Recursos suportados na força de trabalho e locatários externos
Há duas maneiras de configurar um locatário do Microsoft Entra, dependendo de como a organização pretende usar o locatário e dos recursos que deseja gerenciar:
- Uma configuração de locatário da força de trabalho é para seus funcionários, aplicativos de negócios internos e outros recursos organizacionais. A colaboração B2B é usada em um locatário da força de trabalho para colaborar com parceiros de negócios externos e convidados.
- Uma configuração de locatário externo é usada exclusivamente para cenários de ID externa em que você deseja publicar aplicativos para consumidores ou clientes empresariais.
Este artigo fornece uma comparação detalhada dos recursos e capacidades disponíveis na força de trabalho e locatários externos.
Importante
A ID Externa do Microsoft Entra em locatários externos está atualmente em visualização. Consulte os Termos de Licença Universal para Serviços Online para obter os termos legais que se aplicam aos recursos e serviços do Azure que estão em versão beta, visualização ou não estão disponíveis ao público em geral.
Nota
Durante a visualização, os recursos ou capacidades que exigem uma licença premium não estão disponíveis em locatários externos.
Comparação geral de recursos
A tabela a seguir compara os recursos gerais e os recursos disponíveis na força de trabalho e nos locatários externos.
| Caraterística | Inquilino da força de trabalho | Inquilino externo |
|---|---|---|
| Cenário de identidades externas | Permita que parceiros de negócios e outros usuários externos colaborem com sua força de trabalho. Os hóspedes podem acessar com segurança seus aplicativos de negócios por meio de convites ou inscrição de autoatendimento. | Use a ID externa para proteger seus aplicativos. Consumidores e clientes empresariais podem acessar com segurança seus aplicativos de consumidor por meio de inscrição de autoatendimento. Convites também são suportados (visualização). |
| Contas locais | As contas locais são suportadas apenas para membros internos da sua organização. | As contas locais são suportadas para: - Usuários externos (consumidores, clientes empresariais) que usam a inscrição de autoatendimento. - Contas criadas por administradores. |
| Provedores de identidade para usuários externos | Convidados de inscrição self-service: - Contas Microsoft Entra- Contas Microsoft- Senha única por e-mail - Federação do Google- Federação do Facebook Convidados convidados: - Contas Microsoft Entra- Contas Microsoft- Senha única por e-mail- Federação do Google- Federação SAML/WS-Fed |
Usuários de inscrição de autoatendimento (consumidores, clientes empresariais): - E-mail com senha - Senha- única de e-mail Federação do Google Federação - do Facebook |
| Métodos de autenticação | - Usuários internos (funcionários e administradores): Como funciona cada método de autenticação - Convidados (inscrição convidada ou self-service): Métodos de autenticação para usuários externos |
Usuários de inscrição de autoatendimento (consumidores, clientes empresariais): - Senha única por e-mail |
| Grupos | Os grupos podem ser usados para gerenciar contas administrativas e de usuário. | Os grupos podem ser usados para gerenciar contas administrativas. O suporte para grupos e funções de aplicativos do Microsoft Entra está sendo faseado para locatários de clientes. Para obter as atualizações mais recentes, consulte Suporte a grupos e funções de aplicativo. |
| Funções e administradores | Funções e administradores são totalmente suportados para contas administrativas e de usuário. | As funções não são suportadas com contas de clientes. As contas de clientes não têm acesso aos recursos do locatário. |
| Nomes de domínio personalizados | Você pode usar domínios personalizados apenas para contas administrativas. | Não suportado atualmente. No entanto, os URLs visíveis para os clientes nas páginas de inscrição e login são URLs neutros e sem marca. Mais informações |
| Identity Protection | Fornece deteção de risco contínua para seu locatário do Microsoft Entra. Ele permite que as organizações descubram, investiguem e corrijam riscos baseados em identidade. | Está disponível um subconjunto das deteções de risco do Microsoft Entra ID Protection. Mais informações. |
| Extensão de autenticação personalizada | Adicione declarações de sistemas externos. | Adicione declarações de sistemas externos. |
| Personalização de token | Adicione atributos de usuário, extensão de autenticação personalizada (visualização), transformação de declarações e associação a grupos de segurança a declarações de token. | Adicione atributos de usuário, extensão de autenticação personalizada e associação a grupos de segurança às declarações de token.Saiba mais. |
| Reposição personalizada de palavras-passe | Permita que os usuários redefina sua senha usando até dois métodos de autenticação (consulte a próxima linha para obter os métodos disponíveis). | Permita que os usuários redefina sua senha usando e-mail com senha única. Mais informações. |
| Personalização de idioma | Personalize a experiência de entrada com base no idioma do navegador quando os usuários se autenticarem em sua intranet corporativa ou aplicativos baseados na Web. | Use idiomas para modificar as cadeias de caracteres exibidas para seus clientes como parte do processo de entrada e inscrição. Mais informações. |
| Atributos personalizados | Use atributos de extensão de diretório para armazenar mais dados no diretório do Microsoft Entra para objetos de usuário, grupos, detalhes do locatário e entidades de serviço. | Use atributos de extensão de diretório para armazenar mais dados no diretório do cliente para objetos de usuário. Crie atributos de usuário personalizados e adicione-os ao seu fluxo de usuário de inscrição. Mais informações. |
Fornecedores de identidade
A tabela a seguir compara os provedores de identidade disponíveis em cada tipo de locatário.
| Caraterística | Inquilino da força de trabalho | Inquilino externo |
|---|---|---|
| Provedores de identidade para usuários externos | Para convidados de inscrição self-service: - Contas Microsoft Entra- Contas Microsoft- Senha única por e-mail - Federação do Google- Federação do Facebook Para convidados: - Contas Microsoft Entra- Contas Microsoft- Senha única por e-mail- Federação do Google- Federação SAML/WS-Fed |
Para utilizadores de registo self-service (consumidores, clientes empresariais): - E-mail com palavra-passe - Senha- única de e-mail Federação do Google Federação - do Facebook |
| Métodos de autenticação | Para usuários internos (funcionários e administradores): - Como funciona cada método de autenticação Para convidados (inscrição convidada ou self-service): - Métodos de autenticação para usuários externos |
Para usuários de autoatendimento (consumidores, clientes empresariais): - Senha única por e-mail |
Registo de aplicação
A tabela a seguir compara os recursos disponíveis para o registro de aplicativos em cada tipo de locatário.
| Caraterística | Inquilino da força de trabalho | Inquilino externo |
|---|---|---|
| Protocolo | Partes confiáveis SAML, OpenID Connect e OAuth2 | OpenID Connect e OAuth2 |
| Tipos de conta suportados | Os seguintes tipos de conta:
|
Sempre use Contas somente neste diretório organizacional (Locatário único). |
| Plataforma | As seguintes plataformas:
|
As seguintes plataformas:
|
| URIs de redirecionamento de autenticação> | Os URIs que o Microsoft Entra ID aceita como destinos ao retornar respostas de autenticação (tokens) depois de autenticar ou sair com êxito dos usuários. | O mesmo que força de trabalho. |
| URL de logout do canal frontal de autenticação> | Essa URL é onde o Microsoft Entra ID envia uma solicitação para que o aplicativo limpe os dados de sessão do usuário. A URL de logout do canal frontal é necessária para que a saída única funcione corretamente. | O mesmo que força de trabalho. |
| Autenticação>Concessão implícita e fluxos híbridos | Solicite um token diretamente do ponto de extremidade de autorização. | O mesmo que força de trabalho. |
| Certificados & segredos | O mesmo que força de trabalho. | |
| Configuração do token |
|
|
| Permissões da API | Adicione, remova e substitua permissões para um aplicativo. Depois que as permissões são adicionadas ao seu aplicativo, os usuários ou administradores precisam conceder consentimento para as novas permissões. Saiba mais sobre como atualizar as permissões solicitadas de um aplicativo no Microsoft Entra ID. | A seguir estão as permissões permitidas: Microsoft Graph offline_access, openide User.Read suas permissões delegadas Minhas APIs . Apenas um administrador pode consentir em nome da organização. |
| Expor uma API | Defina escopos personalizados para restringir o acesso a dados e funcionalidades protegidos pela API. Um aplicativo que requer acesso a partes dessa API pode solicitar que um usuário ou administrador consinta em um ou mais desses escopos. | Defina escopos personalizados para restringir o acesso a dados e funcionalidades protegidos pela API. Um aplicativo que requer acesso a partes dessa API pode solicitar o consentimento do administrador para um ou mais desses escopos. |
| Funções do aplicativo | As funções de aplicativo são funções personalizadas para atribuir permissões a usuários ou aplicativos. A aplicação define e publica as funções de aplicação e interpreta-as como permissões durante a autorização. | O mesmo que força de trabalho. Saiba mais sobre como usar o controle de acesso baseado em função para aplicativos em um locatário externo. |
| Proprietários | Os proprietários de aplicativos podem visualizar e editar o registro do aplicativo. Além disso, qualquer usuário (que pode não estar listado) com privilégios administrativos para gerenciar qualquer aplicativo (por exemplo, Administrador Global, Administrador de Aplicativo na Nuvem, etc.) pode visualizar e editar o registro do aplicativo. | O mesmo que força de trabalho. |
| Funções e administradores | As funções administrativas são usadas para conceder acesso a ações privilegiadas no Microsoft Entra ID. | Somente a função Cloud Application Administrator pode ser usada para aplicativos em locatários externos. Essa função concede a capacidade de criar e gerenciar todos os aspetos de registros de aplicativos e aplicativos corporativos. |
| Atribuir utilizadores e grupos a uma aplicação | Quando a atribuição do utilizador é necessária, apenas os utilizadores que atribua à aplicação (seja através da atribuição direta do utilizador ou com base na associação ao grupo) podem iniciar sessão. Para obter mais informações, consulte gerenciar a atribuição de usuários e grupos a um aplicativo | Não disponível |
Fluxos OpenID Connect e OAuth2
A tabela a seguir compara os recursos disponíveis para OAuth 2.0 e fluxos de autorização do OpenID Connect em cada tipo de locatário.
| Caraterística | Inquilino da força de trabalho | Inquilino externo |
|---|---|---|
| OpenID Connect | Sim | Sim |
| Código de autorização | Sim | Sim |
| Código de autorização com troca de código (PKCE) | Sim | Sim |
| Credenciais de cliente | Sim | Aplicações v2.0 |
| Autorização do dispositivo | Sim | No |
| Fluxo Em-Nome-De | Sim | Sim |
| Subvenção implícita | Sim | Sim |
| Credenciais de senha do proprietário do recurso | Sim | No |
URL de autoridade no OpenID Connect e fluxos OAuth2
A URL de autoridade é uma URL que indica um diretório do qual a MSAL pode solicitar tokens. Para aplicativos em locatários externos, sempre use o seguinte formato: <tenant-name.ciamlogin.com>
O JSON a seguir mostra um exemplo de configurações de um aplicativo .NET com uma URL de autoridade:
{
"AzureAd": {
"Authority": "https://<Enter_the_Tenant_Subdomain_Here>.ciamlogin.com/",
"ClientId": "<Enter_the_Application_Id_Here>"
}
}
Acesso Condicional
A tabela a seguir compara os recursos disponíveis para Acesso Condicional em cada tipo de locatário.
| Caraterística | Inquilino da força de trabalho | Inquilino externo |
|---|---|---|
| Atribuições | Identidades de usuários, grupos e carga de trabalho | Inclua todos os usuários e exclua usuários e grupos. Para obter mais informações, consulte Adicionar autenticação multifator (MFA) a um aplicativo. |
| Recursos de destino |
|
|
| Condições | ||
| Conceder | Conceder ou bloquear o acesso aos recursos | |
| Sessão | Controles de sessão | Não disponível |
Gestão de contas
A tabela a seguir compara os recursos disponíveis para gerenciamento de usuários em cada tipo de locatário. Conforme observado na tabela, determinados tipos de conta são criados por meio de convite ou inscrição de autoatendimento. Um administrador de utilizador no inquilino também pode criar contas através do centro de administração.
| Caraterística | Inquilino da força de trabalho | Inquilino externo |
|---|---|---|
| Tipos de contas |
|
|
| Gerenciar informações de perfil de usuário | Programaticamente e usando o centro de administração do Microsoft Entra. | O mesmo que força de trabalho. |
| Redefinir a senha de um usuário | Os administradores podem redefinir a senha de um usuário se a senha for esquecida, se o usuário for bloqueado de um dispositivo ou se o usuário nunca recebeu uma senha. | O mesmo que força de trabalho. |
| Restaurar ou remover um utilizador recentemente eliminado | Depois de eliminar um utilizador, a conta permanece num estado suspenso por um período de 30 dias. Durante a janela de 30 dias, a conta do utilizador pode ser restaurada, juntamente com todas as propriedades. | O mesmo que força de trabalho. |
| Desativar contas | Impedir que o novo utilizador consiga iniciar sessão. | O mesmo que força de trabalho. |
Proteção por palavra-passe
| Caraterística | Inquilino da força de trabalho | Inquilino externo |
|---|---|---|
| Bloqueio inteligente | O bloqueio inteligente ajuda a bloquear agentes mal-intencionados que tentam adivinhar as senhas de seus usuários ou usam métodos de força bruta para entrar | O mesmo que força de trabalho. |
| Palavras-passe personalizadas proibidas | A lista de senhas proibidas personalizadas do Microsoft Entra permite adicionar cadeias de caracteres específicas para avaliar e bloquear. | Não disponível. |