可通过两种方式配置 Microsoft Entra 租户,具体取决于组织希望如何使用租户以及想要管理的资源:
- 员工租户配置适用于员工、内部业务应用和其他组织资源。 B2B 协作在员工租户中用于与外部业务合作伙伴和来宾协作。
- 外部租户配置专用于外部 ID 方案,在这些方案中,你想要向使用者或企业客户发布应用。
本文详细比较了员工和外部租户中可用的特性和功能。
注意
在预览期间,需要高级许可证的特性或功能在外部租户中不可用。
常规特性比较
下表比较了员工和外部租户中可用的常规特性和功能。
| 功能 | 工作人员租户 | 外部租户 |
|---|---|---|
| 外部标识场景 | 允许业务合作伙伴和其他外部用户与员工协作。 来宾可以通过邀请或自助注册安全地访问业务应用程序。 | 使用外部 ID 保护应用程序。 使用者和企业客户可以通过自助注册安全地访问使用者应用。 还支持邀请。 |
| 本地帐户 | 仅支持组织“内部”成员使用本地帐户。 | 支持本地帐户:
|
| 组 | 组可用于管理管理帐户和用户帐户。 | 组可用于管理管理帐户。 对 Microsoft Entra 组和应用程序角色的支持正在分阶段引入客户租户。 有关最新更新,请参阅组和应用程序角色支持。 |
| 角色和管理员 | 管理帐户和用户帐户完全支持角色和管理员。 | 支持为所有用户分配角色。 除非已为其分配管理员角色,否则外部租户中的所有用户都具有默认权限。 |
| ID 保护 | 为 Microsoft Entra 租户提供持续性的风险检测。 它使组织能够发现、调查和修正基于标识的风险。 | 不可用 |
| ID 治理 | 使组织能够管理身份验证和访问控制生命周期,以及保护特权访问。 了解详细信息。 | 不可用 |
| 自助式密码重置 | 允许用户使用最多两种身份验证方法重置其密码(请参阅下一行了解可用的方法)。 | 允许用户使用电子邮件与一次性密码重置其密码。 了解详细信息。 |
| 语言自定义 | 当用户在企业 Intranet 或基于 Web 的应用程序中进行身份验证时,基于浏览器语言自定义登录体验。 | 使用语言修改在登录和注册过程中显示给客户的字符串。 了解详细信息。 |
| 自定义特性 | 使用目录扩展属性将用户对象、组、租户详细信息和服务主体的更多数据存储在 Microsoft Entra 目录中。 | 使用目录扩展属性将用户对象的更多数据存储在客户目录中。 创建自定义用户属性并将其添加到注册用户流。 了解详细信息。 |
| 定价 | 针对 B2B 协作外部来宾的月度活跃用户 (MAU) 定价(UserType = 来宾)。 | 针对外部租户中所有用户的月度活跃用户 (MAU) 定价,无论角色或 UserType 如何。 |
外观自定义
下表比较了员工租户和外部租户的外观自定义功能。
| 功能 | 工作人员租户 | 外部租户 |
|---|---|---|
| 公司品牌 | 可以添加适用于所有这些体验的公司品牌打造,以便为用户创建一致的登录体验。 | 与员工相同。 了解详细信息 |
| 语言自定义 | 按浏览器语言自定义登录体验。 | 与员工相同。 了解详细信息 |
| 自定义域名 | 只能对管理帐户使用自定义域。 | 外部租户的自定义 URL 域 功能使你能够使用自己的域名标识应用登录端点。 |
| 移动应用的本机身份验证 | 不可用 | Microsoft Entra 的本机身份验证允许你完全控制移动应用程序登录体验的设计。 |
添加自己的业务逻辑
使用自定义身份验证扩展时,可以通过与外部系统集成来自定义 Microsoft Entra 身份验证体验。 自定义身份验证扩展本质上是一个事件侦听器,激活后会对定义你自己业务逻辑的 REST API 终结点发出 HTTP 调用。 下表比较了员工租户和外部租户中可用的自定义身份验证扩展事件。
| 活动 | 工作人员租户 | 外部租户 |
|---|---|---|
| TokenIssuanceStart | 从外部系统添加声明。 | 从外部系统添加声明。 |
| OnAttributeCollectionStart(属性集合开始时) | 不可用 | 发生在注册的属性集合步骤开始时,在属性集合页面呈现之前。 可以添加例如预填充值和显示阻止错误等操作。 了解详细信息 |
| 属性集合提交时 | 不可用 | 在注册流中,用户输入并提交属性后发生。 可以添加验证或修改用户条目等操作。 了解详细信息 |
| OnOtpSend | 不可用 | 为一次性密码发送事件配置自定义电子邮件提供程序。 了解详细信息 |
标识提供者和身份验证方法
下表比较了员工和外部租户中可用于主要身份验证和多重身份验证 (MFA) 的标识提供者和方法。
| 功能 | 工作人员租户 | 外部租户 |
|---|---|---|
| 外部用户的标识提供者(主要身份验证) |
对于自助注册来宾 - Microsoft Entra 帐户 - Microsoft 帐户 - 通过电子邮件发送一次性密码 - Google 联合身份验证 - Facebook 联合身份验证 对于受邀来宾 - Microsoft Entra 帐户 - Microsoft 帐户 - 通过电子邮件发送一次性密码 - Google 联合身份验证 - SAML/WS-Fed 联合身份验证 |
对于自助注册用户(使用者、业务客户) - Microsoft Entra 外部 ID 中提供的身份验证方法 对于受邀来宾(预览版) 以目录角色受邀的来宾(例如管理员): - Microsoft Entra 帐户 - Microsoft帐户 - 通过电子邮件发送一次性密码 - SAML/WS-Fed 联合身份验证 |
| MFA 的身份验证方法 |
对于内部用户(员工和管理员) - 身份验证和验证方法 对于来宾(受邀或自助注册) - 来宾 MFA 的身份验证方法 |
对于自助注册用户(使用者、业务客户) - Microsoft Entra 外部 ID 中提供的身份验证方法对于受邀用户(预览版) - 通过电子邮件发送一次性密码 - 基于短信的身份验证 |
Microsoft Entra 外部 ID 中提供的身份验证方法
当用户登录到应用程序(例如用户名和密码)时,某些身份验证方法可用作主要因素。 其他身份验证方法仅作为辅助因素提供。 下表概述了在登录、自助注册、自助密码重置和多重身份验证(MFA)Microsoft Entra 外部 ID 期间可以使用身份验证方法。
| 方法 | 登录 | 注册 | 密码重置 | MFA |
|---|---|---|---|---|
| 带密码的电子邮件 | 
|
|
||
| 电子邮件一次性密码 |
|
|
|
|
| 基于短信的身份验证 |
|
|||
| Apple 联合身份验证 |
|
|
||
| Facebook 联合身份验证 |
|
|
||
| Google 联合身份验证 |
|
|
||
| Microsoft个人帐户(OpenID Connect) |
|
|
||
| OpenID Connect 联合身份验证 |
|
|
||
| SAML/WS-Fed 联邦 |
|
|
应用程序注册
下表比较了每种类型的租户中可用于应用程序注册的功能。
| 功能 | 工作人员租户 | 外部租户 |
|---|---|---|
| 协议 | SAML 信赖方、OpenID Connect 和 OAuth2 | SAML 信赖方、OpenID Connect 和 OAuth2 |
| 支持的帐户类型 | 以下帐户类型:
|
使用使用仅此组织目录中的帐户(单租户)。 |
| 平台 | 以下平台:
|
以下平台:
|
| 身份验证>重定向 URI | 在成功验证用户或将用户退出登录后返回身份验证响应(令牌)时 Microsoft Entra ID 接受的作为目标的 URI。 | 与员工相同。 |
| 身份验证>前端通道退出登录 URL | Microsoft Entra ID 在此 URL 中发送请求,让应用程序清除用户的会话数据。 为使单一退出登录正常工作,前端通道退出登录 URL是必需的。 | 与员工相同。 |
| 身份验证隐式授权和混合流> | 直接从授权终结点请求令牌。 | 与员工相同。 |
| 证书和机密 | 多个凭据: | 与员工相同。 |
| 证书和机密>轮换 | 更新客户端凭据以确保它们保持有效和安全,而用户可以继续登录。 可以通过添加新凭据,然后删除旧凭据来轮换证书、机密和联合凭据。 | 与员工相同。 |
| 证书和机密>政策 | 配置 应用程序管理策略 以强制实施机密和证书限制。 | 不可用 |
| API 权限 | 为应用程序添加、删除和替换权限。 将权限添加到应用程序后,用户或管理员需要授予对新权限的同意。 详细了解如何在 Microsoft Entra ID 中更新应用的已请求权限。 | 以下是允许的权限:Microsoft Graph offline_access、openid 和 User.Read,以及我的 API 委托的权限。 只有管理员才能代表组织表示同意。 |
| 公开 API | 定义自定义作用域,以限制对受 API 保护的数据和功能的访问权限。 需要访问此 API 的多个部分的应用程序可以请求用户或管理员同意这些作用域中的一个或多个。 | 定义自定义作用域,以限制对受 API 保护的数据和功能的访问。 需要访问此 API 的多个部分的应用程序可以请求管理员同意这些作用域中的一个或多个。 |
| 所有者 | 应用程序所有者可以查看和编辑应用程序注册。 此外,具有管理任何应用程序的管理权限的任何用户(可能未列出,例如云应用程序管理员)都可以查看和编辑应用程序注册。 | 与员工相同。 |
| 角色和管理员 | 管理角色用于授予对 Microsoft Entra ID 中特权操作的访问权限。 | 只有云应用程序管理员角色可用于外部租户中的应用。 此角色授予创建和管理应用程序注册和企业应用程序的所有方面的权限。 |
应用程序的访问控制
下表比较了每种租户中可用于应用程序授权的功能。
| 功能 | 工作人员租户 | 外部租户 |
|---|---|---|
| 基于角色的访问控制 (RBAC) | 可以为应用程序定义 应用程序角色 ,并将这些角色分配给用户和组。 Microsoft Entra ID 包括安全令牌中的用户角色。 然后,应用程序可以根据安全令牌中的值做出授权决策。 | 与员工相同。 详细了解在外部租户中对应用程序使用基于角色的访问控制。 有关可用功能,请参阅 组和应用程序角色支持。 |
| 安全组 | 可以使用 安全组 在应用程序中实现 RBAC,其中特定组中用户的成员身份被解释为其角色成员身份。 在安全令牌中,Microsoft Entra ID 包括用户组成员身份。 然后,应用程序可以根据安全令牌中的值做出授权决策。 | 与员工相同。 组可选声明仅限于组对象 ID。 |
| 基于属性的访问控制 (ABAC) | 可以将应用配置为在访问令牌中包含用户属性。 然后,应用程序可以根据安全令牌中的值做出授权决策。 有关详细信息,请参阅 令牌自定义。 | 与员工相同。 |
| 需要用户分配 | 需要进行用户分配时,只有(通过直接用户分配或基于组成员身份)分配到应用程序的用户才能登录。 有关详细信息,请参阅管理应用程序的用户和组分配 | 与员工相同。 有关详细信息,请参阅 组和应用程序角色支持。 |
OpenID Connect 和 OAuth2 流
下表比较了每种类型的租户中适用于 OAuth 2.0 和 OpenID Connect 授权流的功能。
| 功能 | 工作人员租户 | 外部租户 |
|---|---|---|
| OpenID Connect | 是 | 是 |
| 授权代码 | 是 | 是 |
| 使用代码交换 (PKCE) 的授权代码 | 是 | 是 |
| 客户端凭据 | 是 | v2.0 应用程序(预览版) |
| 设备授权 | 是 | 预览 |
| 代理流 | 是 | 是 |
| 隐式授权 | 是 | 是 |
| 资源所有者密码凭据 | 是 | 否,对于移动应用程序,请使用本机身份验证。 |
OpenID Connect 和 OAuth2 流中的授权 URL
颁发机构 URL 是一个表示目录的 URL,MSAL 可从该目录中请求令牌。 对于外部租户中的应用,请始终使用以下格式:<租户名称>.ciamlogin.com
以下 JSON 显示了一个具有授权 URL 的 .NET 应用程序 appsettings.json 文件:
{
"AzureAd": {
"Authority": "https://<Enter_the_Tenant_Subdomain_Here>.ciamlogin.com/",
"ClientId": "<Enter_the_Application_Id_Here>"
}
}
条件性访问
下表比较了每种类型租户中可用于条件访问的功能。
| 功能 | 工作人员租户 | 外部租户 |
|---|---|---|
| 分配 | 用户、组和工作负荷标识 | 包括所有用户,并排除用户和组。 有关详细信息,请参阅向应用添加多重身份验证 (MFA)。 |
| 目标资源 | ||
| 条件 | ||
| 授予 | 授予或阻止对资源的访问权限 | |
| 会话 | 会话控制 | 不可用 |
使用条款策略
下表比较了每种租户中可用于使用条款策略的功能。
| 功能 | 工作人员租户 | 外部租户 |
|---|---|---|
| 条件访问策略 | Microsoft Entra 使用条款 | 不可用 |
| 自助注册 | 不可用 | 在注册页上添加一个与您的使用条款策略相关联的必需属性。 可以自定义超链接以支持各种语言。 |
| 登录页 | 可以在右下角使用公司品牌添加指向隐私信息的链接。 | 与劳动力相同。 |
帐户管理
下表比较了每种类型租户中可用于用户管理的功能。 如表中所述,某些帐户类型是通过邀请或自助注册创建的。 租户中的用户管理员还可以通过管理中心创建帐户。
| 功能 | 工作人员租户 | 外部租户 |
|---|---|---|
| 帐户类型 |
|
|
| 管理用户配置文件信息 | 通过编程以及通过使用 Microsoft Entra 管理中心。 | 与员工相同。 |
| 重置用户的密码 | 如果用户忘记密码、设备遭锁定导致用户无法使用,或用户从未收到过密码,则管理员可以重置用户的密码。 | 与员工相同。 |
| 还原或移除最近删除的用户 | 删除用户后,帐户将保持挂起状态 30 天。 在这 30 天的期限内,可以还原用户帐户及其所有属性。 | 与员工相同。 |
| 禁用帐户 | 阻止新用户登录。 | 与员工相同。 |
密码保护
下表比较了每种类型租户中可用于密码保护的功能。
| 功能 | 工作人员租户 | 外部租户 |
|---|---|---|
| 智能锁定 | 智能锁定用于锁定那些试图猜测用户密码或使用暴力破解方法进入系统的恶意行动者 | 与员工相同。 |
| 自定义受禁密码 | 可以通过 Microsoft Entra 自定义受禁密码列表来添加要评估和阻止的特定字符串。 | 不可用。 |
令牌自定义
下表比较了每种类型租户中可用于令牌自定义的功能。
| 功能 | 工作人员租户 | 外部租户 |
|---|---|---|
| 声明映射 | 为企业应用程序自定义在 JSON Web 令牌 (JWT) 中发布的声明。 | 与员工相同。 可选声明必须通过属性和声明进行配置。 |
| 声明转换 | 为企业应用程序对在 JSON Web 令牌 (JWT) 中发布的用户属性应用转换。 | 与员工相同。 |
| 自定义声明提供程序 | 自定义可调用外部 REST API 的身份验证扩展,从外部系统提取请求。 | 与员工相同。 了解详细信息 |
| 安全组 | 配置组可选声明。 | 配置组可选声明仅限于组对象 ID。 |
| 令牌生存期 | 可以指定 Microsoft Entra ID 颁发的安全令牌的生存期。 | 与员工相同。 |
| 会话和令牌吊销 | 管理员可以 使用户的所有刷新令牌和会话失效 。 | 与员工相同。 |
单一登录
单一登录(SSO) 通过减少用户要求提供凭据的次数,提供更无缝的体验。 用户输入凭据一次,并且同一设备和 Web 浏览器上的其他应用程序可以重复使用已建立的会话,而无需进一步提示。 下表比较了每种租户类型中可用于 SSO 的功能。
| 功能 | 工作人员租户 | 外部租户 |
|---|---|---|
| 应用程序注册类型 |
|
|
| 域名 | 当用户进行身份验证时,系统会在 Web 浏览器中于 Microsoft Entra 域 login.microsoftonline.com 设置一个会话 Cookie。 |
当用户进行身份验证时,会话 Cookie 在 web 浏览器中的 Microsoft Entra 外部 ID 域 <tenant-name>.ciamlogin.com 或 自定义 URL 域 上设置。 若要确保 SSO 正常运行,请使用单个 URL 域。 |
| 使我保持登录状态 | 可以启用或禁用 “保持登录 ”选项。 | 与员工相同。 |
| 会话无效 | SSO 可能失效的情况,需要重新身份验证:
|
与员工相同。 |
| 条件性访问 | 检查 条件访问 部分。 | 检查 条件访问 部分。 |
| Microsoft Entra 的本机身份验证 | 不可用 | 本机身份验证 不支持 SSO。 |
| 注销 | 当 SAML 或 OpenID Connect 应用程序将用户定向到注销终结点时,Microsoft Entra ID 会从浏览器中删除用户会话并失效。 | 与员工相同。 |
| 单一登录 | 成功注销后,Microsoft Entra ID 将注销通知发送到用户登录到的所有其他 SAML 和 OpenID Connect 应用程序。 | 与员工相同。 |
Microsoft 图形 API
外部租户中支持的所有功能也支持通过 Microsoft Graph API 实现自动化。 外部租户中处于预览阶段的某些功能可能会通过 Microsoft Graph 正式发布。 有关详细信息,请参阅使用 Microsoft Graph 管理 Microsoft Entra 标识和网络访问。