Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Существует два способа настройки клиента Microsoft Entra в зависимости от того, как организация намерена использовать клиент и ресурсы, которыми требуется управлять:
- Конфигурация арендатора рабочей силы предназначена для ваших сотрудников, внутренних бизнес-приложений и других организационных ресурсов. Арендатор рабочей силы использует функцию B2B-сотрудничества в Внешняя идентификация Microsoft Entra для взаимодействия с внешними деловыми партнерами и гостями.
- Конфигурация внешнего клиента предназначена исключительно для сценариев внешнего идентификатора, в которых требуется опубликовать приложения для потребителей или бизнес-клиентов.
В этой статье приведено подробное сравнение функций и возможностей сотрудников и внешних клиентов. Дополнительные сведения об этих клиентах см. в разделе "Рабочие ресурсы и настройки внешних клиентов в Внешняя идентификация Microsoft Entra".
Note
Во время предварительного просмотра возможности, требующие лицензии премиум, недоступны во внешних арендаторах.
Сравнение общих признаков
В следующей таблице сравниваются общие функции и возможности сотрудников и внешних клиентов.
| Feature | Арендатор рабочей силы | Внешний арендатор |
|---|---|---|
| Сценарий внешних удостоверений | Разрешить бизнес-партнерам и другим внешним пользователям сотрудничать с сотрудниками. Гости могут безопасно получить доступ к бизнес-приложениям с помощью приглашений или самостоятельной регистрации. | Используйте внешний идентификатор для защиты приложений. Потребители и бизнес-клиенты могут получить доступ к потребительским приложениям через самостоятельную регистрацию. Приглашения также поддерживаются. |
| Локальные учетные записи | Локальные учетные записи поддерживаются только для внутренних членов организации. | Локальные учетные записи поддерживаются для следующих компонентов:
|
| Groups | Используйте группы для управления учетными записями администратора и пользователей. | Используйте группы для управления учетными записями администратора. Поддержка групп и ролей приложений в Microsoft Entra поэтапно внедряется в клиентские тенанты. Для получения последних обновлений см. раздел Поддержка групп и ролей приложений. |
| Роли и администраторы | Роли и администраторы полностью поддерживаются для администраторских и пользовательских учетных записей. | Роли поддерживаются для всех пользователей. Все пользователи во внешнем клиенте имеют разрешения по умолчанию , если им не назначена роль администратора. |
| Защита идентификации Microsoft Entra | Этот продукт обеспечивает постоянное обнаружение рисков для клиента Microsoft Entra. Она позволяет организациям обнаруживать, исследовать и устранять идентификационные риски. | Недоступно. |
| Управление идентификаторами Microsoft Entra | Этот продукт позволяет организациям управлять жизненным циклом идентификации и доступа, а также защищенным привилегированным доступом. Подробнее. | Недоступно. |
| Самостоятельная смена пароля | Разрешить пользователям сбрасывать пароль с помощью двух методов проверки подлинности. | Разрешить пользователям сбрасывать пароль, используя электронную почту с одноразовым кодом или смс. Подробнее. |
| Настройка языка | Настройте интерфейс входа на основе языка браузера при проверке подлинности пользователей в корпоративной интрасети или веб-приложениях. | Используйте языки для изменения строк, отображаемых клиентам в рамках процесса входа и регистрации. Подробнее. |
| Настраиваемые атрибуты | Используйте атрибуты расширения каталога для хранения дополнительных данных в каталоге Microsoft Entra для пользовательских объектов, групп, сведений о клиенте и субъектов-служб. | Используйте атрибуты расширения каталога для хранения дополнительных данных в каталоге клиента для пользовательских объектов. Создайте настраиваемые атрибуты пользователя и добавьте их в процесс регистрации пользователя. Подробнее. |
| Цены | Получите ценообразование на ежемесячных активных пользователей (MAU) для внешних участников через совместную работу B2B (UserType=Guest). |
Получение цен на MAU для всех пользователей во внешнем клиенте независимо от роли или UserType значения. |
Настройка интерфейса
В следующей таблице сравниваются функции настройки интерфейса в рабочей силе и внешних клиентах.
| Feature | Арендатор рабочей силы | Внешний арендатор |
|---|---|---|
| Фирменная символика компании | Вы можете добавить фирменную символику компании, которая применяется ко всем этим интерфейсам, чтобы создать согласованный интерфейс входа для пользователей. | То же самое, что и рабочая сила. Подробнее. |
| Настройка языка | Настройте интерфейс входа на языке браузера. | То же самое, что и рабочая сила. Подробнее. |
| Личные доменные имена | Пользовательские домены можно использовать только для административных учетных записей. | Вы можете использовать функцию личного домена URL-адресов для внешних клиентов для конечных точек входа в приложение с собственным доменным именем. |
| Встроенная проверка подлинности для мобильных приложений | Недоступно. | Нативная аутентификация Microsoft Entra обеспечивает полный контроль над проектированием возможностей входа в мобильное приложение. |
Добавление собственной бизнес-логики
Пользовательские расширения проверки подлинности можно использовать для настройки интерфейса проверки подлинности Microsoft Entra, интегрируя с внешними системами. Настраиваемое расширение проверки подлинности по сути является прослушивателем событий. При его активации выполняется вызов HTTP к конечной точке REST API, в которой определяется собственная бизнес-логика.
В следующей таблице сравниваются события для кастомных расширений аутентификации в рабочей среде и внешних арендаторах.
| Event | Арендатор рабочей силы | Внешний арендатор |
|---|---|---|
TokenIssuanceStart |
Добавьте утверждения из внешних систем. | Добавьте утверждения из внешних систем. |
OnAttributeCollectionStart |
Недоступно. | Это событие происходит в начале этапа сбора атрибутов регистрации перед отображением страницы сбора атрибутов. Можно добавить такие действия, как предварительное заполнение значений и отображение ошибки блокировки. Подробнее. |
OnAttributeCollectionSubmit |
Недоступно. | Это событие происходит во время потока регистрации после ввода и отправки атрибутов пользователем. Можно добавить такие действия, как проверка или изменение записей пользователя. Подробнее. |
OnOtpSend |
Недоступно. | Настройте настраиваемый поставщик электронной почты для однократных событий отправки секретного кода. Подробнее. |
Поставщики удостоверений и методы проверки подлинности
В следующей таблице сравниваются поставщики удостоверений и методы для первичной проверки подлинности и многофакторной проверки подлинности (MFA) в рабочей силе и внешних клиентах.
| Feature | Арендатор рабочей силы | Внешний арендатор |
|---|---|---|
| Поставщики удостоверений для внешних пользователей (первичная проверка подлинности) | Для гостей самостоятельной регистрации:
Для приглашенных гостей:
|
Для пользователей самостоятельной регистрации (потребителей, бизнес-клиентов):
Для приглашенных гостей (предварительный доступ) через роль каталога (например, администраторы):
Вы можете приглашать внешних пользователей только в административных целях. Эту функцию нельзя использовать для приглашения клиентов на вход в приложения. Эта функция несовместима с потоками пользователей в системе управления удостоверениями клиентов и доступом (CIAM). |
| Методы проверки подлинности для многофакторной аутентификации (MFA) | Для внутренних пользователей (сотрудников и администраторов):
Для гостей (приглашенная или самостоятельная регистрация): |
Для пользователей самостоятельной регистрации (потребителей, бизнес-клиентов):
Для приглашенных пользователей (предварительная версия): |
Методы проверки подлинности, доступные во внешнем идентификаторе
Некоторые методы проверки подлинности можно использовать в качестве основного фактора при входе пользователей в приложение, таких как имя пользователя и пароль. Другие методы проверки подлинности доступны только в качестве дополнительного фактора. В следующей таблице описано, как использовать метод проверки подлинности во время входа, самостоятельной регистрации, самостоятельного сброса пароля и MFA во внешнем идентификаторе.
| Method | Sign-in | Sign-up | Сброс пароля | MFA |
|---|---|---|---|---|
| Электронная почта с паролем |
|
|
||
| Отправка одноразового секретного кода по электронной почте |
|
|
|
|
| Проверка подлинности на основе SMS |
|
|||
| Секретный ключ (FIDO2) |
|
|
||
| Федерация Apple |
|
|
||
| Федерация Facebook |
|
|
||
| Федерация Google |
|
|
||
| Личная учетная запись Майкрософт (OpenID Connect) |
|
|
||
| Федерация Microsoft Entra ID |
|
|
||
| Федерация OpenID Connect |
|
|
||
| Федерация SAML/WS-Fed |
|
|
Регистрация приложения
В следующей таблице сравниваются функции регистрации приложений в каждом типе клиента.
| Feature | Арендатор рабочей силы | Внешний арендатор |
|---|---|---|
| Протокол | К протоколам относятся доверяющие стороны SAML, OpenID Connect и OAuth2. | К протоколам относятся SAML-получатели, OpenID Connect и OAuth2. |
| Поддерживаемые типы учетных записей | Доступны следующие типы учетных записей :
|
Всегда используйте учетные записи в этом каталоге организации (только один клиент). |
| Platform | Доступны следующие платформы :
|
Доступны следующие платформы :
|
| URI перенаправления для проверки подлинности | Microsoft Entra ID принимает эти URI как конечные точки, когда возвращает ответы аутентификации (токены) после успешной аутентификации или выхода пользователей. | То же самое, что и рабочая сила. |
| URL-адрес выхода из системы через front-channel для аутентификации | Это URL-адрес, в котором идентификатор Microsoft Entra отправляет запрос, чтобы приложение очистит данные сеанса пользователя. URL фронтального канала выхода необходим для правильной работы единого выхода. | То же самое, что и рабочая сила. |
| Неявное предоставление и гибридные потоки для проверки подлинности | Запрашивайте маркер непосредственно от конечной точки авторизации. | То же самое, что и рабочая сила. |
| Сертификаты и секреты | Доступны несколько учетных данных: | То же самое, что и рабочая сила. |
| Смена сертификатов и секретов | Обновите учетные данные клиента, чтобы гарантировать, что они остаются действительными и безопасными, а пользователи могут продолжать вход. Вы можете повернуть сертификаты, секреты и федеративные учетные данные, добавив новый, а затем удалив старый. | То же самое, что и рабочая сила. |
| Политика сертификатов и секретов | Настройте политики управления приложениями для принудительного применения ограничений секретов и сертификатов. | Недоступно. |
| Разрешения API | Добавление, удаление и замена разрешений для приложения. После добавления разрешений в приложение пользователи или администраторы должны предоставить согласие новым разрешениям. Узнайте больше об обновлении запрошенных разрешений приложения в идентификаторе Microsoft Entra. | Разрешены следующие разрешения: Microsoft Graph offline_access, openid, и User.Read, а также делегированные разрешения Мои API. Только администратор может предоставить согласие от имени организации. |
| Предоставление API | Определите пользовательские области для ограничения доступа к данным и функциям, которые API помогает защитить. Приложение, требующее доступа к частям этого API, может запросить согласие пользователя или администратора на одну или несколько этих областей. | То же самое, что и рабочая сила. |
| Owners | Владельцы приложений могут просматривать и изменять регистрацию приложения. Кроме того, любой пользователь (который не может быть указан) с правами администратора для управления любым приложением (например, администратор облачных приложений) может просматривать и изменять регистрацию приложения. | То же самое, что и рабочая сила. |
| Роли и администраторы | Административные роли используются для предоставления доступа к привилегированным действиям в идентификаторе Microsoft Entra. | Для приложений в внешних клиентах можно использовать только роль администратора облачных приложений. Эта роль предоставляет возможность создавать и управлять всеми аспектами регистрации приложений и корпоративными приложениями. |
Управление доступом для приложений
В следующей таблице сравниваются функции авторизации приложения в каждом типе клиента.
| Feature | Арендатор рабочей силы | Внешний арендатор |
|---|---|---|
| Ролевое управление доступом (RBAC) | Вы можете определить роли приложений для приложения и назначить эти роли пользователям и группам. ID Microsoft Entra включает роли пользователей в токене безопасности. Затем приложение может принимать решения об авторизации на основе значений в маркере безопасности. | То же самое, что и рабочая сила. Дополнительные сведения об использовании управления доступом на основе ролей для приложений во внешнем клиенте. Доступные функции см. в разделе "Группы" и "Поддержка ролей приложений". |
| Группы безопасности | Группы безопасности можно использовать для реализации RBAC в приложениях, где членство пользователей в определенных группах интерпретируется как их членство в роли. Идентификатор Microsoft Entra включает членство в группе пользователей в маркере безопасности. Затем приложение может принимать решения об авторизации на основе значений в маркере безопасности. | То же самое, что и рабочая сила. Необязательные утверждения группы ограничены идентификатором объекта группы. |
| Управление доступом на основе атрибутов (ABAC) | Приложение можно настроить для включения атрибутов пользователей в маркер доступа. Затем приложение может принимать решения об авторизации на основе значений в маркере безопасности. Дополнительные сведения см. в разделе "Настройка маркера". | То же самое, что и рабочая сила. |
| Требовать назначение пользователя | Если требуется назначение пользователя, только пользователи, которых вы назначили приложению (либо через прямое назначение пользователя, либо на основе членства в группе), могут войти. Дополнительные сведения см. в разделе "Управление назначениями пользователей и групп" в приложении. | То же самое, что и рабочая сила. Дополнительные сведения см. в разделе "Группы" и "Роли приложений". |
Корпоративные приложения
В следующей таблице сравниваются уникальные функции регистрации корпоративных приложений в рабочей среде и внешних арендаторах.
| Feature | Арендатор рабочей силы | Внешний арендатор |
|---|---|---|
| Коллекция приложений | Коллекция приложений содержит тысячи приложений, интегрированных в идентификатор Microsoft Entra. | Выберите из диапазона интегрированных приложений. Чтобы найти партнерское приложение, используйте панель поиска. Каталог коллекции приложений недоступен. |
| Регистрация пользовательского корпоративного приложения | Добавьте корпоративное приложение. | Зарегистрируйте приложение SAML во внешнем клиенте. |
| Самостоятельное назначение приложения | Позвольте пользователям самостоятельно обнаруживать приложения. | Самостоятельное назначение приложений на портале "Мои приложения " недоступно. |
| Прокси приложения | Прокси приложения Microsoft Entra обеспечивает безопасный удаленный доступ к локальным веб-приложениям. | Недоступно. |
| Отключение регистрации приложения | Отключите регистрацию приложения, чтобы предотвратить выдачу токенов при сохранении конфигурации. | То же самое, что и рабочая сила. |
Функции согласия и разрешений для корпоративных приложений
В следующей таблице показано, какие функции согласия и разрешений доступны для корпоративных приложений в каждом типе клиента.
| Feature | Арендатор рабочей силы | Внешний арендатор |
|---|---|---|
| Согласие администратора для корпоративных приложений | Вы можете предоставить разрешения администратора на уровне клиента. Вы также можете просмотреть и отозвать их. | То же самое, что и рабочая сила. |
| Согласие пользователя для корпоративных приложений | Вы можете настроить способ предоставления пользователям согласия на приложения и обновить эти разрешения. | Ограничено разрешениями, которые не требуют согласия администратора. |
| Проверка или отмена согласия администратора | Просмотр и отмена разрешений. | Используйте Центр администрирования Microsoft Entra для отзыва согласия администратора. |
| Проверка или отмена согласия пользователя | Просмотр и отмена разрешений. | Используйте API Microsoft Graph или PowerShell для отзыва согласия пользователя. |
| Назначение приложений пользователям или группам | Вы можете управлять доступом к приложениям в отдельном или групповом назначении. Членство в вложенных группах не поддерживается. | То же самое, что и рабочая сила. |
| RBAC для ролей приложений | Можно определить и назначить роли для точного управления доступом. | То же самое, что и рабочая сила. |
Потоки OpenID Connect и OAuth2
В следующей таблице сравниваются функции для потоков авторизации OAuth 2.0 и OpenID Connect в каждом типе клиента.
| Feature | Арендатор рабочей силы | Внешний арендатор |
|---|---|---|
| OpenID Connect | Yes | Yes |
| Код авторизации | Yes | Yes |
| Код авторизации с проверочным ключом для обмена кодами (PKCE) | Yes | Yes |
| Учетные данные клиента | Yes | Приложения версии 2.0 |
| Авторизация устройства | Yes | Yes |
| Поток выполнения от имени | Yes | Yes |
| Неявное разрешение | Yes | Yes |
| Учетные данные владельца ресурса с паролем | Yes | Нет; для мобильных приложений используйте собственную проверку подлинности |
URL-адрес авторизации в потоках OpenID Connect и OAuth2
URL-адрес центра указывает каталог, из которого библиотека проверки подлинности Майкрософт (MSAL) может запрашивать токены. Для приложений во внешних клиентах всегда используйте следующий формат: <tenant-name>.ciamlogin.com
В следующем примере JSON показан пример файла приложения .NET с URL-адресом авторизации:
{
"AzureAd": {
"Authority": "https://<Enter_the_Tenant_Subdomain_Here>.ciamlogin.com/",
"ClientId": "<Enter_the_Application_Id_Here>"
}
}
Условный доступ
В следующей таблице сравниваются функции условного доступа Microsoft Entra в каждом типе клиента.
| Feature | Арендатор рабочей силы | Внешний арендатор |
|---|---|---|
| Assignments | Пользователи, группы и идентичности рабочей нагрузки. | Включите всех пользователей и исключите пользователей и группы. Дополнительные сведения см. в разделе "Добавление многофакторной проверки подлинности(MFA) в приложение. |
| Целевые ресурсы | ||
| Условия | ||
| Грант | Предоставление или блокировка доступа к ресурсам | |
| Session | Элементы управления сеансами | Доступны следующие элементы управления сеансами:
|
Политики условий использования
В следующей таблице сравниваются функции политик использования в каждом типе клиента.
| Feature | Арендатор рабочей силы | Внешний арендатор |
|---|---|---|
| Политики условного доступа | Ознакомьтесь с условиями использования Microsoft Entra. | Недоступно. |
| Самостоятельная регистрация | Недоступно. | Добавьте обязательный атрибут , связанный с политиками использования на странице регистрации. Гиперссылку можно настроить для поддержки различных языков. |
| Страница входа | Вы можете добавить ссылки в правый нижний угол для сведений о конфиденциальности с помощью фирменной символики компании. | То же самое, что и рабочая сила. |
Управление учетной записью
В следующей таблице сравниваются функции управления пользователями в каждом типе клиента. Как отмечалось в таблице, некоторые типы учетных записей создаются с помощью приглашения или самостоятельной регистрации. Администратор пользователя в клиенте также может создавать учетные записи через центр администрирования.
| Feature | Арендатор рабочей силы | Внешний арендатор |
|---|---|---|
| Типы учетных записей |
|
|
| Управление сведениями профиля пользователя |
|
То же самое, что и функция Workforce, за исключением того, что межарендаторная синхронизация недоступна. |
| Сброс пароля пользователя | Администраторы могут сбросить пароль пользователя, если пользователь забыл пароль , заблокирован из устройства или никогда не получил пароль. | То же самое, что и рабочая сила. |
| Восстановление или удаление недавно удаленного пользователя | После удаления пользователя его учетная запись остается в заблокированном состоянии в течение 30 дней. В течение этого времени учетную запись пользователя и все ее свойства можно восстановить. | То же самое, что и рабочая сила. |
| Отключение учетных записей | Запретить новому пользователю войти в систему. | То же самое, что и рабочая сила. |
Защита паролей
В следующей таблице сравниваются функции защиты паролем в каждом типе клиента.
| Feature | Арендатор рабочей силы | Внешний арендатор |
|---|---|---|
| Умная блокировка | Смарт-блокировка помогает заблокировать злоумышленников, которые пытаются угадать пароли пользователей или использовать методы подбора паролей. | То же самое, что и рабочая сила. |
| Глобальные запрещенные пароли | Глобальный список запрещенных паролей автоматически блокирует часто используемые слабые или скомпрометированные пароли на основе анализа данных безопасности Microsoft Entra. | То же самое, что и рабочая сила. |
| Настраиваемые запрещенные пароли | Используйте список настраиваемых запрещенных паролей , чтобы добавить определенные строки для оценки и блокировки во время создания и сброса пароля. | То же самое, что и рабочая сила. |
Настройка маркера
В следующей таблице сравниваются функции настройки токенов в каждом типе арендатора.
| Feature | Арендатор рабочей силы | Внешний арендатор |
|---|---|---|
| Сопоставление утверждений | Настройте утверждения, выдаваемые в токене JSON (JWT) для корпоративных приложений. | То же самое, что и рабочая сила. Необязательные утверждения должны быть настроены с помощью атрибутов и утверждений. |
| Преобразование утверждений | Примените преобразование к атрибуту пользователя, выданному в JWT для корпоративных приложений. | То же самое, что и рабочая сила. |
| Поставщик пользовательских требований | Используйте настраиваемое расширение проверки подлинности , которое вызывает внешний REST API для получения утверждений из внешних систем. | То же самое, что и рабочая сила. Подробнее. |
| Группы безопасности | Настройка групповых необязательных утверждений. | Настройте необязательные утверждения группы, ограниченные идентификатором объекта группы. |
| Время существования токена | Укажите время существования маркеров безопасности, выданных идентификатором Microsoft Entra. | То же самое, что и рабочая сила. |
| Отзыв сеанса и токена | Администратор может сделать недействительными все маркеры обновления и сеанс для пользователя. | То же самое, что и рабочая сила. |
Единый вход
Единый вход (SSO) обеспечивает более удобный процесс, уменьшая количество запросов учетных данных у пользователя. Пользователи введите свои учетные данные один раз. Другие приложения могут повторно использовать установленный сеанс на том же устройстве и веб-браузере без дальнейшего запроса.
В следующей таблице сравниваются функциональные возможности единого входа для каждого типа арендатора.
| Feature | Арендатор рабочей силы | Внешний арендатор |
|---|---|---|
| Типы регистрации приложений |
Корпоративные приложения предлагают больше вариантов, такие как регистрация на основе паролей, связанная и на основе заголовков. |
|
| Доменное имя | Веб-браузер устанавливает сеансовый cookie в домене login.microsoftonline.com Microsoft Entra, когда пользователь авторизован. |
При проверке подлинности пользователя файл cookie сеанса устанавливается в домене <tenant-name>.ciamlogin.com внешнего идентификатора Microsoft Entra или пользовательском ДОМЕНе URL-адреса в веб-браузере. Чтобы обеспечить правильную работу SSO, используйте один URL-домен. |
| Оставаться в системе | Вы можете включить или отключить параметр, чтобы оставаться в системе. | По умолчанию отображается запрос «Оставаться в системе?» Чтобы изменить или отключить его, используйте элемент управления сеансом Постоянный сеанс браузера в политике условного доступа. Подробнее. |
| Подготовка пользователей | Используйте автоматическое предоставление пользователей с помощью Системы управления идентификацией в междоменной среде (SCIM) для синхронизации учетных записей пользователей между External ID и поддерживаемыми приложениями. Такой подход автоматически обновляет данные пользователей. Управление пользователями поддерживает дифференциальные запросы. Эти запросы синхронизируют только изменения с момента последнего обновления. Это поведение повышает производительность и снижает нагрузку на систему. |
То же самое, что и рабочая сила. |
| Недействительность сеанса | Сценарии, в которых функция единой аутентификации может быть недействительной, в котором требуется повторная проверка подлинности:
Приложение указывает в запросе авторизации, чтобы пользователь вводил учетные данные с помощью параметра строки запроса login=prompt в OpenID Connect и атрибута ForceAuthn в запросе SAML. |
То же самое, что и рабочая сила. |
| Условный доступ | Проверьте раздел условного доступа . | Проверьте раздел условного доступа . |
| Система собственной аутентификации Microsoft Entra | Недоступно. | Нативная аутентификация поддерживает единый вход (SSO) для встроенных веб-просмотров. Единый вход между приложениями через системные браузеры недоступен с локальной аутентификацией. |
| Выход из системы | Когда приложение SAML или OpenID Connect направляет пользователя в конечную точку выхода, идентификатор Microsoft Entra id удаляет и запрещает сеанс пользователя из браузера. | То же самое, что и рабочая сила. |
| Единый выход из системы | После успешного выхода идентификатор Microsoft Entra отправляет уведомление о выходе во все другие приложения SAML и OpenID Connect , в которые входит пользователь. | То же самое, что и рабочая сила. |
Интегрированные решения для обеспечения безопасности
Внешний идентификатор Microsoft Entra поддерживает интегрированные функции безопасности и партнерские решения для защиты удостоверений в течение жизненного цикла. Эти возможности включают защиту от распределенных атак типа "отказ в обслуживании" (DDoS), предотвращения мошенничества регистрации и единого мониторинга.
Эти решения можно включить непосредственно в External ID и получить доступ к партнерским интеграциям через Microsoft Security Store. Такой подход позволяет организациям быстро развертывать доверенные средства безопасности без сложной настройки.
| Feature | Арендатор рабочей силы | Внешний арендатор |
|---|---|---|
| Защита от мошеннических попыток регистрации | Интерфейс мастера хранилища безопасности недоступен. | Используйте Arkose Labs и HUMAN Security , чтобы защитить от мошенничества регистрации и блокировать автоматизированные атаки ботов. |
| Защита от атак DDoS и брандмауэра веб-приложения (WAF) | Интерфейс мастера хранилища безопасности недоступен. | Используйте Cloudflare и Akamai , чтобы защитить от атак DDoS и безопасных приложений с помощью WAF. |
| Аналитика безопасности | Интерфейс мастера хранилища безопасности недоступен. | Используйте Azure Monitor и Microsoft Sentinel , чтобы включить мониторинг, Log Analytics и расширенное обнаружение угроз. |
Akamai и Cloudflare
Akamai и Cloudflare обеспечивают защиту от атак DDoS, устранение рисков бота и возможности WAF. Эти возможности помогают защитить приложения от вредоносного трафика, вредоносной автоматизации и распространенных веб-уязвимостей, таких как SQL-инъекция, межсайтовые сценарии и атаки на основе API.
Интеграция любого сервиса с внешним ID позволяет применять эти элементы управления безопасностью перед потоками идентификации, ориентированными на клиента. Это действие повышает устойчивость и снижает вероятность перебора учетных данных и других угроз, нацеленных на удостоверения.
Журналы действий и отчеты
В следующей таблице сравниваются функции журналов действий и отчетов для различных типов клиентов.
| Feature | Арендатор рабочей силы | Внешний арендатор |
|---|---|---|
| Журналы аудита | Эти журналы предоставляют подробный отчет обо всех событиях, зарегистрированных в идентификаторе Microsoft Entra, включая изменения приложений, групп и пользователей. | То же самое, что и рабочая сила. |
| Журналы действий входа | Журналы входа отслеживают все действия входа в клиенте Microsoft Entra, включая доступ к приложениям и ресурсам. | То же самое, что и рабочая сила. |
| Журналы регистрации (предварительная версия) | Недоступно. | Внешний идентификатор Microsoft Entra регистрирует все события самостоятельной регистрации, включая успешные регистрации и неудачные попытки. |
| Журналы настройки | Журналы подготовки предоставляют подробные записи о событиях подготовки в клиенте, таких как создание учетных записей пользователей, обновления и удаления. | Недоступно. |
| Журналы действий для политик хранения | Политики хранения данных Microsoft Entra определяют, сколько времени хранятся различные типы журналов (например, аудит, вход и журналы подготовки). | Семь дней. |
| Экспорт журналов действий | Используя параметры диагностики в Microsoft Entra ID, можно интегрировать журналы с Azure Monitor, отправлять журналы в концентратор событий или интегрировать с инструментами управления информацией и событиями безопасности (SIEM). | Azure Monitor для внешних клиентов (предварительная версия). |
| Отчеты об активности пользователей приложения (будут выведены из эксплуатации 31 августа 2026 г.; см. рекомендации по миграции) | Недоступно. | Активность пользователей приложений предоставляет аналитические сведения о том, как пользователи взаимодействуют с зарегистрированными приложениями в вашем клиенте. Он отслеживает такие метрики, как активные пользователи, новые пользователи, входы и показатели успешного выполнения MFA. |
API-интерфейсы Microsoft Graph
Все функции, поддерживаемые внешними клиентами, также поддерживаются для автоматизации через API Microsoft Graph. Некоторые функции, которые находятся в предварительной версии во внешних клиентах, могут быть общедоступными с помощью Microsoft Graph. Дополнительные сведения см. в статье "Управление удостоверением Microsoft Entra и сетевым доступом с помощью Microsoft Graph".