Fitur yang didukung di penyewa tenaga kerja dan eksternal
Ada dua cara untuk mengonfigurasi penyewa Microsoft Entra, tergantung pada bagaimana organisasi berniat menggunakan penyewa dan sumber daya yang ingin mereka kelola:
- Konfigurasi penyewa tenaga kerja adalah untuk karyawan Anda, aplikasi bisnis internal, dan sumber daya organisasi lainnya. Kolaborasi B2B digunakan dalam penyewa tenaga kerja untuk berkolaborasi dengan mitra dan tamu bisnis eksternal.
- Konfigurasi penyewa eksternal digunakan secara eksklusif untuk skenario ID Eksternal tempat Anda ingin menerbitkan aplikasi kepada konsumen atau pelanggan bisnis.
Artikel ini memberikan perbandingan terperinci tentang fitur dan kemampuan yang tersedia di tenaga kerja dan penyewa eksternal.
Catatan
Selama pratinjau, fitur atau kemampuan yang memerlukan lisensi premium tidak tersedia di penyewa eksternal.
Perbandingan fitur umum
Tabel berikut membandingkan fitur dan kemampuan umum yang tersedia di penyewa tenaga kerja dan eksternal.
| Fitur | Penyewa tenaga kerja | Penyewa eksternal |
|---|---|---|
| Skenario identitas eksternal | Izinkan mitra bisnis dan pengguna eksternal lainnya untuk berkolaborasi dengan tenaga kerja Anda. Tamu dapat mengakses aplikasi bisnis Anda dengan aman melalui undangan atau pendaftaran layanan mandiri. | Gunakan ID Eksternal untuk mengamankan aplikasi Anda. Konsumen dan pelanggan bisnis dapat mengakses aplikasi konsumen Anda dengan aman melalui pendaftaran layanan mandiri. Undangan juga didukung . |
| Akun lokal | Akun lokal hanya didukung untuk anggota internal organisasi Anda. | Akun lokal didukung untuk: - Pengguna eksternal (konsumen, pelanggan bisnis) yang menggunakan pendaftaran layanan mandiri. - Akun yang dibuat oleh admin. |
| Grup | Grup dapat digunakan untuk mengelola akun administratif dan pengguna. | Grup dapat digunakan untuk mengelola akun administratif. Dukungan untuk grup Microsoft Entra dan peran aplikasi sedang di-fase menjadi penyewa pelanggan. Untuk pembaruan terbaru, lihat Dukungan peran grup dan aplikasi. |
| Peran dan administrator | Peran dan administrator didukung penuh untuk akun administratif dan pengguna. | Peran tidak didukung dengan akun pelanggan. Akun pelanggan tidak memiliki akses ke sumber daya penyewa. |
| Nama domain kustom | Anda hanya dapat menggunakan domain kustom untuk akun administratif. | Saat ini tidak didukung. Namun, URL yang terlihat oleh pelanggan di halaman pendaftaran dan masuk adalah URL netral dan tidak dibenamkan. Pelajari lebih lanjut |
| Perlindungan identitas | Menyediakan deteksi risiko yang sedang berlangsung untuk penyewa Microsoft Entra Anda. Fungsi ini memungkinkan organisasi untuk menemukan, menyelidiki, dan meremedi risiko berbasis identitas. | Subset deteksi risiko Perlindungan ID Microsoft Entra tersedia. Pelajari selengkapnya. |
| Ekstensi autentikasi kustom | Tambahkan klaim dari sistem eksternal. | Tambahkan klaim dari sistem eksternal. |
| Kustomisasi token | Tambahkan atribut pengguna, ekstensi autentikasi kustom, transformasi klaim, dan keanggotaan grup keamanan ke klaim token. | Tambahkan atribut pengguna, ekstensi autentikasi kustom, dan keanggotaan grup keamanan ke klaim token.Pelajari lebih lanjut. |
| Pengaturan ulang kata sandi mandiri | Izinkan pengguna untuk mengatur ulang kata sandi mereka menggunakan hingga dua metode autentikasi (lihat baris berikutnya untuk metode yang tersedia). | Izinkan pengguna untuk mengatur ulang kata sandi mereka menggunakan email dengan kode akses satu kali. Pelajari selengkapnya. |
| Kustomisasi bahasa | Sesuaikan pengalaman masuk berdasarkan bahasa browser saat pengguna mengautentikasi ke intranet perusahaan atau aplikasi berbasis web Anda. | Gunakan bahasa untuk memodifikasi string yang ditampilkan kepada pelanggan Anda sebagai bagian dari proses masuk dan pendaftaran. Pelajari selengkapnya. |
| Atribut kustom | Gunakan atribut ekstensi direktori untuk menyimpan lebih banyak data di direktori Microsoft Entra untuk objek pengguna, grup, detail penyewa, dan perwakilan layanan. | Gunakan atribut ekstensi direktori untuk menyimpan lebih banyak data di direktori pelanggan untuk objek pengguna. Buat atribut pengguna kustom dan tambahkan ke alur pengguna pendaftaran Anda. Pelajari selengkapnya. |
Penyedia identitas dan metode autentikasi
Tabel berikut membandingkan penyedia identitas dan metode yang tersedia untuk autentikasi utama dan autentikasi multifaktor (MFA) di penyewa tenaga kerja dan eksternal.
| Fitur | Penyewa tenaga kerja | Penyewa eksternal |
|---|---|---|
| Penyedia identitas untuk pengguna eksternal | Untuk tamu pendaftaran layanan mandiri:- Akun Microsoft Entra- Akun Microsoft- Kode akses satu kali email- federasi Google- Federasi Untuk tamu yang diundang: - Akun Microsoft Entra- Akun Microsoft- Kode akses satu kali email- federasi Google- federasi SAML/WS-Fed |
Untuk pengguna pendaftaran layanan mandiri (konsumen, pelanggan bisnis): - Email dengan kata sandi - Email kode akses- satu kali federasi Google (pratinjau) - Federasi Facebook (pratinjau) |
| Metode autentikasi | Untuk pengguna internal (karyawan dan admin): - Metode autentikasi dan verifikasi Untuk tamu (pendaftaran undangan atau layanan mandiri): - Metode autentikasi untuk MFA tamu |
Untuk pengguna pendaftaran layanan mandiri (konsumen, pelanggan bisnis): - Kode akses satu kali email untuk MFA |
Pendaftaran aplikasi
Tabel berikut membandingkan fitur yang tersedia untuk Pendaftaran aplikasi di setiap jenis penyewa.
| Fitur | Penyewa tenaga kerja | Penyewa eksternal |
|---|---|---|
| Protokol | Pihak yang mengandalkan SAML, OpenID Koneksi, dan OAuth2 | Koneksi OpenID dan OAuth2 |
| Jenis akun yang didukung | Jenis akun berikut:
|
Selalu gunakan Akun dalam direktori organisasi ini saja (Penyewa tunggal). |
| Platform | Platform berikut:
|
Platform berikut:
|
| URI Pengalihan Autentikasi> | ID Microsoft Entra URI menerima sebagai tujuan saat mengembalikan respons autentikasi (token) setelah berhasil mengautentikasi atau mengeluarkan pengguna. | Sama seperti tenaga kerja. |
| URL keluar saluran Depan Autentikasi> | URL ini adalah tempat ID Microsoft Entra mengirim permintaan agar aplikasi menghapus data sesi pengguna. URL keluar saluran depan diperlukan agar akses menyeluruh berfungsi dengan benar. | Sama seperti tenaga kerja. |
| Hibah implisit autentikasi>dan alur hibrid | Minta token langsung dari titik akhir otorisasi. | Sama seperti tenaga kerja. |
| Sertifikat & rahasia | Sama seperti tenaga kerja. | |
| Konfigurasi token |
|
|
| Izin API | Menambahkan, menghapus, dan mengganti izin ke aplikasi. Setelah izin ditambahkan ke aplikasi Anda, pengguna atau admin perlu memberikan persetujuan untuk izin baru. Pelajari selengkapnya tentang memperbarui izin yang diminta aplikasi di ID Microsoft Entra. | Berikut ini adalah izin yang diizinkan: Microsoft Graph offline_access, , openiddan User.Readizin yang didelegasikan API Saya. Hanya admin yang dapat menyetujui atas nama organisasi. |
| Mengekspos API | Tentukan cakupan kustom untuk membatasi akses ke data dan fungsionalitas yang dilindungi oleh API. Aplikasi yang memerlukan akses ke bagian API ini dapat meminta pengguna atau admin menyetujui satu atau beberapa cakupan ini. | Tentukan cakupan kustom untuk membatasi akses ke data dan fungsionalitas yang dilindungi oleh API. Aplikasi yang memerlukan akses ke bagian API ini dapat meminta persetujuan admin untuk satu atau beberapa cakupan ini. |
| Peran aplikasi | Peran aplikasi adalah peran kustom untuk menetapkan izin kepada pengguna atau aplikasi. Aplikasi mendefinisikan serta menerbitkan peran aplikasi dan menafsirkannya sebagai izin selama otorisasi. | Sama seperti tenaga kerja. Pelajari selengkapnya tentang menggunakan kontrol akses berbasis peran untuk aplikasi di penyewa eksternal. |
| Pemilik | Pemilik aplikasi dapat melihat dan mengedit pendaftaran aplikasi. Selain itu, setiap pengguna (yang mungkin tidak terdaftar) dengan hak istimewa admin untuk mengelola aplikasi apa pun (misalnya, Administrator Aplikasi Cloud) dapat melihat dan mengedit pendaftaran aplikasi. | Sama seperti tenaga kerja. |
| Peran dan administrator | Peran administratif digunakan untuk memberikan akses untuk tindakan istimewa di ID Microsoft Entra. | Hanya peran Administrator Aplikasi Cloud yang dapat digunakan untuk aplikasi di penyewa eksternal. Peran ini memberikan kemampuan untuk membuat dan mengelola semua aspek pendaftaran aplikasi dan aplikasi perusahaan. |
| Menetapkan pengguna dan grup ke aplikasi | Saat penugasan pengguna diperlukan, hanya pengguna yang Anda tetapkan ke aplikasi (baik melalui penugasan pengguna langsung atau berdasarkan keanggotaan grup) yang dapat masuk. Untuk informasi selengkapnya, lihat mengelola penugasan pengguna dan grup ke aplikasi | Tidak tersedia |
Alur openID Koneksi dan OAuth2
Tabel berikut membandingkan fitur yang tersedia untuk alur otorisasi Koneksi OAuth 2.0 dan OpenID di setiap jenis penyewa.
| Fitur | Penyewa tenaga kerja | Penyewa eksternal |
|---|---|---|
| OpenID Connect | Ya | Ya |
| Kode otorisasi | Ya | Ya |
| Kode otorisasi dengan Code Exchange (PKCE) | Ya | Ya |
| Informasi masuk klien | Ya | Aplikasi v2.0 |
| Otorisasi perangkat | Ya | Tidak |
| Alur Atas Nama | Ya | Ya |
| Pemberian implisit | Ya | Ya |
| Kredensial Kata Sandi Pemilik Sumber Daya | Ya | Tidak |
URL Otoritas dalam alur OpenID Koneksi dan OAuth2
URL otoritas adalah URL yang menunjukkan direktori tempat MSAL dapat meminta token. Untuk aplikasi di penyewa eksternal, selalu gunakan format berikut: <tenant-name.ciamlogin.com>
JSON berikut menunjukkan contoh pengaturan aplikasi .NET dengan URL otoritas:
{
"AzureAd": {
"Authority": "https://<Enter_the_Tenant_Subdomain_Here>.ciamlogin.com/",
"ClientId": "<Enter_the_Application_Id_Here>"
}
}
Akses Bersyarat
Tabel berikut membandingkan fitur yang tersedia untuk Akses Bersyar di setiap jenis penyewa.
| Fitur | Penyewa tenaga kerja | Penyewa eksternal |
|---|---|---|
| Penetapan | Pengguna, grup, dan identitas beban kerja | Sertakan semua pengguna, dan kecualikan pengguna dan grup. Untuk informasi selengkapnya, lihat Menambahkan autentikasi multifaktor (MFA) ke aplikasi. |
| Sumber daya target |
|
|
| Kondisi | ||
| Grant | Memberikan atau memblokir akses ke sumber daya | |
| Sesi | Kontrol sesi | Tidak tersedia |
Manajemen akun
Tabel berikut membandingkan fitur yang tersedia untuk manajemen pengguna di setiap jenis penyewa. Seperti yang disebutkan dalam tabel, jenis akun tertentu dibuat melalui undangan atau pendaftaran layanan mandiri. Admin pengguna di penyewa juga dapat membuat akun melalui pusat admin.
| Fitur | Penyewa tenaga kerja | Penyewa eksternal |
|---|---|---|
| Jenis akun |
|
|
| Mengelola info profil pengguna | Secara terprogram dan dengan menggunakan pusat admin Microsoft Entra. | Sama seperti tenaga kerja. |
| Mereset kata sandi pengguna | Administrator dapat mengatur ulang kata sandi pengguna jika kata sandi terlupakan, jika pengguna terkunci dari perangkat, atau jika pengguna tidak pernah menerima kata sandi. | Sama seperti tenaga kerja. |
| Memulihkan atau menghapus pengguna yang baru saja dihapus | Setelah Anda menghapus pengguna, akun tetap dalam status ditangguhkan selama 30 hari. Selama jendela 30 hari itu, akun pengguna dapat dipulihkan, bersama dengan semua propertinya. | Sama seperti tenaga kerja. |
| Menonaktifkan akun | Cegah pengguna baru untuk masuk. | Sama seperti tenaga kerja. |
Perlindungan kata sandi
| Fitur | Penyewa tenaga kerja | Penyewa eksternal |
|---|---|---|
| Penguncian cerdas | Penguncian cerdas membantu mengunci aktor jahat yang mencoba menebak kata sandi pengguna Anda atau menggunakan metode brute-force untuk masuk | Sama seperti tenaga kerja. |
| Kata sandi terlarang kustom | Daftar kata sandi terlarang kustom Microsoft Entra memungkinkan Anda menambahkan string tertentu untuk dievaluasi dan diblokir. | Tidak tersedia. |