Támogatott funkciók a munkaerőben és a külső bérlőkben
A Microsoft Entra-bérlők kétféleképpen konfigurálhatók attól függően, hogy a szervezet hogyan kívánja használni a bérlőt és a kezelni kívánt erőforrásokat:
- A munkaerő-bérlő konfigurációja az alkalmazottak, a belső üzleti alkalmazások és más szervezeti erőforrások számára készült. A B2B együttműködés a munkaerő-bérlőben külső üzleti partnerekkel és vendégekkel való együttműködésre szolgál.
- A külső bérlőkonfiguráció kizárólag külső azonosítós forgatókönyvekhez használható, ahol alkalmazásokat szeretne közzétenni a fogyasztók vagy az üzleti ügyfelek számára.
Ez a cikk részletesen összehasonlítja a munkaerőben és a külső bérlőkben elérhető funkciókat és képességeket.
Feljegyzés
Az előzetes verzióban a prémium licenccel rendelkező funkciók vagy képességek nem érhetők el a külső bérlőkben.
Általános funkciók összehasonlítása
Az alábbi táblázat a munkaerőben és külső bérlőkben elérhető általános funkciókat és képességeket hasonlítja össze.
Szolgáltatás | Munkaerő-bérlő | Külső bérlő |
---|---|---|
Külső identitások forgatókönyve | Lehetővé teszi, hogy az üzleti partnerek és más külső felhasználók együttműködjenek a munkaerővel. A vendégek meghívásokkal vagy önkiszolgáló regisztrációval biztonságosan elérhetik üzleti alkalmazásait. | Külső azonosító használata az alkalmazások védelméhez. A fogyasztók és az üzleti ügyfelek önkiszolgáló regisztrációval biztonságosan hozzáférhetnek a fogyasztói alkalmazásokhoz. A meghívók is támogatottak. |
Helyi fiókok | A helyi fiókok csak a szervezet belső tagjai számára támogatottak. | A helyi fiókok támogatottak az önkiszolgáló regisztrációt használó külső felhasználók (fogyasztók, üzleti ügyfelek) számára. - Rendszergazdák által létrehozott fiókok. |
Csoportok | A csoportok felügyeleti és felhasználói fiókok kezelésére használhatók. | A csoportok felügyeleti fiókok kezelésére használhatók. A Microsoft Entra-csoportok és -alkalmazásszerepkörök támogatása az ügyfélbérlelőkbe kerül. A legújabb frissítésekért tekintse meg a Csoportok és az alkalmazásszerepkörök támogatását. |
Szerepkörök és rendszergazdák | A szerepkörök és rendszergazdák teljes mértékben támogatottak a rendszergazdai és felhasználói fiókok esetében. | Az ügyfélfiókok nem támogatják a szerepköröket. Az ügyfélfiókok nem férnek hozzá a bérlői erőforrásokhoz. |
Egyéni tartománynevek | Egyéni tartományokat csak rendszergazdai fiókokhoz használhat. | Jelenleg nem támogatott. A regisztrációs és bejelentkezési oldalakon az ügyfelek számára látható URL-címek azonban semlegesek, nem felügyelt URL-címek. További információ |
Identitásvédelem | Folyamatos kockázatészlelést biztosít a Microsoft Entra-bérlő számára. Lehetővé teszi a szervezetek számára az identitásalapú kockázatok felderítését, kivizsgálását és elhárítását. | Elérhető a Microsoft Entra ID-védelem kockázatészlelések egy részhalmaza. További információ. |
Egyéni hitelesítési bővítmény | Jogcímek hozzáadása külső rendszerekből. | Jogcímek hozzáadása külső rendszerekből. |
Jogkivonat testreszabása | Adjon hozzá felhasználói attribútumokat, egyéni hitelesítési bővítményt, jogcímátalakítást és biztonsági csoportok tagságát a jogkivonat-jogcímekhez. | Adja hozzá a felhasználói attribútumokat, az egyéni hitelesítési bővítményt és a biztonsági csoportok tagságát a jogkivonat-jogcímekhez.További információ. |
Új jelszó önkiszolgáló kérése | A felhasználók legfeljebb két hitelesítési módszerrel állíthatják vissza a jelszavukat (az elérhető metódusok következő sorában). | Lehetővé teszi a felhasználók számára, hogy egyszeri pin-kóddal rendelkező e-mail használatával alaphelyzetbe állhassák a jelszavukat. További információ. |
Nyelvi testreszabás | A bejelentkezési felület testreszabása böngészőnyelv alapján, amikor a felhasználók hitelesítik magukat a vállalati intraneten vagy a webalapú alkalmazásokban. | Nyelvek használatával módosíthatja az ügyfeleknek a bejelentkezési és regisztrációs folyamat részeként megjelenített sztringeket. További információ. |
Egyéni attribútumok | A címtárbővítmény-attribútumokkal további adatokat tárolhat a Microsoft Entra könyvtárban a felhasználói objektumok, csoportok, bérlőadatok és szolgáltatásnevek számára. | A címtárkiterjesztési attribútumokkal további adatokat tárolhat a felhasználói objektumok ügyfélkönyvtárában. Egyéni felhasználói attribútumokat hozhat létre, és hozzáadhatja őket a regisztrációs felhasználói folyamathoz. További információ. |
Identitásszolgáltatók és hitelesítési módszerek
Az alábbi táblázat összehasonlítja az elsődleges hitelesítéshez és a többtényezős hitelesítéshez (MFA) elérhető identitásszolgáltatókat és metódusokat a munkaerőben és a külső bérlőkben.
Szolgáltatás | Munkaerő-bérlő | Külső bérlő |
---|---|---|
Identitásszolgáltatók külső felhasználók számára | Önkiszolgáló regisztrációs vendégeknek: - Microsoft Entra-fiókok – Microsoft-fiókok – Egyszeri pin-kód küldése e-mailben – Google összevonás – Facebook-összevonás Meghívott vendégeknek: - Microsoft Entra-fiókok - Microsoft-fiókok – Egyszeri pin-kód küldése e-mailben – Google-összevonás – SAML/WS-Fed összevonás |
Önkiszolgáló regisztrációs felhasználók (fogyasztók, üzleti ügyfelek): - E-mail jelszóval- E-mail egyszeri pin-kód - Google-összevonás (előzetes verzió) - Facebook-összevonás (előzetes verzió) |
Hitelesítési módszerek | Belső felhasználók (alkalmazottak és rendszergazdák): - Hitelesítési és ellenőrzési módszerek vendégek számára (meghívott vagy önkiszolgáló regisztráció): - Hitelesítési módszerek vendég MFA-hoz |
Önkiszolgáló regisztrációt használók (fogyasztók, üzleti ügyfelek): - E-mail egyszeri pin-kód az MFA-hoz |
Alkalmazásregisztráció
Az alábbi táblázat összehasonlítja az alkalmazásregisztrációhoz elérhető funkciókat az egyes bérlőtípusokban.
Szolgáltatás | Munkaerő-bérlő | Külső bérlő |
---|---|---|
Protokoll | SAML-függő entitások, OpenID Csatlakozás és OAuth2 | OpenID Csatlakozás és OAuth2 |
Támogatott fióktípusok | A következő fióktípusok:
|
Mindig csak ebben a szervezeti címtárban (egyetlen bérlő) használja a fiókokat. |
Platform | A következő platformok:
|
A következő platformok:
|
Hitelesítési>átirányítási URI-k | A Microsoft Entra-azonosító URI-k a felhasználók sikeres hitelesítése vagy kijelentkezése után a hitelesítési válaszok (jogkivonatok) visszaadásakor célhelyként fogadhatók el. | Ugyanaz, mint a munkaerő. |
Hitelesítés>előtérbeli kijelentkezés URL-címe | Ez az URL-cím kéri a Microsoft Entra-azonosítót, hogy az alkalmazás törölje a felhasználó munkamenetadatait. Az egyszeri kijelentkezés megfelelő működéséhez az előtérbeli kijelentkezés URL-címe szükséges. | Ugyanaz, mint a munkaerő. |
Hitelesítési>implicit engedélyezési és hibrid folyamatok | Jogkivonat kérése közvetlenül az engedélyezési végpontról. | Ugyanaz, mint a munkaerő. |
Tanúsítványok > titkos kódok | Ugyanaz, mint a munkaerő. | |
Jogkivonat konfigurálása |
|
|
API-engedélyek | Engedélyek hozzáadása, eltávolítása és cseréje egy alkalmazáshoz. Az engedélyek alkalmazáshoz való hozzáadása után a felhasználóknak vagy a rendszergazdáknak hozzájárulást kell adniuk az új engedélyekhez. További információ az alkalmazás kért engedélyeinek frissítéséről a Microsoft Entra-azonosítóban. | A következő engedélyek engedélyezettek: Microsoft Graph offline_access és openid User.Read saját API-k delegált engedélyei. Csak egy rendszergazda adhat hozzájárulást a szervezet nevében. |
API-k felfedése | Egyéni hatókörök definiálása az API által védett adatokhoz és funkciókhoz való hozzáférés korlátozásához. Az API egyes részeihez hozzáférést igénylő alkalmazások kérhetik, hogy egy felhasználó vagy rendszergazda egy vagy több hatókörhöz járuljon hozzá. | Egyéni hatókörök definiálása az API által védett adatokhoz és funkciókhoz való hozzáférés korlátozásához. Az API egyes részeihez hozzáférést igénylő alkalmazások kérhetik, hogy rendszergazdai hozzájárulást adjanak egy vagy több ilyen hatókörhöz. |
Alkalmazásszerepkörök | Az alkalmazásszerepkörök egyéni szerepkörök, amelyek engedélyeket rendelnek a felhasználókhoz vagy alkalmazásokhoz. Az alkalmazás meghatározza és közzéteszi az alkalmazás-szerepköröket, és engedélyként értelmezi őket a hitelesítés során. | Ugyanaz, mint a munkaerő. További információ a szerepköralapú hozzáférés-vezérlés külső bérlőben lévő alkalmazásokhoz való használatáról. |
Tulajdonosok | Az alkalmazástulajdonosok megtekinthetik és szerkeszthetik az alkalmazásregisztrációt. Ezenkívül minden olyan felhasználó (aki esetleg nem szerepel a listán) rendszergazdai jogosultságokkal rendelkezik az alkalmazások kezeléséhez (például a Cloud Application Rendszergazda istrator) megtekintheti és szerkesztheti az alkalmazásregisztrációt. | Ugyanaz, mint a munkaerő. |
Szerepkörök és rendszergazdák | Rendszergazda istrative szerepkörök a Microsoft Entra ID-ban a kiemelt műveletekhez való hozzáférés megadására szolgálnak. | Csak a felhőalkalmazási Rendszergazda istrator szerepkör használható külső bérlőkben lévő alkalmazásokhoz. Ez a szerepkör lehetővé teszi az alkalmazásregisztrációk és a vállalati alkalmazások minden aspektusának létrehozását és kezelését. |
Felhasználók és csoportok hozzárendelése egy alkalmazáshoz | Ha felhasználó-hozzárendelést alkalmaz, csak azok a felhasználók tudnak bejelentkezni, akik az alkalmazáshoz vannak rendelve (akár közvetlen felhasználó-hozzárendeléssel, akár csoporttagság alapján). További információ: Felhasználók és csoportok hozzárendelésének kezelése egy alkalmazáshoz | Nem elérhető |
OpenID Csatlakozás és OAuth2 folyamatok
Az alábbi táblázat összehasonlítja az OAuth 2.0 és az OpenID Csatlakozás engedélyezési folyamatait az egyes bérlőtípusokban.
Szolgáltatás | Munkaerő-bérlő | Külső bérlő |
---|---|---|
OpenID Connect | Igen | Igen |
Engedélyezési kód | Igen | Igen |
Engedélyezési kód code with Code Exchange (PKCE) | Igen | Igen |
Ügyfél-hitelesítő adatok | Igen | 2.0-s verziós alkalmazások |
Eszköz-engedélyezés | Igen | Nem |
Meghatalmazásos folyamat | Igen | Igen |
Implicit támogatás | Igen | Igen |
Erőforrás-tulajdonosi jelszó hitelesítő adatai | Igen | Nem |
Szolgáltató URL-címe az OpenID Csatlakozás és OAuth2 folyamatokban
A szolgáltató URL-címe olyan URL- cím, amely azt jelzi, hogy az MSAL jogkivonatokat kérhet le. Külső bérlőkben lévő alkalmazások esetén mindig a következő formátumot használja: <tenant-name.ciamlogin.com>
Az alábbi JSON egy .NET-alkalmazásbeállításokat mutat be egy szolgáltatói URL-címmel:
{
"AzureAd": {
"Authority": "https://<Enter_the_Tenant_Subdomain_Here>.ciamlogin.com/",
"ClientId": "<Enter_the_Application_Id_Here>"
}
}
Feltételes hozzáférés
Az alábbi táblázat összehasonlítja a feltételes hozzáféréshez elérhető funkciókat az egyes bérlőtípusokban.
Szolgáltatás | Munkaerő-bérlő | Külső bérlő |
---|---|---|
Hozzárendelések | Felhasználók, csoportok és számítási feladatok identitásai | Vegye fel az összes felhasználót, és zárja ki a felhasználókat és csoportokat. További információ: Többtényezős hitelesítés (MFA) hozzáadása egy alkalmazáshoz. |
Célerőforrások | ||
Feltételek | ||
Grant | Erőforrásokhoz való hozzáférés engedélyezése vagy letiltása | |
Munkamenet | Munkamenet-vezérlők | Nem elérhető |
Fiókkezelés
Az alábbi táblázat az egyes bérlőtípusok felhasználói felügyeletéhez elérhető funkciókat hasonlítja össze. A táblázatban leírtak szerint bizonyos fióktípusok meghívással vagy önkiszolgáló regisztrációval jönnek létre. A bérlő felhasználói rendszergazdái a felügyeleti központon keresztül is létrehozhatnak fiókokat.
Szolgáltatás | Munkaerő-bérlő | Külső bérlő |
---|---|---|
Fióktípusok |
|
|
Felhasználói profil adatainak kezelése | Programozott módon és a Microsoft Entra felügyeleti központ használatával. | Ugyanaz, mint a munkaerő. |
Felhasználó jelszavának alaphelyzetbe állítása | Rendszergazda istratorok visszaállíthatják a felhasználó jelszavát, ha elfelejtik a jelszót, ha a felhasználót kizárják egy eszközről, vagy ha a felhasználó soha nem kapott jelszót. | Ugyanaz, mint a munkaerő. |
Nemrég törölt felhasználók visszaállítása vagy eltávolítása | Miután töröl egy felhasználót, a fiók 30 napig felfüggesztett állapotban marad. A 30 napos időszak alatt a felhasználói fiók az összes tulajdonságával együtt visszaállítható. | Ugyanaz, mint a munkaerő. |
Fiókok letiltása | Megakadályozza, hogy az új felhasználó bejelentkezhessen. | Ugyanaz, mint a munkaerő. |
Jelszavas védelem
Szolgáltatás | Munkaerő-bérlő | Külső bérlő |
---|---|---|
Intelligens zárolás | Az intelligens zárolás segít kizárni a rossz szereplőket, amelyek megpróbálják kitalálni a felhasználói jelszavakat, vagy találgatásos módszerekkel próbálnak bejutni | Ugyanaz, mint a munkaerő. |
Egyéni tiltott jelszavak | A Microsoft Entra egyéni tiltott jelszólistája lehetővé teszi adott sztringek hozzáadását az értékeléshez és a letiltáshoz. | Nem érhető el. |