Funktioner som stöds i Externt ID för Microsoft Entra (förhandsversion)
Microsoft Entras externa ID är utformat för företag som vill göra program tillgängliga för sina kunder med hjälp av Microsoft Entra-plattformen för identitet och åtkomst. Med introduktionen av den här funktionen erbjuder Microsoft Entra-ID nu två olika typer av klienter som du kan skapa och hantera:
En personalklientorganisation innehåller dina medarbetare och de appar och resurser som är interna för din organisation. Om du har arbetat med Microsoft Entra-ID är detta den typ av klientorganisation som du redan är bekant med. Du kanske redan har en befintlig personalklientorganisation för din organisation.
En extern klientorganisation representerar din kundriktade app, resurser och katalog med kundkonton. en extern klientorganisation är distinkt och skild från din personalklientorganisation.
Viktigt!
Microsoft Entra Externt ID för externa appar är för närvarande i förhandsversion. Se allmänna licensvillkor för onlinetjänster för juridiska villkor som gäller för Azure-funktioner och -tjänster som är i betaversion, förhandsversion eller på annat sätt inte är allmänt tillgängliga.
Jämföra personal- och externa klientfunktioner
Även om personalklienter och externa klienter bygger på samma underliggande Microsoft Entra-plattform finns det vissa funktionsskillnader. I följande tabell jämförs de funktioner som är tillgängliga i varje typ av klientorganisation.
Kommentar
Under förhandsversionen är funktioner som kräver en premiumlicens inte tillgängliga i externa klienter.
| Funktion | Personalklientorganisation | Extern klientorganisation |
|---|---|---|
| Scenario för externa identiteter | Tillåt affärspartner och andra externa användare att samarbeta med din personal. Du kan få säker åtkomst till dina affärsprogram via inbjudningar eller självbetjäningsregistrering. | Använd externt ID för att skydda dina externa program. Konsumenter och företagskunder kan på ett säkert sätt komma åt dina konsumentappar via självbetjäningsregistrering. Inbjudningar stöds också (förhandsversion). |
| Lokala konton | Lokala konton stöds endast för interna medlemmar i din organisation. | Lokala konton stöds för:- Externa användare (konsumenter, företagskunder) som använder självbetjäningsregistrering.– Konton som skapats av administratörer. |
| Identitetsprovidrar för externa användare | Självbetjäningsregistreringsgäster:- Microsoft Entra-konton – Microsoft-konton – E-post engångslösenord – Google-federation – Facebook-federation Inbjudna gäster:- Microsoft Entra-konton – Microsoft-konton – E-post engångslösenord – Google-federation – SAML/WS-Fed-federation |
Användare av självbetjäningsregistrering (konsumenter, företagskunder):- E-post med lösenord- E-post engångslösenord- - Google Federation Facebook-federation |
| Autentiseringsmetoder | – Interna användare (anställda och administratörer): Hur varje autentiseringsmetod fungerar – Gäster (inbjuden eller självbetjäningsregistrering): Autentiseringsmetoder för externa användare | Användare av självbetjäningsregistrering (konsumenter, företagskunder):- Skicka e-post med engångslösenord |
| Grupper | Grupper kan användas för att hantera administrativa konton och användarkonton. | Grupper kan användas för att hantera administrativa konton. Stöd för Microsoft Entra-grupper och programroller fasas in i kundklientorganisationer. De senaste uppdateringarna finns i Stöd för grupper och programroller. |
| Roller och administratörer | Roller och administratörer stöds fullt ut för administrativa konton och användarkonton. | Roller stöds inte med kundkonton. Kundkonton har inte åtkomst till klientresurser. |
| Egna domännamn | Du kan endast använda anpassade domäner för administrativa konton. | Stöds inte för närvarande. Url:erna som är synliga för kunder på registrerings- och inloggningssidorna är dock neutrala, omärkta URL:er. Läs mer |
| Roller och administratörer | Roller och administratörer stöds fullt ut för administrativa konton och användarkonton. | Roller stöds inte med kundkonton. Kundkonton har inte åtkomst till klientresurser. |
| Egna domännamn | Du kan endast använda anpassade domäner för administrativa konton. | Stöds inte för närvarande. Url:erna som är synliga för kunder på registrerings- och inloggningssidorna är dock neutrala, omärkta URL:er. Läs mer |
| Identitetsskydd | Ger kontinuerlig riskidentifiering för din Microsoft Entra-klientorganisation. Det gör det möjligt för organisationer att identifiera, undersöka och åtgärda identitetsbaserade risker. | En delmängd av Microsoft Entra ID Protection-riskidentifieringar är tillgänglig. Läs mer. |
| Tillägg för anpassad autentisering | Lägg till anspråk från externa system. | Lägg till anspråk från externa system. |
| Anpassning av token | Lägg till användarattribut, anpassat autentiseringstillägg (förhandsversion), anspråkstransformering och medlemskap i säkerhetsgrupper till tokenanspråk. | Lägg till användarattribut, anpassat autentiseringstillägg och medlemskap i säkerhetsgrupper i tokenanspråk. Läs mer. |
| Självåterställning av lösenord | Tillåt användare att återställa sitt lösenord med upp till två autentiseringsmetoder (se nästa rad för tillgängliga metoder). | Tillåt användare att återställa sitt lösenord med hjälp av e-post med engångslösenord. Läs mer. |
| Företagsanpassning | Microsoft Entra-klientorganisationen stöder Microsofts utseende och känsla som standardtillstånd för autentisering. Administratörer kan anpassa standardupplevelsen för Microsoft-inloggning. | Microsoft tillhandahåller ett neutralt varumärke som standard för den externa klientorganisationen, som kan anpassas för att uppfylla företagets specifika behov. Standardanpassningen för den externa klientorganisationen är neutral och innehåller inte någon befintlig Microsoft-varumärkesanpassning. Läs mer. |
| Språkanpassning | Anpassa inloggningsupplevelsen baserat på webbläsarspråket när användarna autentiserar till företagets intranät eller webbaserade program. | Använd språk för att ändra de strängar som visas för dina kunder som en del av inloggnings- och registreringsprocessen. Läs mer. |
| Anpassade attribut | Använd katalogtilläggsattribut för att lagra mer data i Microsoft Entra-katalogen för användarobjekt, grupper, klientinformation och tjänstens huvudnamn. | Använd katalogtilläggsattribut för att lagra mer data i kundkatalogen för användarobjekt. Skapa anpassade användarattribut och lägg till dem i ditt registreringsanvändarflöde. Läs mer. |
Programregistrering
I följande tabell jämförs de funktioner som är tillgängliga för programregistrering i varje typ av klientorganisation.
| Funktion | Personalklientorganisation | Extern klientorganisation |
|---|---|---|
| Protokoll | SAML-förlitande parter, OpenID Anslut och OAuth2 | OpenID Anslut och OAuth2 |
| Kontotyper som stöds | Följande kontotyper:
|
För kundinriktade program använder du alltid Endast konton i den här organisationskatalogen (enskild klientorganisation). |
| Plattform | Följande plattformar:
|
Samma som personalstyrkan. |
| Omdirigerings-URI:er för autentisering> | URI:erna Microsoft Entra ID accepterar som mål när du returnerar autentiseringssvar (token) efter att ha autentiserat eller loggat ut användare. | Samma som personalstyrkan. |
| Url för frontkanalsutloggning för autentisering> | Den här URL:en är den där Microsoft Entra-ID:t skickar en begäran om att programmet ska rensa användarens sessionsdata. Utloggnings-URL:en för Front-channel krävs för att enkel utloggning ska fungera korrekt. | Samma som personalstyrkan. |
| Implicit beviljande av autentisering>och hybridflöden | Begär en token direkt från auktoriseringsslutpunkten. | Samma som personalstyrkan. |
| Certifikat och hemligheter | Samma som personalstyrkan. | |
| Tokenkonfiguration |
|
|
| API-behörigheter | Lägg till, ta bort och ersätt behörigheter för ett program. När behörigheter har lagts till i ditt program måste användare eller administratörer bevilja medgivande till de nya behörigheterna. Läs mer om att uppdatera en apps begärda behörigheter i Microsoft Entra-ID. | För kundinriktade program är följande tillåtna behörigheter: Microsoft Graph offline_access, openidoch User.Read dina mina API:er delegerade behörigheter. Endast en administratör kan godkänna för organisationens räkning. |
| Exponera ett API | Definiera anpassade omfång för att begränsa åtkomsten till data och funktioner som skyddas av API:et. Ett program som kräver åtkomst till delar av det här API:et kan begära att en användare eller administratör godkänner ett eller flera av dessa omfång. | Definiera egna omfång för att begränsa åtkomst till data och funktionalitet som skyddas av API:et. Ett program som kräver åtkomst till delar av det här API:et kan begära administratörens medgivande till en eller flera av dessa omfång. |
| Approller | Approller är anpassade roller för att tilldela behörigheter till användare eller appar. Programmet definierar och publicerar approllerna och tolkar dem som behörigheter under auktoriseringen. | Samma som personalstyrkan. Läs mer om hur du använder rollbaserad åtkomstkontroll för program i en extern klientorganisation. |
| Ägare | Programägare kan visa och redigera programregistreringen. Dessutom kan alla användare (som kanske inte visas) med administratörsbehörighet för att hantera alla program (till exempel global administratör, molnappadministratör osv.) visa och redigera programregistreringen. | Samma som personalstyrkan. |
| Roller och administratörer | Administrativa roller används för att bevilja åtkomst för privilegierade åtgärder i Microsoft Entra-ID. | Endast rollen Molnprogramadministratör kan användas för kundinriktade program. Den här rollen ger möjlighet att skapa och hantera alla aspekter av programregistreringar och företagsprogram. |
| Tilldela användare och grupper till en app | När det krävs användartilldelning kan bara de användare du tilldelar till appen (antingen via direkt användartilldelning eller baserat på gruppmedlemskap) logga in. Mer information finns i Hantera användare och grupptilldelning till ett program | Inte tillgängliga |
OpenID-Anslut- och OAuth2-flöden
I följande tabell jämförs de funktioner som är tillgängliga för OAuth 2.0 och OpenID Anslut auktoriseringsflöden i varje typ av klientorganisation.
| Funktion | Personalklientorganisation | Extern klientorganisation |
|---|---|---|
| OpenID Connect | Ja | Ja |
| Auktoriseringskod | Ja | Ja |
| Auktoriseringskod med Code Exchange (PKCE) | Ja | Ja |
| Klientautentiseringsuppgifter | Ja | v2.0-program |
| Enhetsauktorisering | Ja | Nej |
| On-Behalf-Of-flöde | Ja | Ja |
| Implicit beviljande | Ja | Ja |
| Autentiseringsuppgifter för resursägares lösenord | Ja | Nej |
Utfärdar-URL i OpenID-Anslut- och OAuth2-flöden
Utfärdarens URL är en URL som anger en katalog som MSAL kan begära token från. För kundinriktade program använder du alltid följande format: <tenant-name.ciamlogin.com>
Följande JSON visar ett exempel på en .NET-appinställningar med en utfärdar-URL:
{
"AzureAd": {
"Authority": "https://<Enter_the_Tenant_Subdomain_Here>.ciamlogin.com/",
"ClientId": "<Enter_the_Application_Id_Here>"
}
}
Villkorlig åtkomst
I följande tabell jämförs de funktioner som är tillgängliga för villkorsstyrd åtkomst i varje typ av klientorganisation.
| Funktion | Personalklientorganisation | Extern klientorganisation |
|---|---|---|
| Tilldelningar | Användare, grupper och arbetsbelastningsidentiteter | Inkludera alla användare och exkludera användare och grupper. Mer information finns i Lägga till multifaktorautentisering (MFA) i en kundinriktad app. |
| Målresurser | ||
| Villkor | ||
| Bevilja | Bevilja eller blockera åtkomst till resurser | |
| Session | Sessionskontroller | Inte tillgängliga |
Kontohantering
I följande tabell jämförs de funktioner som är tillgängliga för användarhantering i varje typ av klientorganisation. Som anges i tabellen skapas vissa kontotyper via inbjudan eller självbetjäningsregistrering. En användaradministratör i klientorganisationen kan också skapa konton via administrationscentret.
| Funktion | Personalklientorganisation | Extern klientorganisation |
|---|---|---|
| Typer av konton |
|
|
| Hantera användarprofilinformation | Programmatiskt och med hjälp av administrationscentret för Microsoft Entra. | Samma som personalstyrkan. |
| Återställa en användares lösenord | Administratörer kan återställa en användares lösenord om lösenordet glöms bort, om användaren blir utelåst från en enhet eller om användaren aldrig har fått ett lösenord. | Samma som personalstyrkan. |
| Återställa eller ta bort en nyligen raderad användare | När du tar bort en användare inaktiveras kontot i 30 dagar. Under den 30-dagarsperioden kan användarkontot återställas, tillsammans med alla dess egenskaper. | Samma som personalstyrkan. |
| Inaktivera konton | Förhindra att den nya användaren kan logga in. | Samma som personalstyrkan. |
Lösenordsskydd
| Funktion | Personalklientorganisation | Extern klientorganisation |
|---|---|---|
| Smart utlåsning | Smart utelåsning hjälper till att låsa ut dåliga aktörer som försöker gissa användarnas lösenord eller använda råstyrkemetoder för att komma in | Samma som personalstyrkan. |
| Anpassade förbjudna lösenord | Med listan med anpassade förbjudna lösenord i Microsoft Entra kan du lägga till specifika strängar för att utvärdera och blockera. | Ej tillgänglig. |