Microsoft Entra 外部 ID 中支援的功能(預覽版)
Microsoft Entra 外部 ID 專為想要讓客戶提供應用程式的企業而設計,使用 Microsoft Entra 平臺進行身分識別和存取。 隨著這項功能的推出,Microsoft Entra ID 現在提供兩種不同類型的租使用者,您可以建立和管理:
員工租用戶包含您的員工,以及組織內部的應用程式和資源。 如果您已使用 Microsoft Entra ID,這是您已熟悉的租用戶類型。 您可能已經有組織現有的員工租用戶。
外部租使用者代表客戶面向的應用程式、資源和客戶帳戶目錄。 外部租用戶與員工租使用者不同。
重要
外部面向應用程式的 Microsoft Entra 外部 ID 目前為預覽狀態。 請參閱在線服務的通用授權條款,以取得適用於 Beta、預覽版或未正式運作的 Azure 功能與服務的法律條款。
比較員工和外部租使用者功能
雖然員工租使用者和外部租用戶建置在相同的基礎 Microsoft Entra 平臺上,但有一些功能差異。 下表比較每種租用戶類型中可用的功能。
注意
在預覽期間,需要進階授權的功能無法在外部租使用者中使用。
功能 | 員工租用戶 | 外部租使用者 |
---|---|---|
外部身分識別案例 | 允許商務夥伴和其他外部使用者與您的員工共同作業。 來賓可以透過邀請或自助式註冊安全地存取您的商務應用程式。 | 使用外部標識碼保護您的外部應用程式。 取用者和商務客戶可以透過自助式註冊安全地存取您的取用者應用程式。 也支援邀請(預覽)。 |
本機帳戶 | 僅限組織內部成員支援本機帳戶。 | 支援本機帳戶: - 使用自助式註冊 的外部使用者(取用者、商務客戶)。- 系統管理員所建立的帳戶。 |
外部用戶的識別提供者 | 自助式註冊來賓: - Microsoft Entra 帳戶 - Microsoft 帳戶 - 電子郵件一次性密碼 - Google 同盟 - Facebook 同盟 受邀來賓: - Microsoft Entra 帳戶 - Microsoft 帳戶 - 電子郵件一次性密碼 - Google 同盟 - SAML/WS-Fed 同盟 |
自助式註冊使用者(取用者、商務客戶): - 電子郵件與密碼電子郵件單次密碼- - Google 同盟 - Facebook 同盟 |
驗證方法 | - 內部使用者(員工和系統管理員): 每個驗證方法的運作 方式- 來賓(受邀或自助式註冊): 外部使用者的驗證方法 |
自助式註冊使用者(取用者、商務客戶): - 電子郵件一次性密碼 |
群組 | 群組 可用來管理系統管理與用戶帳戶。 | 群組可用來管理系統管理帳戶。 Microsoft Entra 群組和 應用程式角色 的支援正在分階段進入客戶租使用者。 如需最新的更新,請參閱 群組和應用程式角色支援。 |
角色與系統管理員 | 系統管理與用戶帳戶完全支援角色和系統管理員 。 | 客戶帳戶不支援角色。 客戶帳戶無法存取租用戶資源。 |
自訂網域名稱 | 您只能針對系統管理帳戶使用 自定義網域 。 | 目前不支援。 不過,客戶在註冊和登入頁面中可見的URL是中性、未命名的URL。 深入了解 |
身分識別保護 | 為您的 Microsoft Entra 租使用者提供持續的風險偵測。 它可讓組織探索、調查及補救身分識別型風險。 | Microsoft Entra ID Protection 風險偵測的子集可供使用。 深入了解。 |
自訂驗證延伸模組 | 從外部系統新增宣告。 | 從外部系統新增宣告。 |
令牌自定義 | 將使用者屬性、自定義驗證延伸模組 (預覽)、宣告轉換和安全組成員資格新增至令牌宣告。 | 將使用者屬性、自定義驗證延伸模組和安全組成員資格新增至令牌宣告。 深入了解。 |
自助式密碼重設 | 允許使用者使用最多兩個驗證方法重設其密碼(請參閱下一個數據列以瞭解可用的方法)。 | 允許使用者使用具有一次性密碼的電子郵件重設其密碼。 深入了解。 |
公司商標 | Microsoft Entra 租用戶支援 Microsoft 外觀和風格作為驗證體驗的默認狀態。 管理員 istrators 可以自定義預設的 Microsoft 登入體驗。 | Microsoft 提供中性商標做為外部租用戶的預設值,其可自定義以符合公司的特定需求。 外部租用戶的默認商標是中性,且不包含任何現有的 Microsoft 商標。 深入了解。 |
語言自定義 | 當使用者向公司內部網路或 Web 應用程式進行驗證時,根據瀏覽器語言自定義登入體驗。 | 使用語言來修改客戶在登入和註冊程序中顯示的字串。 深入了解。 |
自訂屬性 | 使用目錄擴充屬性,將更多數據儲存在 Microsoft Entra 目錄中,以取得用戶物件、群組、租使用者詳細數據和服務主體。 | 使用目錄擴充屬性,將更多數據儲存在用戶對象的客戶目錄中。 建立自定義用戶屬性,並將其新增至您的註冊使用者流程。 深入了解。 |
應用程式註冊
下表比較每種租用戶類型中應用程式 註冊 可用的功能。
功能 | 員工租用戶 | 外部租使用者 |
---|---|---|
通訊協定 | SAML 信賴憑證者、OpenID 連線 和 OAuth2 | OpenID 連線 和 OAuth2 |
支援的帳戶類型 | 下列 帳戶類型:
|
針對面向客戶的應用程式,請一律只使用此組織目錄中的帳戶(單一租使用者)。 |
平台 | 下列 平臺:
|
與員工相同。 |
驗證>重新導向 URI | 成功驗證或註銷用戶之後,傳回驗證回應(令牌)時,URI Microsoft Entra ID 會接受為目的地。 | 與員工相同。 |
驗證>前端通道註銷 URL | 此 URL 是 Microsoft Entra ID 傳送要求,讓應用程式清除使用者的會話數據的位置。 單一註銷必須有 Front-channel 註銷 URL 才能正常運作。 | 與員工相同。 |
驗證>隱含授與和混合式流程 | 直接向授權端點要求權杖。 | 與員工相同。 |
憑證和秘密 | 與員工相同。 | |
令牌組態 |
|
|
API 許可權 | 新增、移除和取代應用程式的許可權。 將許可權新增至您的應用程式之後,用戶或系統管理員必須授與新許可權的同意。 深入瞭解如何在 Microsoft Entra ID 中更新應用程式所要求的許可權。 | 對於客戶面向應用程式,以下是允許的許可權:Microsoft Graph offline_access 、 openid 和 User.Read 您的 My API 委派許可權。 只有系統管理員可以代表組織同意。 |
公開 API | 定義自定義範圍 ,以限制存取受 API 保護的數據和功能。 需要存取此 API 部分的應用程式可以要求使用者或系統管理員同意其中一或多個範圍。 | 定義自訂範圍,以對受到 API 保護的資料和功能進行存取限制。 需要存取此 API 部分的應用程式可以要求系統管理員同意其中一或多個範圍。 |
應用程式角色 | 應用程式角色是 自定義角色 ,可指派許可權給使用者或應用程式。 應用程式定義及發佈應用程式角色,並在授權期間將角色解譯為權限。 | 與員工相同。 深入瞭解如何 針對外部租使用者中的應用程式 使用角色型訪問控制。 |
擁有者 | 應用程式擁有者可以檢視和編輯應用程式註冊。 此外,任何具有管理許可權來管理任何應用程式的使用者(例如 Global 管理員 istrator、Cloud App 管理員 istrator 等)都可以檢視和編輯應用程式註冊。 | 與員工相同。 |
角色與系統管理員 | 管理員 原則角色可用來授與 Microsoft Entra 識別碼中特殊許可權動作的存取權。 | 只有 Cloud Application 管理員 istrator 角色可用於面向客戶的應用程式。 此角色可授與建立和管理應用程式註冊和企業應用程式所有層面的能力。 |
將使用者和群組指派給應用程式 | 需要使用者指派時,只有您指派給應用程式的使用者 (透過直接使用者指派或根據群組成員資格) 才能登入。 如需詳細資訊,請參閱 管理使用者和群組指派給應用程式 | 無法使用 |
OpenID 連線 和 OAuth2 流程
下表比較每個租用戶類型中 OAuth 2.0 和 OpenID 連線 授權流程可用的功能。
功能 | 員工租用戶 | 外部租使用者 |
---|---|---|
OpenID Connect | Yes | Yes |
授權碼 | Yes | Yes |
使用程式代碼交換的授權碼 (PKCE) | Yes | Yes |
用戶端認證 | Yes | v2.0 應用程式 |
裝置授權 | 是 | No |
代理者流程 | Yes | Yes |
隱含授與 | Yes | Yes |
資源擁有者密碼認證 | 是 | No |
OpenID 連線 和 OAuth2 流程中的授權單位 URL
授權單位 URL 是一個 URL,指出 MSAL 可以要求令牌的來源目錄。 針對客戶面向的應用程式,請一律使用下列格式:<tenant-name.ciamlogin.com>
下列 JSON 顯示具有授權 URL 的 .NET 應用程式設定範例:
{
"AzureAd": {
"Authority": "https://<Enter_the_Tenant_Subdomain_Here>.ciamlogin.com/",
"ClientId": "<Enter_the_Application_Id_Here>"
}
}
條件式存取
下表比較每種租用戶類型中條件式存取可用的功能。
功能 | 員工租用戶 | 外部租使用者 |
---|---|---|
作業 | 使用者、群組和 工作負載身分識別 | 包含 所有使用者,並排除使用者和群組。 如需詳細資訊, 請將多重要素驗證 (MFA) 新增至面向客戶的應用程式。 |
目標資源 | ||
條件 | ||
授與 | 授與或封鎖資源的存取權 | |
工作階段 | 會話控件 | 無法使用 |
帳戶管理
下表比較每種租用戶類型中可供使用者管理的功能。 如表格所述,某些帳戶類型是透過邀請或自助式註冊來建立。 租使用者中的用戶系統管理員也可以透過系統管理中心建立帳戶。
功能 | 員工租用戶 | 外部租使用者 |
---|---|---|
帳戶類型 |
|
|
管理使用者配置檔資訊 | 以程序設計方式, 並使用 Microsoft Entra 系統管理中心。 | 與員工相同。 |
重設用戶的密碼 | 如果忘記密碼、如果使用者遭到鎖定裝置,或用戶從未收到密碼,管理員 istrators 可以重設使用者的密碼。 | 與員工相同。 |
還原或移除最近刪除的使用者 | 刪除使用者之後,其帳戶會維持在暫時停權狀態 30 天。 在這 30 天的範圍期間,可以還原該使用者帳戶及其所有屬性。 | 與員工相同。 |
停用帳戶 | 防止新使用者登入。 | 與員工相同。 |
密碼保護
功能 | 員工租用戶 | 外部租使用者 |
---|---|---|
智能鎖定 | 智慧鎖定 有助於鎖定嘗試猜測用戶密碼或使用暴力密碼破解方法來進入的不良動作專案 | 與員工相同。 |
自定義禁用密碼 | Microsoft Entra 自定義禁用密碼清單可讓您新增要評估及封鎖的特定字串。 | 無法使用。 |