Поддерживаемые функции в организациях и внешних арендаторах

Существует два способа настройки клиента Microsoft Entra в зависимости от того, как организация намерена использовать клиент и ресурсы, которыми требуется управлять:

  • Конфигурация арендатора рабочей силы предназначена для ваших сотрудников, внутренних бизнес-приложений и других организационных ресурсов. Арендатор рабочей силы использует функцию B2B-сотрудничества в Внешняя идентификация Microsoft Entra для взаимодействия с внешними деловыми партнерами и гостями.
  • Конфигурация внешнего клиента предназначена исключительно для сценариев внешнего идентификатора, в которых требуется опубликовать приложения для потребителей или бизнес-клиентов.

В этой статье приведено подробное сравнение функций и возможностей сотрудников и внешних клиентов. Дополнительные сведения об этих клиентах см. в разделе "Рабочие ресурсы и настройки внешних клиентов в Внешняя идентификация Microsoft Entra".

Note

Во время предварительного просмотра возможности, требующие лицензии премиум, недоступны во внешних арендаторах.

Сравнение общих признаков

В следующей таблице сравниваются общие функции и возможности сотрудников и внешних клиентов.

Feature Арендатор рабочей силы Внешний арендатор
Сценарий внешних удостоверений Разрешить бизнес-партнерам и другим внешним пользователям сотрудничать с сотрудниками. Гости могут безопасно получить доступ к бизнес-приложениям с помощью приглашений или самостоятельной регистрации. Используйте внешний идентификатор для защиты приложений. Потребители и бизнес-клиенты могут получить доступ к потребительским приложениям через самостоятельную регистрацию. Приглашения также поддерживаются.
Локальные учетные записи Локальные учетные записи поддерживаются только для внутренних членов организации. Локальные учетные записи поддерживаются для следующих компонентов:
  • Потребители и бизнес-клиенты, использующие самостоятельную регистрацию.
  • Созданные администратором внутренние учетные записи (с ролью администратора или без нее).
Все пользователи во внешнем клиенте имеют разрешения по умолчанию , если им не назначена роль администратора.
Groups Используйте группы для управления учетными записями администратора и пользователей. Используйте группы для управления учетными записями администратора. Поддержка групп и ролей приложений в Microsoft Entra поэтапно внедряется в клиентские тенанты. Для получения последних обновлений см. раздел Поддержка групп и ролей приложений.
Роли и администраторы Роли и администраторы полностью поддерживаются для администраторских и пользовательских учетных записей. Роли поддерживаются для всех пользователей. Все пользователи во внешнем клиенте имеют разрешения по умолчанию , если им не назначена роль администратора.
Защита идентификации Microsoft Entra Этот продукт обеспечивает постоянное обнаружение рисков для клиента Microsoft Entra. Она позволяет организациям обнаруживать, исследовать и устранять идентификационные риски. Недоступно.
Управление идентификаторами Microsoft Entra Этот продукт позволяет организациям управлять жизненным циклом идентификации и доступа, а также защищенным привилегированным доступом. Подробнее. Недоступно.
Самостоятельная смена пароля Разрешить пользователям сбрасывать пароль с помощью двух методов проверки подлинности. Разрешить пользователям сбрасывать пароль, используя электронную почту с одноразовым кодом или смс. Подробнее.
Настройка языка Настройте интерфейс входа на основе языка браузера при проверке подлинности пользователей в корпоративной интрасети или веб-приложениях. Используйте языки для изменения строк, отображаемых клиентам в рамках процесса входа и регистрации. Подробнее.
Настраиваемые атрибуты Используйте атрибуты расширения каталога для хранения дополнительных данных в каталоге Microsoft Entra для пользовательских объектов, групп, сведений о клиенте и субъектов-служб. Используйте атрибуты расширения каталога для хранения дополнительных данных в каталоге клиента для пользовательских объектов. Создайте настраиваемые атрибуты пользователя и добавьте их в процесс регистрации пользователя. Подробнее.
Цены Получите ценообразование на ежемесячных активных пользователей (MAU) для внешних участников через совместную работу B2B (UserType=Guest). Получение цен на MAU для всех пользователей во внешнем клиенте независимо от роли или UserType значения.

Настройка интерфейса

В следующей таблице сравниваются функции настройки интерфейса в рабочей силе и внешних клиентах.

Feature Арендатор рабочей силы Внешний арендатор
Фирменная символика компании Вы можете добавить фирменную символику компании, которая применяется ко всем этим интерфейсам, чтобы создать согласованный интерфейс входа для пользователей. То же самое, что и рабочая сила. Подробнее.
Настройка языка Настройте интерфейс входа на языке браузера. То же самое, что и рабочая сила. Подробнее.
Личные доменные имена Пользовательские домены можно использовать только для административных учетных записей. Вы можете использовать функцию личного домена URL-адресов для внешних клиентов для конечных точек входа в приложение с собственным доменным именем.
Встроенная проверка подлинности для мобильных приложений Недоступно. Нативная аутентификация Microsoft Entra обеспечивает полный контроль над проектированием возможностей входа в мобильное приложение.

Добавление собственной бизнес-логики

Пользовательские расширения проверки подлинности можно использовать для настройки интерфейса проверки подлинности Microsoft Entra, интегрируя с внешними системами. Настраиваемое расширение проверки подлинности по сути является прослушивателем событий. При его активации выполняется вызов HTTP к конечной точке REST API, в которой определяется собственная бизнес-логика.

В следующей таблице сравниваются события для кастомных расширений аутентификации в рабочей среде и внешних арендаторах.

Event Арендатор рабочей силы Внешний арендатор
TokenIssuanceStart Добавьте утверждения из внешних систем. Добавьте утверждения из внешних систем.
OnAttributeCollectionStart Недоступно. Это событие происходит в начале этапа сбора атрибутов регистрации перед отображением страницы сбора атрибутов. Можно добавить такие действия, как предварительное заполнение значений и отображение ошибки блокировки. Подробнее.
OnAttributeCollectionSubmit Недоступно. Это событие происходит во время потока регистрации после ввода и отправки атрибутов пользователем. Можно добавить такие действия, как проверка или изменение записей пользователя. Подробнее.
OnOtpSend Недоступно. Настройте настраиваемый поставщик электронной почты для однократных событий отправки секретного кода. Подробнее.

Поставщики удостоверений и методы проверки подлинности

В следующей таблице сравниваются поставщики удостоверений и методы для первичной проверки подлинности и многофакторной проверки подлинности (MFA) в рабочей силе и внешних клиентах.

Feature Арендатор рабочей силы Внешний арендатор
Поставщики удостоверений для внешних пользователей (первичная проверка подлинности) Для гостей самостоятельной регистрации:
  • учетные записи Microsoft Entra
  • Учетные записи Майкрософт
  • Одноразовый код, отправленный по электронной почте
  • Федерация Google
  • Федерация Facebook

Для приглашенных гостей:
  • учетные записи Microsoft Entra
  • Учетные записи Майкрософт
  • Одноразовый код, отправленный по электронной почте
  • Федерация Google
  • Федерация SAML/WS-Fed
Для пользователей самостоятельной регистрации (потребителей, бизнес-клиентов):
Для приглашенных гостей (предварительный доступ) через роль каталога (например, администраторы):
Вы можете приглашать внешних пользователей только в административных целях. Эту функцию нельзя использовать для приглашения клиентов на вход в приложения. Эта функция несовместима с потоками пользователей в системе управления удостоверениями клиентов и доступом (CIAM).
Методы проверки подлинности для многофакторной аутентификации (MFA) Для внутренних пользователей (сотрудников и администраторов):
Для гостей (приглашенная или самостоятельная регистрация):
Для пользователей самостоятельной регистрации (потребителей, бизнес-клиентов):
Для приглашенных пользователей (предварительная версия):

Методы проверки подлинности, доступные во внешнем идентификаторе

Некоторые методы проверки подлинности можно использовать в качестве основного фактора при входе пользователей в приложение, таких как имя пользователя и пароль. Другие методы проверки подлинности доступны только в качестве дополнительного фактора. В следующей таблице описано, как использовать метод проверки подлинности во время входа, самостоятельной регистрации, самостоятельного сброса пароля и MFA во внешнем идентификаторе.

Method Sign-in Sign-up Сброс пароля MFA
Электронная почта с паролем
Отправка одноразового секретного кода по электронной почте
Проверка подлинности на основе SMS
Секретный ключ (FIDO2)
Федерация Apple
Федерация Facebook
Федерация Google
Личная учетная запись Майкрософт (OpenID Connect)
Федерация Microsoft Entra ID
Федерация OpenID Connect
Федерация SAML/WS-Fed

Регистрация приложения

В следующей таблице сравниваются функции регистрации приложений в каждом типе клиента.

Feature Арендатор рабочей силы Внешний арендатор
Протокол К протоколам относятся доверяющие стороны SAML, OpenID Connect и OAuth2. К протоколам относятся SAML-получатели, OpenID Connect и OAuth2.
Поддерживаемые типы учетных записей Доступны следующие типы учетных записей :
  • Учетные записи в этом каталоге организации (только один клиент)
  • Учетные записи в любом организационном каталоге (любой клиент Microsoft Entra в мультитенантной конфигурации)
  • Учетные записи в любом каталоге организации (любой клиент Microsoft Entra в мультитенантной конфигурации) и личные учетные записи Майкрософт (например, Skype и Xbox)
  • Только личные учетные записи Майкрософт
Всегда используйте учетные записи в этом каталоге организации (только один клиент).
Platform Доступны следующие платформы :
  • Общедоступный клиент или собственный (мобильный и настольный компьютер)
  • Web
  • Одностраничное приложение (SPA)
Доступны следующие платформы :
  • Общедоступный клиент (мобильный и настольный компьютер)
  • Web
  • СПА
  • Встроенная проверка подлинности для мобильных и одностраничных приложений
URI перенаправления для проверки подлинности Microsoft Entra ID принимает эти URI как конечные точки, когда возвращает ответы аутентификации (токены) после успешной аутентификации или выхода пользователей. То же самое, что и рабочая сила.
URL-адрес выхода из системы через front-channel для аутентификации Это URL-адрес, в котором идентификатор Microsoft Entra отправляет запрос, чтобы приложение очистит данные сеанса пользователя. URL фронтального канала выхода необходим для правильной работы единого выхода. То же самое, что и рабочая сила.
Неявное предоставление и гибридные потоки для проверки подлинности Запрашивайте маркер непосредственно от конечной точки авторизации. То же самое, что и рабочая сила.
Сертификаты и секреты Доступны несколько учетных данных: То же самое, что и рабочая сила.
Смена сертификатов и секретов Обновите учетные данные клиента, чтобы гарантировать, что они остаются действительными и безопасными, а пользователи могут продолжать вход. Вы можете повернуть сертификаты, секреты и федеративные учетные данные, добавив новый, а затем удалив старый. То же самое, что и рабочая сила.
Политика сертификатов и секретов Настройте политики управления приложениями для принудительного применения ограничений секретов и сертификатов. Недоступно.
Разрешения API Добавление, удаление и замена разрешений для приложения. После добавления разрешений в приложение пользователи или администраторы должны предоставить согласие новым разрешениям. Узнайте больше об обновлении запрошенных разрешений приложения в идентификаторе Microsoft Entra. Разрешены следующие разрешения: Microsoft Graph offline_access, openid, и User.Read, а также делегированные разрешения Мои API. Только администратор может предоставить согласие от имени организации.
Предоставление API Определите пользовательские области для ограничения доступа к данным и функциям, которые API помогает защитить. Приложение, требующее доступа к частям этого API, может запросить согласие пользователя или администратора на одну или несколько этих областей. То же самое, что и рабочая сила.
Owners Владельцы приложений могут просматривать и изменять регистрацию приложения. Кроме того, любой пользователь (который не может быть указан) с правами администратора для управления любым приложением (например, администратор облачных приложений) может просматривать и изменять регистрацию приложения. То же самое, что и рабочая сила.
Роли и администраторы Административные роли используются для предоставления доступа к привилегированным действиям в идентификаторе Microsoft Entra. Для приложений в внешних клиентах можно использовать только роль администратора облачных приложений. Эта роль предоставляет возможность создавать и управлять всеми аспектами регистрации приложений и корпоративными приложениями.

Управление доступом для приложений

В следующей таблице сравниваются функции авторизации приложения в каждом типе клиента.

Feature Арендатор рабочей силы Внешний арендатор
Ролевое управление доступом (RBAC) Вы можете определить роли приложений для приложения и назначить эти роли пользователям и группам. ID Microsoft Entra включает роли пользователей в токене безопасности. Затем приложение может принимать решения об авторизации на основе значений в маркере безопасности. То же самое, что и рабочая сила. Дополнительные сведения об использовании управления доступом на основе ролей для приложений во внешнем клиенте. Доступные функции см. в разделе "Группы" и "Поддержка ролей приложений".
Группы безопасности Группы безопасности можно использовать для реализации RBAC в приложениях, где членство пользователей в определенных группах интерпретируется как их членство в роли. Идентификатор Microsoft Entra включает членство в группе пользователей в маркере безопасности. Затем приложение может принимать решения об авторизации на основе значений в маркере безопасности. То же самое, что и рабочая сила. Необязательные утверждения группы ограничены идентификатором объекта группы.
Управление доступом на основе атрибутов (ABAC) Приложение можно настроить для включения атрибутов пользователей в маркер доступа. Затем приложение может принимать решения об авторизации на основе значений в маркере безопасности. Дополнительные сведения см. в разделе "Настройка маркера". То же самое, что и рабочая сила.
Требовать назначение пользователя Если требуется назначение пользователя, только пользователи, которых вы назначили приложению (либо через прямое назначение пользователя, либо на основе членства в группе), могут войти. Дополнительные сведения см. в разделе "Управление назначениями пользователей и групп" в приложении. То же самое, что и рабочая сила. Дополнительные сведения см. в разделе "Группы" и "Роли приложений".

Корпоративные приложения

В следующей таблице сравниваются уникальные функции регистрации корпоративных приложений в рабочей среде и внешних арендаторах.

Feature Арендатор рабочей силы Внешний арендатор
Коллекция приложений Коллекция приложений содержит тысячи приложений, интегрированных в идентификатор Microsoft Entra. Выберите из диапазона интегрированных приложений. Чтобы найти партнерское приложение, используйте панель поиска. Каталог коллекции приложений недоступен.
Регистрация пользовательского корпоративного приложения Добавьте корпоративное приложение. Зарегистрируйте приложение SAML во внешнем клиенте.
Самостоятельное назначение приложения Позвольте пользователям самостоятельно обнаруживать приложения. Самостоятельное назначение приложений на портале "Мои приложения " недоступно.
Прокси приложения Прокси приложения Microsoft Entra обеспечивает безопасный удаленный доступ к локальным веб-приложениям. Недоступно.
Отключение регистрации приложения Отключите регистрацию приложения, чтобы предотвратить выдачу токенов при сохранении конфигурации. То же самое, что и рабочая сила.

В следующей таблице показано, какие функции согласия и разрешений доступны для корпоративных приложений в каждом типе клиента.

Feature Арендатор рабочей силы Внешний арендатор
Согласие администратора для корпоративных приложений Вы можете предоставить разрешения администратора на уровне клиента. Вы также можете просмотреть и отозвать их. То же самое, что и рабочая сила.
Согласие пользователя для корпоративных приложений Вы можете настроить способ предоставления пользователям согласия на приложения и обновить эти разрешения. Ограничено разрешениями, которые не требуют согласия администратора.
Проверка или отмена согласия администратора Просмотр и отмена разрешений. Используйте Центр администрирования Microsoft Entra для отзыва согласия администратора.
Проверка или отмена согласия пользователя Просмотр и отмена разрешений. Используйте API Microsoft Graph или PowerShell для отзыва согласия пользователя.
Назначение приложений пользователям или группам Вы можете управлять доступом к приложениям в отдельном или групповом назначении. Членство в вложенных группах не поддерживается. То же самое, что и рабочая сила.
RBAC для ролей приложений Можно определить и назначить роли для точного управления доступом. То же самое, что и рабочая сила.

Потоки OpenID Connect и OAuth2

В следующей таблице сравниваются функции для потоков авторизации OAuth 2.0 и OpenID Connect в каждом типе клиента.

Feature Арендатор рабочей силы Внешний арендатор
OpenID Connect Yes Yes
Код авторизации Yes Yes
Код авторизации с проверочным ключом для обмена кодами (PKCE) Yes Yes
Учетные данные клиента Yes Приложения версии 2.0
Авторизация устройства Yes Yes
Поток выполнения от имени Yes Yes
Неявное разрешение Yes Yes
Учетные данные владельца ресурса с паролем Yes Нет; для мобильных приложений используйте собственную проверку подлинности

URL-адрес авторизации в потоках OpenID Connect и OAuth2

URL-адрес центра указывает каталог, из которого библиотека проверки подлинности Майкрософт (MSAL) может запрашивать токены. Для приложений во внешних клиентах всегда используйте следующий формат: <tenant-name>.ciamlogin.com

В следующем примере JSON показан пример файла приложения .NET с URL-адресом авторизации:

{
    "AzureAd": {
        "Authority": "https://<Enter_the_Tenant_Subdomain_Here>.ciamlogin.com/",
        "ClientId": "<Enter_the_Application_Id_Here>"
    }
}

Условный доступ

В следующей таблице сравниваются функции условного доступа Microsoft Entra в каждом типе клиента.

Feature Арендатор рабочей силы Внешний арендатор
Assignments Пользователи, группы и идентичности рабочей нагрузки. Включите всех пользователей и исключите пользователей и группы. Дополнительные сведения см. в разделе "Добавление многофакторной проверки подлинности(MFA) в приложение.
Целевые ресурсы
Условия
Грант Предоставление или блокировка доступа к ресурсам
Session Элементы управления сеансами Доступны следующие элементы управления сеансами:
  • Частота входа
  • Сохраняемый сеанс браузера

Политики условий использования

В следующей таблице сравниваются функции политик использования в каждом типе клиента.

Feature Арендатор рабочей силы Внешний арендатор
Политики условного доступа Ознакомьтесь с условиями использования Microsoft Entra. Недоступно.
Самостоятельная регистрация Недоступно. Добавьте обязательный атрибут , связанный с политиками использования на странице регистрации. Гиперссылку можно настроить для поддержки различных языков.
Страница входа Вы можете добавить ссылки в правый нижний угол для сведений о конфиденциальности с помощью фирменной символики компании. То же самое, что и рабочая сила.

Управление учетной записью

В следующей таблице сравниваются функции управления пользователями в каждом типе клиента. Как отмечалось в таблице, некоторые типы учетных записей создаются с помощью приглашения или самостоятельной регистрации. Администратор пользователя в клиенте также может создавать учетные записи через центр администрирования.

Feature Арендатор рабочей силы Внешний арендатор
Типы учетных записей
  • Внутренние члены, такие как сотрудники и администраторы.
  • Внешние пользователи, которых пригласили или которые используют самостоятельную регистрацию.
  • Внешние пользователи, созданные через самостоятельную регистрацию или администратором .
  • Внутренние пользователи с ролью администратора или без нее.
  • Приглашенные пользователи (предварительная версия) с ролью администратора или без нее.
Все пользователи во внешнем клиенте имеют разрешения по умолчанию , если им не назначена роль администратора.
Управление сведениями профиля пользователя То же самое, что и функция Workforce, за исключением того, что межарендаторная синхронизация недоступна.
Сброс пароля пользователя Администраторы могут сбросить пароль пользователя, если пользователь забыл пароль , заблокирован из устройства или никогда не получил пароль. То же самое, что и рабочая сила.
Восстановление или удаление недавно удаленного пользователя После удаления пользователя его учетная запись остается в заблокированном состоянии в течение 30 дней. В течение этого времени учетную запись пользователя и все ее свойства можно восстановить. То же самое, что и рабочая сила.
Отключение учетных записей Запретить новому пользователю войти в систему. То же самое, что и рабочая сила.

Защита паролей

В следующей таблице сравниваются функции защиты паролем в каждом типе клиента.

Feature Арендатор рабочей силы Внешний арендатор
Умная блокировка Смарт-блокировка помогает заблокировать злоумышленников, которые пытаются угадать пароли пользователей или использовать методы подбора паролей. То же самое, что и рабочая сила.
Глобальные запрещенные пароли Глобальный список запрещенных паролей автоматически блокирует часто используемые слабые или скомпрометированные пароли на основе анализа данных безопасности Microsoft Entra. То же самое, что и рабочая сила.
Настраиваемые запрещенные пароли Используйте список настраиваемых запрещенных паролей , чтобы добавить определенные строки для оценки и блокировки во время создания и сброса пароля. То же самое, что и рабочая сила.

Настройка маркера

В следующей таблице сравниваются функции настройки токенов в каждом типе арендатора.

Feature Арендатор рабочей силы Внешний арендатор
Сопоставление утверждений Настройте утверждения, выдаваемые в токене JSON (JWT) для корпоративных приложений. То же самое, что и рабочая сила. Необязательные утверждения должны быть настроены с помощью атрибутов и утверждений.
Преобразование утверждений Примените преобразование к атрибуту пользователя, выданному в JWT для корпоративных приложений. То же самое, что и рабочая сила.
Поставщик пользовательских требований Используйте настраиваемое расширение проверки подлинности , которое вызывает внешний REST API для получения утверждений из внешних систем. То же самое, что и рабочая сила. Подробнее.
Группы безопасности Настройка групповых необязательных утверждений. Настройте необязательные утверждения группы, ограниченные идентификатором объекта группы.
Время существования токена Укажите время существования маркеров безопасности, выданных идентификатором Microsoft Entra. То же самое, что и рабочая сила.
Отзыв сеанса и токена Администратор может сделать недействительными все маркеры обновления и сеанс для пользователя. То же самое, что и рабочая сила.

Единый вход

Единый вход (SSO) обеспечивает более удобный процесс, уменьшая количество запросов учетных данных у пользователя. Пользователи введите свои учетные данные один раз. Другие приложения могут повторно использовать установленный сеанс на том же устройстве и веб-браузере без дальнейшего запроса.

В следующей таблице сравниваются функциональные возможности единого входа для каждого типа арендатора.

Feature Арендатор рабочей силы Внешний арендатор
Типы регистрации приложений
  • OpenID Connect
  • OAuth 2.0
  • SAML (корпоративное приложение)

Корпоративные приложения предлагают больше вариантов, такие как регистрация на основе паролей, связанная и на основе заголовков.
  • OpenID Connect
  • OAuth 2.0
  • SAML (корпоративное приложение)
Доменное имя Веб-браузер устанавливает сеансовый cookie в домене login.microsoftonline.com Microsoft Entra, когда пользователь авторизован. При проверке подлинности пользователя файл cookie сеанса устанавливается в домене <tenant-name>.ciamlogin.com внешнего идентификатора Microsoft Entra или пользовательском ДОМЕНе URL-адреса в веб-браузере. Чтобы обеспечить правильную работу SSO, используйте один URL-домен.
Оставаться в системе Вы можете включить или отключить параметр, чтобы оставаться в системе. По умолчанию отображается запрос «Оставаться в системе?» Чтобы изменить или отключить его, используйте элемент управления сеансом Постоянный сеанс браузера в политике условного доступа. Подробнее.
Подготовка пользователей Используйте автоматическое предоставление пользователей с помощью Системы управления идентификацией в междоменной среде (SCIM) для синхронизации учетных записей пользователей между External ID и поддерживаемыми приложениями. Такой подход автоматически обновляет данные пользователей.

Управление пользователями поддерживает дифференциальные запросы. Эти запросы синхронизируют только изменения с момента последнего обновления. Это поведение повышает производительность и снижает нагрузку на систему.
То же самое, что и рабочая сила.
Недействительность сеанса Сценарии, в которых функция единой аутентификации может быть недействительной, в котором требуется повторная проверка подлинности:
  • Срок действия сеанса
  • Проблемы с браузером, такие как очистка файлов cookie или кэша браузера
  • Политика условного доступа, например требование многофакторной проверки подлинности
  • Отзыв сеанса
  • Проблемы безопасности, такие как подозрительные действия

Приложение указывает в запросе авторизации, чтобы пользователь вводил учетные данные с помощью параметра строки запроса login=prompt в OpenID Connect и атрибута ForceAuthn в запросе SAML.
То же самое, что и рабочая сила.
Условный доступ Проверьте раздел условного доступа . Проверьте раздел условного доступа .
Система собственной аутентификации Microsoft Entra Недоступно. Нативная аутентификация поддерживает единый вход (SSO) для встроенных веб-просмотров. Единый вход между приложениями через системные браузеры недоступен с локальной аутентификацией.
Выход из системы Когда приложение SAML или OpenID Connect направляет пользователя в конечную точку выхода, идентификатор Microsoft Entra id удаляет и запрещает сеанс пользователя из браузера. То же самое, что и рабочая сила.
Единый выход из системы После успешного выхода идентификатор Microsoft Entra отправляет уведомление о выходе во все другие приложения SAML и OpenID Connect , в которые входит пользователь. То же самое, что и рабочая сила.

Интегрированные решения для обеспечения безопасности

Внешний идентификатор Microsoft Entra поддерживает интегрированные функции безопасности и партнерские решения для защиты удостоверений в течение жизненного цикла. Эти возможности включают защиту от распределенных атак типа "отказ в обслуживании" (DDoS), предотвращения мошенничества регистрации и единого мониторинга.

Эти решения можно включить непосредственно в External ID и получить доступ к партнерским интеграциям через Microsoft Security Store. Такой подход позволяет организациям быстро развертывать доверенные средства безопасности без сложной настройки.

Feature Арендатор рабочей силы Внешний арендатор
Защита от мошеннических попыток регистрации Интерфейс мастера хранилища безопасности недоступен. Используйте Arkose Labs и HUMAN Security , чтобы защитить от мошенничества регистрации и блокировать автоматизированные атаки ботов.
Защита от атак DDoS и брандмауэра веб-приложения (WAF) Интерфейс мастера хранилища безопасности недоступен. Используйте Cloudflare и Akamai , чтобы защитить от атак DDoS и безопасных приложений с помощью WAF.
Аналитика безопасности Интерфейс мастера хранилища безопасности недоступен. Используйте Azure Monitor и Microsoft Sentinel , чтобы включить мониторинг, Log Analytics и расширенное обнаружение угроз.

Akamai и Cloudflare

Akamai и Cloudflare обеспечивают защиту от атак DDoS, устранение рисков бота и возможности WAF. Эти возможности помогают защитить приложения от вредоносного трафика, вредоносной автоматизации и распространенных веб-уязвимостей, таких как SQL-инъекция, межсайтовые сценарии и атаки на основе API.

Интеграция любого сервиса с внешним ID позволяет применять эти элементы управления безопасностью перед потоками идентификации, ориентированными на клиента. Это действие повышает устойчивость и снижает вероятность перебора учетных данных и других угроз, нацеленных на удостоверения.

Журналы действий и отчеты

В следующей таблице сравниваются функции журналов действий и отчетов для различных типов клиентов.

Feature Арендатор рабочей силы Внешний арендатор
Журналы аудита Эти журналы предоставляют подробный отчет обо всех событиях, зарегистрированных в идентификаторе Microsoft Entra, включая изменения приложений, групп и пользователей. То же самое, что и рабочая сила.
Журналы действий входа Журналы входа отслеживают все действия входа в клиенте Microsoft Entra, включая доступ к приложениям и ресурсам. То же самое, что и рабочая сила.
Журналы регистрации (предварительная версия) Недоступно. Внешний идентификатор Microsoft Entra регистрирует все события самостоятельной регистрации, включая успешные регистрации и неудачные попытки.
Журналы настройки Журналы подготовки предоставляют подробные записи о событиях подготовки в клиенте, таких как создание учетных записей пользователей, обновления и удаления. Недоступно.
Журналы действий для политик хранения Политики хранения данных Microsoft Entra определяют, сколько времени хранятся различные типы журналов (например, аудит, вход и журналы подготовки). Семь дней.
Экспорт журналов действий Используя параметры диагностики в Microsoft Entra ID, можно интегрировать журналы с Azure Monitor, отправлять журналы в концентратор событий или интегрировать с инструментами управления информацией и событиями безопасности (SIEM). Azure Monitor для внешних клиентов (предварительная версия).
Отчеты об активности пользователей приложения (будут выведены из эксплуатации 31 августа 2026 г.; см. рекомендации по миграции) Недоступно. Активность пользователей приложений предоставляет аналитические сведения о том, как пользователи взаимодействуют с зарегистрированными приложениями в вашем клиенте. Он отслеживает такие метрики, как активные пользователи, новые пользователи, входы и показатели успешного выполнения MFA.

API-интерфейсы Microsoft Graph

Все функции, поддерживаемые внешними клиентами, также поддерживаются для автоматизации через API Microsoft Graph. Некоторые функции, которые находятся в предварительной версии во внешних клиентах, могут быть общедоступными с помощью Microsoft Graph. Дополнительные сведения см. в статье "Управление удостоверением Microsoft Entra и сетевым доступом с помощью Microsoft Graph".