partnerekkel és vendégekkel való együttműködésre szolgál.
• A külső bérlőkonfiguráció kizárólag külső azonosítós forgatókönyvekhez használható, ahol alkalmazásokat szeretne közzétenni a fogyasztók vagy az üzleti ügyfelek számára.

Ez a cikk részletesen összehasonlítja a munkaerőben és a külső bérlőkben elérhető funkciókat és képességeket.

Feljegyzés

Az előzetes verzióban a prémium licenccel rendelkező funkciók vagy képességek nem érhetők el a külső bérlőkben.

Általános funkciók összehasonlítása

Az alábbi táblázat a munkaerőben és külső bérlőkben elérhető általános funkciókat és képességeket hasonlítja össze.

Szolgáltatás	Munkaerő-bérlő	Külső bérlő
Külső identitások forgatókönyve	Lehetővé teszi, hogy az üzleti partnerek és más külső felhasználók együttműködjenek a munkaerővel. A vendégek meghívásokkal vagy önkiszolgáló regisztrációval biztonságosan elérhetik üzleti alkalmazásait.	Külső azonosító használata az alkalmazások védelméhez. A fogyasztók és az üzleti ügyfelek önkiszolgáló regisztrációval biztonságosan hozzáférhetnek a fogyasztói alkalmazásokhoz. A meghívók is támogatottak.
Helyi fiókok	A helyi fiókok csak a szervezet belső tagjai számára támogatottak.	A helyi fiókok támogatottak az önkiszolgáló regisztrációt használó külső felhasználók (fogyasztók, üzleti ügyfelek) számára. - Rendszergazdák által létrehozott fiókok.
Csoportok	A csoportok felügyeleti és felhasználói fiókok kezelésére használhatók.	A csoportok felügyeleti fiókok kezelésére használhatók. A Microsoft Entra-csoportok és -alkalmazásszerepkörök támogatása az ügyfélbérlelőkbe kerül. A legújabb frissítésekért tekintse meg a Csoportok és az alkalmazásszerepkörök támogatását.
Szerepkörök és rendszergazdák	A szerepkörök és rendszergazdák teljes mértékben támogatottak a rendszergazdai és felhasználói fiókok esetében.	Az ügyfélfiókok nem támogatják a szerepköröket. Az ügyfélfiókok nem férnek hozzá a bérlői erőforrásokhoz.
Egyéni tartománynevek	Egyéni tartományokat csak rendszergazdai fiókokhoz használhat.	Jelenleg nem támogatott. A regisztrációs és bejelentkezési oldalakon az ügyfelek számára látható URL-címek azonban semlegesek, nem felügyelt URL-címek. További információ
Identitásvédelem	Folyamatos kockázatészlelést biztosít a Microsoft Entra-bérlő számára. Lehetővé teszi a szervezetek számára az identitásalapú kockázatok felderítését, kivizsgálását és elhárítását.	Elérhető a Microsoft Entra ID-védelem kockázatészlelések egy részhalmaza. További információ.
Egyéni hitelesítési bővítmény	Jogcímek hozzáadása külső rendszerekből.	Jogcímek hozzáadása külső rendszerekből.
Jogkivonat testreszabása	Adjon hozzá felhasználói attribútumokat, egyéni hitelesítési bővítményt, jogcímátalakítást és biztonsági csoportok tagságát a jogkivonat-jogcímekhez.	Adja hozzá a felhasználói attribútumokat, az egyéni hitelesítési bővítményt és a biztonsági csoportok tagságát a jogkivonat-jogcímekhez.További információ.
Új jelszó önkiszolgáló kérése	A felhasználók legfeljebb két hitelesítési módszerrel állíthatják vissza a jelszavukat (az elérhető metódusok következő sorában).	Lehetővé teszi a felhasználók számára, hogy egyszeri pin-kóddal rendelkező e-mail használatával alaphelyzetbe állhassák a jelszavukat. További információ.
Nyelvi testreszabás	A bejelentkezési felület testreszabása böngészőnyelv alapján, amikor a felhasználók hitelesítik magukat a vállalati intraneten vagy a webalapú alkalmazásokban.	Nyelvek használatával módosíthatja az ügyfeleknek a bejelentkezési és regisztrációs folyamat részeként megjelenített sztringeket. További információ.
Egyéni attribútumok	A címtárbővítmény-attribútumokkal további adatokat tárolhat a Microsoft Entra könyvtárban a felhasználói objektumok, csoportok, bérlőadatok és szolgáltatásnevek számára.	A címtárkiterjesztési attribútumokkal további adatokat tárolhat a felhasználói objektumok ügyfélkönyvtárában. Egyéni felhasználói attribútumokat hozhat létre, és hozzáadhatja őket a regisztrációs felhasználói folyamathoz. További információ.

Identitásszolgáltatók és hitelesítési módszerek

Az alábbi táblázat összehasonlítja az elsődleges hitelesítéshez és a többtényezős hitelesítéshez (MFA) elérhető identitásszolgáltatókat és metódusokat a munkaerőben és a külső bérlőkben.

Szolgáltatás	Munkaerő-bérlő	Külső bérlő
Identitásszolgáltatók külső felhasználók számára	Önkiszolgáló regisztrációs vendégeknek: - Microsoft Entra-fiókok – Microsoft-fiókok – Egyszeri pin-kód küldése e-mailben – Google összevonás – Facebook-összevonás Meghívott vendégeknek: - Microsoft Entra-fiókok - Microsoft-fiókok – Egyszeri pin-kód küldése e-mailben – Google-összevonás – SAML/WS-Fed összevonás	Önkiszolgáló regisztrációs felhasználók (fogyasztók, üzleti ügyfelek): - E-mail jelszóval- E-mail egyszeri pin-kód - Google-összevonás (előzetes verzió) - Facebook-összevonás (előzetes verzió)
Hitelesítési módszerek	Belső felhasználók (alkalmazottak és rendszergazdák): - Hitelesítési és ellenőrzési módszerek vendégek számára (meghívott vagy önkiszolgáló regisztráció): - Hitelesítési módszerek vendég MFA-hoz	Önkiszolgáló regisztrációt használók (fogyasztók, üzleti ügyfelek): - E-mail egyszeri pin-kód az MFA-hoz

Alkalmazásregisztráció

Az alábbi táblázat összehasonlítja az alkalmazásregisztrációhoz elérhető funkciókat az egyes bérlőtípusokban.

Szolgáltatás	Munkaerő-bérlő	Külső bérlő
Protokoll	SAML-függő entitások, OpenID Csatlakozás és OAuth2	OpenID Csatlakozás és OAuth2
Támogatott fióktípusok	A következő fióktípusok: Csak ebben a szervezeti címtárban lévő fiókok (egyetlen bérlő) Bármely szervezeti címtárban lévő fiókok (Bármely Microsoft Entra-bérlő – Több-bérlő) Fiókok bármely szervezeti címtárban (Bármely Microsoft Entra-bérlő – Több-bérlős) és személyes Microsoft-fiókokban (pl. Skype, Xbox) Csak személyes Microsoft-fiókok	Mindig csak ebben a szervezeti címtárban (egyetlen bérlő) használja a fiókokat.
Platform	A következő platformok: Nyilvános ügyfél/natív (mobil és asztali) Webes Egyoldalas alkalmazás (SPA)	A következő platformok: Nyilvános ügyfél (mobil és asztali) Natív hitelesítési mobil (előzetes verzió) Webes Egyoldalas alkalmazás (SPA)
Hitelesítési>átirányítási URI-k	A Microsoft Entra-azonosító URI-k a felhasználók sikeres hitelesítése vagy kijelentkezése után a hitelesítési válaszok (jogkivonatok) visszaadásakor célhelyként fogadhatók el.	Ugyanaz, mint a munkaerő.
Hitelesítés>előtérbeli kijelentkezés URL-címe	Ez az URL-cím kéri a Microsoft Entra-azonosítót, hogy az alkalmazás törölje a felhasználó munkamenetadatait. Az egyszeri kijelentkezés megfelelő működéséhez az előtérbeli kijelentkezés URL-címe szükséges.	Ugyanaz, mint a munkaerő.
Hitelesítési>implicit engedélyezési és hibrid folyamatok	Jogkivonat kérése közvetlenül az engedélyezési végpontról.	Ugyanaz, mint a munkaerő.
Tanúsítványok > titkos kódok	Tanúsítvány Ügyfél titkos kódja Összevont hitelesítő adatok	Ugyanaz, mint a munkaerő.
Jogkivonat konfigurálása	Választható jogcímek Választható jogcímek csoportosítása	Az opcionális jogcímeket attribútumokkal és jogcímekkel vagy egyéni jogcímszolgáltatóval kell konfigurálni A csoportok választható jogcímei a csoportobjektum-azonosítóra korlátozódnak.
API-engedélyek	Engedélyek hozzáadása, eltávolítása és cseréje egy alkalmazáshoz. Az engedélyek alkalmazáshoz való hozzáadása után a felhasználóknak vagy a rendszergazdáknak hozzájárulást kell adniuk az új engedélyekhez. További információ az alkalmazás kért engedélyeinek frissítéséről a Microsoft Entra-azonosítóban.	A következő engedélyek engedélyezettek: Microsoft Graph offline_accessés openidUser.Read saját API-k delegált engedélyei. Csak egy rendszergazda adhat hozzájárulást a szervezet nevében.
API-k felfedése	Egyéni hatókörök definiálása az API által védett adatokhoz és funkciókhoz való hozzáférés korlátozásához. Az API egyes részeihez hozzáférést igénylő alkalmazások kérhetik, hogy egy felhasználó vagy rendszergazda egy vagy több hatókörhöz járuljon hozzá.	Egyéni hatókörök definiálása az API által védett adatokhoz és funkciókhoz való hozzáférés korlátozásához. Az API egyes részeihez hozzáférést igénylő alkalmazások kérhetik, hogy rendszergazdai hozzájárulást adjanak egy vagy több ilyen hatókörhöz.
Alkalmazásszerepkörök	Az alkalmazásszerepkörök egyéni szerepkörök, amelyek engedélyeket rendelnek a felhasználókhoz vagy alkalmazásokhoz. Az alkalmazás meghatározza és közzéteszi az alkalmazás-szerepköröket, és engedélyként értelmezi őket a hitelesítés során.	Ugyanaz, mint a munkaerő. További információ a szerepköralapú hozzáférés-vezérlés külső bérlőben lévő alkalmazásokhoz való használatáról.
Tulajdonosok	Az alkalmazástulajdonosok megtekinthetik és szerkeszthetik az alkalmazásregisztrációt. Ezenkívül minden olyan felhasználó (aki esetleg nem szerepel a listán) rendszergazdai jogosultságokkal rendelkezik az alkalmazások kezeléséhez (például a Cloud Application Rendszergazda istrator) megtekintheti és szerkesztheti az alkalmazásregisztrációt.	Ugyanaz, mint a munkaerő.
Szerepkörök és rendszergazdák	Rendszergazda istrative szerepkörök a Microsoft Entra ID-ban a kiemelt műveletekhez való hozzáférés megadására szolgálnak.	Csak a felhőalkalmazási Rendszergazda istrator szerepkör használható külső bérlőkben lévő alkalmazásokhoz. Ez a szerepkör lehetővé teszi az alkalmazásregisztrációk és a vállalati alkalmazások minden aspektusának létrehozását és kezelését.
Felhasználók és csoportok hozzárendelése egy alkalmazáshoz	Ha felhasználó-hozzárendelést alkalmaz, csak azok a felhasználók tudnak bejelentkezni, akik az alkalmazáshoz vannak rendelve (akár közvetlen felhasználó-hozzárendeléssel, akár csoporttagság alapján). További információ: Felhasználók és csoportok hozzárendelésének kezelése egy alkalmazáshoz	Nem elérhető

OpenID Csatlakozás és OAuth2 folyamatok

Az alábbi táblázat összehasonlítja az OAuth 2.0 és az OpenID Csatlakozás engedélyezési folyamatait az egyes bérlőtípusokban.

Szolgáltatás	Munkaerő-bérlő	Külső bérlő
OpenID Connect	Igen	Igen
Engedélyezési kód	Igen	Igen
Engedélyezési kód code with Code Exchange (PKCE)	Igen	Igen
Ügyfél-hitelesítő adatok	Igen	2.0-s verziós alkalmazások
Eszköz-engedélyezés	Igen	Nem
Meghatalmazásos folyamat	Igen	Igen
Implicit támogatás	Igen	Igen
Erőforrás-tulajdonosi jelszó hitelesítő adatai	Igen	Nem

Szolgáltató URL-címe az OpenID Csatlakozás és OAuth2 folyamatokban

A szolgáltató URL-címe olyan URL- cím, amely azt jelzi, hogy az MSAL jogkivonatokat kérhet le. Külső bérlőkben lévő alkalmazások esetén mindig a következő formátumot használja: <tenant-name.ciamlogin.com>

Az alábbi JSON egy .NET-alkalmazásbeállításokat mutat be egy szolgáltatói URL-címmel:

{
    "AzureAd": {
        "Authority": "https://<Enter_the_Tenant_Subdomain_Here>.ciamlogin.com/",
        "ClientId": "<Enter_the_Application_Id_Here>"
    }
}

Feltételes hozzáférés

Az alábbi táblázat összehasonlítja a feltételes hozzáféréshez elérhető funkciókat az egyes bérlőtípusokban.

Szolgáltatás	Munkaerő-bérlő	Külső bérlő
Hozzárendelések	Felhasználók, csoportok és számítási feladatok identitásai	Vegye fel az összes felhasználót, és zárja ki a felhasználókat és csoportokat. További információ: Többtényezős hitelesítés (MFA) hozzáadása egy alkalmazáshoz.
Célerőforrások	Felhőalkalmazások Felhasználói műveletek Globális biztonságos hozzáférés Hitelesítési környezet	Minden felhőalkalmazás, kiválasztott alkalmazás vagy szűrőalkalmazás. Hitelesítési környezet
Feltételek	Bejelentkezési kockázat Felhasználói kockázat Eszközplatformok Helyek Ügyfélalkalmazások Eszközök szűrése	Bejelentkezési kockázat Felhasználói kockázat Eszközplatformok Helyek
Grant	Erőforrásokhoz való hozzáférés engedélyezése vagy letiltása	Hozzáférés letiltása Többtényezős hitelesítés megkövetelése Új jelszó kérése
Munkamenet	Munkamenet-vezérlők	Nem elérhető

Fiókkezelés

Az alábbi táblázat az egyes bérlőtípusok felhasználói felügyeletéhez elérhető funkciókat hasonlítja össze. A táblázatban leírtak szerint bizonyos fióktípusok meghívással vagy önkiszolgáló regisztrációval jönnek létre. A bérlő felhasználói rendszergazdái a felügyeleti központon keresztül is létrehozhatnak fiókokat.

Szolgáltatás	Munkaerő-bérlő	Külső bérlő
Fióktípusok	Belső tagok, például alkalmazottak és rendszergazdák. Külső felhasználók, akik meghívást kapnak vagy önkiszolgáló regisztrációt használnak.	A bérlő belső felhasználói, például rendszergazdák. Az önkiszolgáló regisztrációt használó vagy a rendszergazdák által létrehozott külső felhasználók és üzleti ügyfelek. Meghívott külső felhasználók (előzetes verzió).
Felhasználói profil adatainak kezelése	Programozott módon és a Microsoft Entra felügyeleti központ használatával.	Ugyanaz, mint a munkaerő.
Felhasználó jelszavának alaphelyzetbe állítása	Rendszergazda istratorok visszaállíthatják a felhasználó jelszavát, ha elfelejtik a jelszót, ha a felhasználót kizárják egy eszközről, vagy ha a felhasználó soha nem kapott jelszót.	Ugyanaz, mint a munkaerő.
Nemrég törölt felhasználók visszaállítása vagy eltávolítása	Miután töröl egy felhasználót, a fiók 30 napig felfüggesztett állapotban marad. A 30 napos időszak alatt a felhasználói fiók az összes tulajdonságával együtt visszaállítható.	Ugyanaz, mint a munkaerő.
Fiókok letiltása	Megakadályozza, hogy az új felhasználó bejelentkezhessen.	Ugyanaz, mint a munkaerő.

Jelszavas védelem

Szolgáltatás	Munkaerő-bérlő	Külső bérlő
Intelligens zárolás	Az intelligens zárolás segít kizárni a rossz szereplőket, amelyek megpróbálják kitalálni a felhasználói jelszavakat, vagy találgatásos módszerekkel próbálnak bejutni	Ugyanaz, mint a munkaerő.
Egyéni tiltott jelszavak	A Microsoft Entra egyéni tiltott jelszólistája lehetővé teszi adott sztringek hozzáadását az értékeléshez és a letiltáshoz.	Nem érhető el.

Következő lépések

• A CIAM tervezése