Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Существует два способа настройки клиента Microsoft Entra в зависимости от того, как организация намерена использовать клиент и ресурсы, которыми они хотят управлять:
- Конфигурация арендатора рабочей силы предназначена для ваших сотрудников, внутренних бизнес-приложений и других организационных ресурсов. Совместная работа B2B используется в тенанте рабочей силы для взаимодействия с внешними деловыми партнерами и гостями.
- Конфигурация внешнего клиента используется исключительно для сценариев внешнего идентификатора, в которых требуется опубликовать приложения для потребителей или бизнес-клиентов.
В этой статье приведено подробное сравнение функций и возможностей, доступных в рабочей силе и внешних клиентах.
Примечание.
Во время предварительного просмотра функции или возможности, требующие премиальной лицензии, недоступны во внешних арендаторах.
Сравнение общих признаков
В следующей таблице сравниваются общие функции и возможности, доступные в рабочей силе и внешних клиентах.
| Функция | Арендатор рабочей силы | Внешний арендатор |
|---|---|---|
| Сценарий внешних идентичностей | Разрешить бизнес-партнерам и другим внешним пользователям сотрудничать с сотрудниками. Гости могут безопасно получить доступ к бизнес-приложениям с помощью приглашений или самостоятельной регистрации. | Используйте внешний идентификатор для защиты приложений. Потребители и бизнес-клиенты могут безопасно получать доступ к приложениям-потребителям через самостоятельную регистрацию. Приглашения также поддерживаются. |
| Локальные учетные записи | Локальные учетные записи поддерживаются только для внутренних членов организации. | Локальные учетные записи поддерживаются для следующих компонентов:
|
| Группы | Группы можно использовать для управления учетными записями администратора и пользователей. | Группы можно использовать для управления учетными записями администраторов. Поддержка групп и ролей приложений в Microsoft Entra поэтапно внедряется в клиентские тенанты. Для получения последних обновлений см. раздел Поддержка групп и ролей приложений. |
| Роли и администраторы | Роли и администраторы полностью поддерживаются для администраторских и пользовательских учетных записей. | Роли поддерживаются для всех пользователей. Все пользователи во внешнем клиенте имеют разрешения по умолчанию, если они не назначены роли администратора. |
| Защита идентификаторов | Обеспечивает постоянное обнаружение рисков для клиента Microsoft Entra. Она позволяет организациям обнаруживать, исследовать и устранять идентификационные риски. | Недоступно |
| управление идентификаторами | Позволяет организациям управлять жизненным циклом удостоверений и доступа, а также обеспечивать безопасность привилегированного доступа. Подробнее. | Недоступно |
| Самостоятельный сброс пароля | Разрешить пользователям сбрасывать пароль с помощью не более чем двух методов проверки подлинности (см. следующую строку для списка доступных методов). | Разрешить пользователям сбрасывать пароль, используя электронную почту с одноразовым кодом доступа. Подробнее. |
| Настройка языка | Настройте интерфейс входа на основе языка браузера при проверке подлинности пользователей в корпоративной интрасети или веб-приложениях. | Используйте языки для изменения строк, отображаемых клиентам в рамках процесса входа и регистрации. Подробнее. |
| Настраиваемые атрибуты | Используйте атрибуты расширения каталога для хранения дополнительных данных в каталоге Microsoft Entra для пользовательских объектов, групп, сведений о клиенте и субъектов-служб. | Используйте атрибуты расширения каталога для хранения дополнительных данных в каталоге клиента для пользовательских объектов. Создайте настраиваемые атрибуты пользователя и добавьте их в процесс регистрации пользователя. Подробнее. |
| Цены | Ценообразование для ежемесячно активных пользователей (MAU) для внешних гостей в рамках B2B совместной работы (UserType=Guest). | Цены на ежемесячных активных пользователей (MAU) для всех пользователей во внешнем тенанте, независимо от роли или UserType. |
Настройка внешнего вида и ощущений
В следующей таблице сравниваются функции, доступные для настройки внешнего вида и стиля у сотрудников и внешних тенантов.
| Функция | Арендатор рабочей силы | Внешний арендатор |
|---|---|---|
| Фирменная символика компании | Вы можете добавить фирменную символику компании, которая применяется ко всем этим интерфейсам, чтобы создать согласованный интерфейс входа для пользователей. | То же самое, что и рабочая сила. Подробнее |
| Настройка языка | Настройте интерфейс входа на языке браузера. | То же самое, что и рабочая сила. Подробнее |
| Личные доменные имена | Пользовательские домены можно использовать только для административных учетных записей. | Функция пользовательского домена URL для внешних арендаторов позволяет брендировать точки входа в приложение, используя ваше собственное доменное имя. |
| Встроенная проверка подлинности для мобильных приложений | Недоступно | Встроенная проверка подлинности Microsoft Entra позволяет полностью контролировать проектирование возможностей входа в мобильное приложение. |
Добавление собственной бизнес-логики
Пользовательские расширения проверки подлинности позволяют настроить интерфейс проверки подлинности Microsoft Entra путем интеграции с внешними системами. Расширение пользовательской аутентификации фактически представляет собой прослушиватель событий, который при активации выполняет вызов HTTP к конечной точке REST API, где определяется ваша собственная бизнес-логика. В следующей таблице сравниваются события настраиваемых расширений для проверки подлинности, доступные в рабочих учетных записях и у внешних клиентов.
| Мероприятие | Арендатор рабочей силы | Внешний арендатор |
|---|---|---|
| TokenIssuanceStart | Добавьте утверждения из внешних систем. | Добавьте утверждения из внешних систем. |
| ПриНачалеСбораАтрибутов | Недоступно | Происходит в начале этапа сбора атрибутов при регистрации, перед отображением страницы сбора атрибутов. Можно добавить такие действия, как предварительное заполнение значений и отображение ошибки блокировки. Подробнее |
| ПриОтправкеКоллекцииАтрибутов | Недоступно | Происходит во время потока регистрации после ввода и отправки атрибутов. Можно добавить такие действия, как проверка или изменение записей пользователя. Подробнее |
| OnOtpSend | Недоступно | Настройте настраиваемый поставщик электронной почты для однократных событий отправки секретного кода. Подробнее |
Поставщики удостоверений и методы проверки подлинности
В следующей таблице сравниваются поставщики удостоверений и методы, доступные для первичной проверки подлинности и многофакторной проверки подлинности (MFA) в рабочей силе и внешних клиентах.
| Функция | Арендатор рабочей силы | Внешний арендатор |
|---|---|---|
| Поставщики удостоверений для внешних пользователей (первичная проверка подлинности) |
Для гостей, регистрирующихся самостоятельно - Учетная запись Microsoft Entra - Учетная запись Microsoft - Одноразовый пароль по электронной почте - Федерация Google - Федерация Facebook Для приглашенных гостей — учетные записи Microsoft Entra — учетные записи Microsoft — одноразовый секретный код по электронной почте — федерация Google — федерация SAML/WS-Fed |
Для пользователей самостоятельной регистрации (потребителей, бизнес-клиентов) - Методы проверки подлинности, доступные во внешнем идентификаторе Microsoft Entra Для приглашенных гостей (предварительная версия) Гости, приглашенные с ролью в каталоге (например, администраторы): - Учётные записи Microsoft Entra - Учетные записи Microsoft - Одноразовый код доступа по электронной почте - SAML федерация/WS-Fed |
| Методы проверки подлинности для MFA |
Для внутренних пользователей (сотрудников и администраторов) - Методы аутентификации и верификации Для гостей (приглашенных или зарегистрированных самостоятельно) - Методы аутентификации для многофакторной аутентификации гостей |
Для пользователей самостоятельной регистрации (потребителей, бизнес-клиентов) - Методы проверки подлинности, доступные во внешнем идентификаторе Microsoft EntraДля приглашенных пользователей (предварительная версия) - Одноразовый секретный код - электронной почтыПроверка подлинности на основе SMS |
Методы проверки подлинности, доступные во внешнем идентификаторе Microsoft Entra
Некоторые методы проверки подлинности можно использовать в качестве основного фактора при входе пользователей в приложение, таких как имя пользователя и пароль. Другие методы проверки подлинности доступны только в качестве дополнительного фактора. В следующей таблице описывается, когда метод проверки подлинности можно использовать во время входа, самостоятельной регистрации, самостоятельного сброса пароля и многофакторной проверки подлинности (MFA) во внешнем идентификаторе Microsoft Entra.
| Метод | Вход | Регистрация | Сброс пароля | МИД |
|---|---|---|---|---|
| Электронная почта с паролем | 
|
|
||
| Отправка одноразового секретного кода по электронной почте |
|
|
|
|
| Проверка подлинности на основе SMS |
|
|||
| Федерация Apple |
|
|
||
| Федерация Facebook |
|
|
||
| Федерация Google |
|
|
||
| Личная учетная запись Майкрософт (OpenID Connect) |
|
|
||
| Федерация OpenID Connect |
|
|
||
| Федерация SAML/WS-Fed |
|
|
Регистрация приложения
В следующей таблице сравниваются функции, доступные для регистрации приложений в каждом типе клиента.
| Функция | Арендатор рабочей силы | Внешний арендатор |
|---|---|---|
| Протокол | Доверенные стороны SAML, OpenID Connect и OAuth2 | стороны, полагающиеся на доверие в SAML, OpenID Connectи OAuth2 |
| Поддерживаемые типы учетных записей | Следующие типы учетных записей:
|
Всегда используйте учетные записи в каталоге только этой организации (один арендатор). |
| Платформа | Следующие платформы:
|
Следующие платформы:
|
| Проверка подлинности>URI перенаправления | URI, которые Microsoft Entra ID принимает в качестве направлений при возврате ответов аутентификации (токенов) после успешной аутентификации или выхода пользователей. | То же самое, что и рабочая сила. |
| Проверка подлинности>URL-адрес выхода из системы (front-channel) | Это URL-адрес, в котором идентификатор Microsoft Entra отправляет запрос, чтобы приложение очистит данные сеанса пользователя. URL-адрес выхода фронт-канала требуется для корректной работы единого выхода. | То же самое, что и рабочая сила. |
| Аутентификация>Неявное предоставление и гибридные потоки | Запрашивайте маркер непосредственно от конечной точки авторизации. | То же самое, что и рабочая сила. |
| Сертификаты и секреты | Несколько учетных данных: | То же самое, что и рабочая сила. |
| Сертификаты и секреты>Вращение | Обновите учетные данные клиента, чтобы гарантировать, что они остаются действительными и безопасными, а пользователи могут продолжать вход. Сертификаты, секреты и федеративные учетные данные можно повернуть, добавив новый, а затем удалив старый. | То же самое, что и рабочая сила. |
| Сертификаты и секреты>Политика | Настройте политики управления приложениями для принудительного применения ограничений секретов и сертификатов. | Недоступно |
| Разрешения API | Добавление, удаление и замена разрешений для приложения. После добавления разрешений в приложение пользователи или администраторы должны предоставить согласие новым разрешениям. Узнайте больше об обновлении запрошенных разрешений приложения в идентификаторе Microsoft Entra. | Ниже перечислены разрешенные права доступа: Microsoft Graph offline_access, openid, и User.Read и ваши мои API-интерфейсы. Только администратор может предоставить согласие от имени организации. |
| Предоставление API | Определите пользовательские области для ограничения доступа к данным и функциям, защищенным API. Приложение, требующее доступа к частям этого API, может запросить согласие пользователя или администратора на одну или несколько этих областей. | Определите пользовательские области, чтобы ограничить доступ к данным и функциям, защищаемым API. Приложение, требующее доступа к частям этого API, может запросить согласие администратора на одну или несколько этих областей. |
| Владельцы | Владельцы приложений могут просматривать и изменять регистрацию приложения. Кроме того, любой пользователь (который не может быть указан) с правами администратора для управления любым приложением (например, администратор облачных приложений) может просматривать и изменять регистрацию приложения. | То же самое, что и рабочая сила. |
| Роли и администраторы | Административные роли используются для предоставления доступа к привилегированным действиям в идентификаторе Microsoft Entra. | Для приложений в внешних клиентах можно использовать только роль администратора облачных приложений. Эта роль предоставляет возможность создавать и управлять всеми аспектами регистрации приложений и корпоративными приложениями. |
Управление доступом для приложений
В следующей таблице сравниваются функции, доступные для авторизации приложения в каждом типе клиента.
| Функция | Арендатор рабочей силы | Внешний арендатор |
|---|---|---|
| управление доступом на основе ролей (RBAC); | Вы можете определить роли приложений для приложения и назначить эти роли пользователям и группам. ID Microsoft Entra включает роли пользователей в токене безопасности. Затем приложение может принимать решения об авторизации на основе значений в маркере безопасности. | То же самое, что и рабочая сила. Дополнительные сведения об использовании управления доступом на основе ролей для приложений во внешнем клиенте. Сведения о доступных функциях см. в разделах поддержки групп и ролей приложений. |
| Группы безопасности | Вы можете использовать группы безопасности для реализации ролевого управления доступом (RBAC) в ваших приложениях, где членство пользователя в определенных группах рассматривается как принадлежность к соответствующей роли. Идентификатор Microsoft Entra включает членство в группе пользователей в маркере безопасности. Затем приложение может принимать решения об авторизации на основе значений в маркере безопасности. | То же самое, что и рабочая сила. Необязательные утверждения групп ограничены идентификатором объекта группы. |
| Управление доступом на основе атрибутов (ABAC) | Приложение можно настроить для включения атрибутов пользователей в маркер доступа. Затем приложение может принимать решения об авторизации на основе значений в маркере безопасности. Дополнительные сведения см. в разделе Настройка токенов. | То же самое, что и рабочая сила. |
| Обязательное назначение пользователей | Если требуется назначение пользователей, вход будет доступен только пользователям, назначенным приложению (с помощью прямого назначения пользователей или на основе членства в группе). Дополнительные сведения см. в разделе "Управление пользователями и группами" для приложения | То же самое, что и рабочая сила. Дополнительные сведения см. в разделах о поддержке групп и ролей приложений. |
Потоки OpenID Connect и OAuth2
В следующей таблице сравниваются функции, доступные для потоков авторизации OAuth 2.0 и OpenID Connect в каждом типе клиента.
| Функция | Арендатор рабочей силы | Внешний арендатор |
|---|---|---|
| Подключение OpenID | Да | Да |
| Код авторизации | Да | Да |
| Код авторизации с помощью Code Exchange (PKCE) | Да | Да |
| Учетные данные клиента | Да | Приложения версии 2.0 (предварительная версия) |
| Авторизация устройства | Да | Предварительный просмотр |
| Поток от имени | Да | Да |
| Имплицитное предоставление | Да | Да |
| Учетные данные владельца ресурса | Да | Нет, для мобильных приложений используйте собственную проверку подлинности. |
URL-адрес авторизации в потоках OpenID Connect и OAuth2
URL-адрес авторитета — это URL-адрес, указывающий каталог, из которого MSAL может запрашивать токены. Для приложений во внешних арендаторах всегда используйте следующий формат: <имя-арендатора>.ciamlogin.com
В следующем примере JSON показан пример файла appsettings.json приложения .NET с URL-адресом авторизации:
{
"AzureAd": {
"Authority": "https://<Enter_the_Tenant_Subdomain_Here>.ciamlogin.com/",
"ClientId": "<Enter_the_Application_Id_Here>"
}
}
Условный доступ
В следующей таблице сравниваются функции, доступные для условного доступа в каждом типе клиента.
| Функция | Арендатор рабочей силы | Внешний арендатор |
|---|---|---|
| Назначения | Пользователи, группы и идентификаторы рабочих нагрузок | Включите всех пользователей и исключите пользователей и группы. Дополнительные сведения см. в разделе "Добавление многофакторной проверки подлинности(MFA) в приложение. |
| Целевые ресурсы | ||
| Условия | ||
| Грант | Предоставление или блокировка доступа к ресурсам | |
| Сессия | Элементы управления сеансами | Недоступно |
Политики условий использования
В следующей таблице сравниваются функции, доступные для политик использования в каждом типе клиента.
| Функция | Арендатор рабочей силы | Внешний арендатор |
|---|---|---|
| Политики условного доступа | Условия использования Microsoft Entra | Недоступно |
| Самостоятельная регистрация | Недоступно | Добавьте обязательный атрибут , связанный с условиями использования на странице регистрации. Гиперссылка может быть настроена для поддержки различных языков. |
| Страница входа | Ссылки, которые можно добавить в правый нижний угол для сведений о конфиденциальности с помощью фирменной символики компании. | То же самое, что и рабочая сила. |
Управление учетной записью
В следующей таблице сравниваются функции, доступные для управления пользователями в каждом типе клиента. Как отмечалось в таблице, некоторые типы учетных записей создаются с помощью приглашения или самостоятельной регистрации. Администратор пользователя в клиенте также может создавать учетные записи через центр администрирования.
| Функция | Арендатор рабочей силы | Внешний арендатор |
|---|---|---|
| Типы учетных записей |
|
|
| Управление сведениями профиля пользователя | Программно и с помощью Центра администрирования Microsoft Entra. | То же самое, что и рабочая сила. |
| Сброс пароля пользователя | Администраторы могут сбросить пароль пользователя, если пароль забылся, если пользователь заблокирован на устройстве или если пользователь никогда не получил пароль. | То же самое, что и рабочая сила. |
| Восстановление или окончательное удаление недавно удаленного пользователя | После удаления пользователя его учетная запись остается в заблокированном состоянии в течение 30 дней. В течение этого времени учетную запись пользователя и все ее свойства можно восстановить. | То же самое, что и рабочая сила. |
| Отключение учетных записей | Запретить новому пользователю войти в систему. | То же самое, что и рабочая сила. |
Защита паролем
В следующей таблице сравниваются функции, доступные для защиты паролей в каждом типе клиента.
| Функция | Арендатор рабочей силы | Внешний арендатор |
|---|---|---|
| Смарт-блокировка | Смарт-блокировка помогает заблокировать злоумышленников, которые пытаются угадать пароли пользователей или использовать методы подбора, чтобы проникнуть. | То же самое, что и рабочая сила. |
| Настраиваемые запрещенные пароли | Настраиваемый список запрещенных паролей Microsoft Entra позволяет добавлять определенные строки для оценки и блокировки. | Недоступна. |
Настройка токена
В следующей таблице сравниваются возможности, доступные для настройки токенов в каждом типе арендатора.
| Функция | Арендатор рабочей силы | Внешний арендатор |
|---|---|---|
| Сопоставление утверждений | Настройте утверждения, выдаваемые в токене JSON (JWT) для корпоративных приложений. | То же самое, что и рабочая сила. Необязательные утверждения должны быть настроены с помощью атрибутов и утверждений. |
| Преобразование утверждений | Примените преобразование к атрибуту пользователя, выданному в веб-токене JSON (JWT) для корпоративных приложений. | То же самое, что и рабочая сила. |
| Поставщик пользовательских требований | Расширение пользовательской проверки подлинности , которое вызывает внешний REST API для получения утверждений из внешних систем. | То же самое, что и рабочая сила. Подробнее |
| Группы безопасности | Настройте необязательные параметры групп. | Настройка необязательных утверждений для групп ограничена идентификатором объекта группы. |
| Время существования токена | Можно указать время существования маркеров безопасности, выданных идентификатором Microsoft Entra. | То же самое, что и рабочая сила. |
| Отзыв сеанса и токена | Администратор может сделать недействительными все маркеры обновления и сеанс для пользователя. | То же самое, что и рабочая сила. |
Единый вход
Единый вход (SSO) обеспечивает более удобный процесс, уменьшая количество запросов учетных данных у пользователя. Пользователи вводят свои учетные данные один раз, и установленный сеанс можно использовать повторно в других приложениях на том же устройстве и веб-браузере без дополнительного запроса. В следующей таблице сравниваются доступные функции для SSO в каждом типе арендатора.
| Функция | Арендатор рабочей силы | Внешний арендатор |
|---|---|---|
| Типы регистрации приложений |
|
|
| Доменное имя | При аутентификации пользователя файл cookie сеанса устанавливается в домене login.microsoftonline.com Microsoft Entra в веб-браузере. |
Когда пользователь проходит проверку подлинности, файл cookie сеанса устанавливается в домене внешнего идентификатора Microsoft Entra <tenant-name>.ciamlogin.com или в пользовательском домене URL-адреса в веб-браузере. Чтобы обеспечить правильную работу единого входа, используйте один URL-домен. |
| Сохранить вход в систему | Вы можете включить или отключить вход в систему . | То же самое, что и рабочая сила. |
| Аннулирование сеанса | Сценарии, в которых единая аутентификация может быть отменена, и требуется повторная аутентификация:
|
То же самое, что и рабочая сила. |
| Условный доступ | Проверьте раздел условного доступа . | Проверьте раздел условного доступа . |
| Встроенная аутентификация Microsoft Entra | Недоступно | Нативная аутентификация не поддерживает SSO. |
| Выход | Когда приложение SAML или OpenID Connect направляет пользователя в конечную точку выхода, идентификатор Microsoft Entra id удаляет и запрещает сеанс пользователя из браузера. | То же самое, что и рабочая сила. |
| Единый выход | После успешного выхода идентификатор Microsoft Entra отправляет уведомление о выходе во все другие приложения SAML и OpenID Connect , в которые входит пользователь. | То же самое, что и рабочая сила. |
Журналы действий и отчеты
В таблице ниже сравниваются функции, доступные для журналов действий и отчетов в разных типах клиентов.
| Функция | Арендатор рабочей силы | Внешний арендатор |
|---|---|---|
| Журналы аудита | Подробный отчет обо всех событиях, зарегистрированных в идентификаторе Microsoft Entra, включая изменения приложений, групп и пользователей. | То же самое, что и рабочая сила. |
| Журналы действий входа | Журналы входа отслеживают все действия входа в клиенте Microsoft Entra, включая доступ к приложениям и ресурсам. | То же самое, что и рабочая сила. |
| Журналы регистрации (предварительная версия) | Недоступно | Внешний идентификатор Microsoft Entra регистрирует все события самостоятельной регистрации, включая успешные регистрации и неудачные попытки. |
| Журналы подготовки | Журналы подготовки предоставляют подробные записи о событиях подготовки в клиенте, таких как создание учетных записей пользователей, обновления и удаления. | Недоступно |
| Журналы активности политик хранения | Политики хранения данных Microsoft Entra определяют, сколько времени хранятся различные типы журналов (например, аудит, вход и журналы подготовки). | Семь дней |
| Экспорт журналов действий | С помощью параметров диагностики в Microsoft Entra ID можно интегрировать журналы с Azure Monitor, отправлять журналы в концентратор событий или интегрировать со средствами управления информацией и событиями безопасности (SIEM). | Azure Monitor для внешних клиентов (предварительная версия) |
| Отчеты о действиях пользователей приложения | Недоступно | Активность пользователей приложений предоставляет аналитические сведения о том, как пользователи взаимодействуют с зарегистрированными приложениями в вашем клиенте. Он отслеживает такие метрики, как активные пользователи, новые пользователи, входы и многофакторная проверка подлинности (MFA). |
API-интерфейсы Microsoft Graph
Все функции, поддерживаемые внешними клиентами, также поддерживаются для автоматизации через API Microsoft Graph. Некоторые функции, которые находятся в предварительной версии во внешних клиентах, могут быть общедоступными с помощью Microsoft Graph. Дополнительные сведения см. в статье "Управление удостоверением Microsoft Entra и сетевым доступом с помощью Microsoft Graph".