Funzionalità supportate nei tenant esterni e del personale
Esistono due modi per configurare un tenant di Microsoft Entra, a seconda del modo in cui l'organizzazione intende usare il tenant e le risorse che vuole gestire:
- Una configurazione del tenant del personale è destinata ai dipendenti, alle app aziendali interne e ad altre risorse aziendali. La collaborazione B2B viene usata in un tenant del personale per collaborare con partner commerciali e guest esterni.
- Una configurazione del tenant esterno viene usata esclusivamente per gli scenari con ID esterno in cui si vogliano pubblicare app per clienti consumer o aziendali.
Questo articolo offre un confronto dettagliato delle funzionalità e delle funzionalità disponibili nei tenant esterni e del personale.
Nota
Durante l'anteprima, le funzionalità che richiedono una licenza Premium non sono disponibili nei tenant esterni.
Confronto generale delle funzionalità
La tabella seguente confronta le funzionalità generali disponibili nei tenant esterni e del personale.
| Funzionalità | Tenant del personale | Tenant esterno |
|---|---|---|
| Scenari di identità esterne | Consentire ai partner aziendali e ad altri utenti esterni di collaborare con il personale. Gli utenti guest possono accedere in modo sicuro alle applicazioni aziendali tramite inviti o iscrizione self-service. | Usare l'ID esterno per proteggere le applicazioni. I consumer e i clienti aziendali possono accedere in modo sicuro alle app consumer tramite l'iscrizione self-service. Sono supportati anche gli inviti. |
| Account locali | Gli account locali sono supportati solo per i membri interni dell'organizzazione. | Gli account locali sono supportati per gli utenti esterni (consumer, clienti aziendali) che usano l'iscrizione self-service. - Account creati dagli amministratori. |
| Gruppi | I gruppi possono essere usati per gestire gli account amministrativi e utente. | I gruppi possono essere usati per gestire gli account amministrativi. Il supporto per i gruppi di Microsoft Entra e i ruoli applicazione vengono gradualmente inseriti nei tenant dei clienti. Per gli aggiornamenti più recenti, vedere Supporto di gruppi e ruoli applicazione. |
| Ruoli e amministratori | I ruoli e gli amministratori sono completamente supportati per gli account amministrativi e utente. | I ruoli non sono supportati con gli account cliente. Gli account cliente non hanno accesso alle risorse tenant. |
| Protezione ID | Fornisce il rilevamento continuo dei rischi per il tenant di Microsoft Entra. Consente alle organizzazioni di individuare, analizzare e correggere i rischi basati sulle identità. | È disponibile un sottoinsieme dei rilevamenti dei rischi di Microsoft Entra ID Protection. Altre informazioni. |
| ID Governance | Consente alle organizzazioni di gestire i cicli di vita delle identità e degli accessi e proteggere l'accesso con privilegi. Altre informazioni. | Non disponibile |
| Reimpostazione della password self-service | Consentire agli utenti di reimpostare la password usando fino a due metodi di autenticazione (vedere la riga successiva per i metodi disponibili). | Consentire agli utenti di reimpostare la password usando la posta elettronica con passcode monouso. Altre informazioni. |
| Personalizzazione della lingua | Personalizzare l'esperienza di accesso in base alla lingua del browser quando gli utenti eseguono l'autenticazione nelle applicazioni intranet aziendali o basate sul Web. | Usare le lingue per modificare le stringhe visualizzate dai clienti come parte del processo di accesso e iscrizione. Altre informazioni. |
| Attributi personalizzati | Usare gli attributi dell'estensione della directory per archiviare più dati nella directory Microsoft Entra per oggetti utente, gruppi, dettagli del tenant ed entità servizio. | Usare gli attributi dell'estensione della directory per archiviare più dati nella directory del cliente per gli oggetti utente. Creare attributi utente personalizzati e aggiungerli al flusso utente di iscrizione. Altre informazioni. |
| prezzi | prezzi per utenti attivi mensili (MAU) per ospiti esterni della collaborazione B2B (UserType=Guest). | Tariffazione degli utenti attivi mensili (MAU) per tutti gli utenti nel tenant esterno, indipendentemente dal ruolo o dal TipoUtente. |
Personalizzazione dell'aspetto
La tabella seguente confronta le funzionalità disponibili per la personalizzazione dell'aspetto nella forza lavoro e nei tenant esterni.
| Funzionalità | Tenant del personale | Tenant esterno |
|---|---|---|
| Informazioni personalizzate distintive dell'azienda | È possibile aggiungere la personalizzazione aziendale applicabile a tutte queste esperienze per creare un'esperienza di accesso coerente per gli utenti. | Uguale al personale. Ulteriori informazioni |
| Personalizzazione della lingua | Personalizzare l'esperienza di accesso in base alla lingua del browser. | Uguale al personale. Ulteriori informazioni |
| Nomi di dominio personalizzati | È possibile usare domini personalizzati solo per gli account amministrativi. | La funzionalità di dominio URL personalizzato per i tenant esterni consente di marchiare i punti di accesso dell'app con il proprio nome di dominio. |
| Autenticazione nativa per le app per dispositivi mobili | Non disponibile | L'autenticazione nativa di Microsoft Entra consente di avere il controllo completo sulla progettazione delle esperienze di accesso dell'applicazione per dispositivi mobili. |
Aggiunta della propria logica di business
Le estensioni di autenticazione personalizzate consentono di personalizzare l'esperienza di autenticazione di Microsoft Entra attraverso l'integrazione con sistemi esterni. Un'estensione di autenticazione personalizzata è essenzialmente un listener di eventi che, quando attivato, effettua una chiamata HTTP a un endpoint API REST in cui si definisce la propria logica di business. La tabella seguente confronta gli eventi delle estensioni di autenticazione personalizzate disponibili nei tenant esterni e del personale.
| Event | Tenant del personale | Tenant esterno |
|---|---|---|
| TokenIssuanceStart | Aggiungere attestazioni da sistemi esterni. | Aggiungere attestazioni da sistemi esterni. |
| OnAttributeCollectionStart | Non disponibile | Si verifica all'inizio del passaggio della raccolta di attributi di iscrizione, prima del rendering della pagina della raccolta di attributi. È possibile aggiungere azioni come la precompilazione dei valori e visualizzare un errore bloccante. Ulteriori informazioni |
| OnAttributeCollectionSubmit | Non disponibile | Si verifica durante il flusso di iscrizione, dopo che l'utente immette e invia gli attributi. È possibile aggiungere azioni come la convalida o la modifica delle voci dell'utente. Ulteriori informazioni |
Provider di identità e metodi di autenticazione
La tabella seguente confronta i provider di identità e i metodi disponibili per l'autenticazione primaria e l'autenticazione a più fattori (MFA) nei tenant esterni e della forza lavoro.
| Funzionalità | Tenant del personale | Tenant esterno |
|---|---|---|
| Provider di identità per utenti esterni (autenticazione primaria) |
Per gli utenti guest con iscrizione self-service - Account Microsoft Entra - Account Microsoft - Passcode monouso tramite email - Federazione Google - Federazione Facebook Per gli utenti guest invitati - Account Microsoft Entra - Account Microsoft - Passcode monouso tramite email - Federazione Google - Federazione SAML/WS-Fed |
Per gli utenti di registrazione self-service (consumatori, clienti aziendali) - Email con password - Passcode monouso tramite email - Federazione Google (anteprima) - Federazione Facebook (anteprima) - Federazione Apple (anteprima) - Federazione OIDC (anteprima) Per gli utenti guest invitati (anteprima) Guest invitati con un ruolo della directory (ad esempio, amministratori): - Account Microsoft Entra - Account Microsoft - Passcode monouso tramite email |
| Metodi di autenticazione per MFA |
Per gli utenti interni (dipendenti e amministratori) - Metodi di autenticazione e verifica Per gli utenti guest (invitati o con iscrizione self-service) - Metodi di autenticazione per l'autenticazione a più fattori per utenti guest |
Per gli utenti con iscrizione self-service (consumer, clienti aziendali) o utenti invitati (anteprima) - Passcode monouso tramite email - Autenticazione basata su SMS |
Registrazione dell'applicazione
Nella tabella seguente vengono confrontate le funzionalità disponibili per la registrazione dell'applicazione in ogni tipo di tenant.
| Funzionalità | Tenant del personale | Tenant esterno |
|---|---|---|
| Protocollo | SAML relying parties, OpenID Connect e OAuth2 | OpenID Connect e OAuth2 |
| Tipi di account supportati | I seguenti tipi di account:
|
Usare sempre Account solo in questa directory dell'organizzazione (Solo {0} - Tenant singolo). |
| Piattaforma | Le piattaforme seguenti:
|
Le piattaforme seguenti:
|
| URI di>reindirizzamento autenticazione | Microsoft Entra ID degli URI accetta come destinazioni quando restituisce risposte di autenticazione (token) dopo l'autenticazione o la disconnessione degli utenti. | Uguale al personale. |
| URL di disconnessione canale frontale di>autenticazione | Questo URL è il punto in cui Microsoft Entra ID invia una richiesta per cancellare i dati della sessione dell'utente. L'URL di disconnessione canale frontale è necessario per il corretto funzionamento dell'accesso Single Sign-Out. | Uguale al personale. |
| Concessione implicita dell'autenticazione>e flussi ibridi | Richiedere un token direttamente dall'endpoint di autorizzazione. | Uguale al personale. |
| Certificati e segreti | Uguale al personale. | |
| Autorizzazioni API | Aggiungere, rimuovere e sostituire le autorizzazioni per un'applicazione. Dopo l'aggiunta delle autorizzazioni all'applicazione, gli utenti o gli amministratori devono concedere il consenso alle nuove autorizzazioni. Altre informazioni sull'aggiornamento delle autorizzazioni richieste di un'app in Microsoft Entra ID. | Di seguito sono riportate le autorizzazioni consentite: Microsoft Graph offline_access, openid e User.Read e le autorizzazioni delegate delle API personali. Solo un amministratore può fornire il consenso per conto dell'organizzazione. |
| Esporre un'API | Definire ambiti personalizzati per limitare l'accesso ai dati e alle funzionalità protetti dall'API. Un'applicazione che richiede l'accesso a parti di questa API può richiedere il consenso di un utente o di un amministratore a uno o più di questi ambiti. | Definire ambiti personalizzati per restringere l'accesso ai dati e alle funzionalità protette dall'API. Un'applicazione che richiede l'accesso a parti di questa API può richiedere il consenso dell'amministratore a uno o più di questi ambiti. |
| Ruoli dell'app | I ruoli app sono ruoli personalizzati usati per assegnare autorizzazioni a utenti o app. L'applicazione definisce e pubblica i ruoli app e li interpreta come autorizzazioni durante l'autorizzazione. | Uguale al personale. Altre informazioni sull'uso del controllo degli accessi in base al ruolo per le applicazioni in un tenant esterno. |
| Proprietari | I proprietari delle applicazioni possono visualizzare e modificare la registrazione dell'applicazione. Inoltre, qualsiasi utente (che potrebbe non essere elencato) con privilegi amministrativi per gestire qualsiasi applicazione (ad esempio, Amministratore applicazione cloud) può visualizzare e modificare la registrazione dell'applicazione. | Uguale al personale. |
| Ruoli e amministratori | I ruoli amministrativi vengono usati per concedere l'accesso per le azioni con privilegi in Microsoft Entra ID. | Solo il ruolo Amministratore applicazione cloud può essere usato per le app in tenant esterni. Questo ruolo concede la possibilità di creare e gestire tutti gli aspetti delle applicazioni aziendali e delle registrazioni dell'applicazione. |
| Assegnazione di utenti e gruppi a un'app | Quando è richiesta l'assegnazione utente, solo gli utenti assegnati all'applicazione (tramite assegnazione utente diretta o in base all'appartenenza al gruppo) potranno eseguire l'accesso. Per altre informazioni, vedere Gestire l'assegnazione di utenti e gruppi a un'applicazione | Non disponibile |
Flussi OpenID Connect e OAuth2
La tabella seguente confronta le funzionalità disponibili per i flussi di autorizzazione OAuth 2.0 e OpenID Connect in ogni tipo di tenant.
| Funzionalità | Tenant del personale | Tenant esterno |
|---|---|---|
| OpenID Connect | Sì | Sì |
| Codice di autorizzazione | Sì | Sì |
| Codice di autorizzazione con Code Exchange (PKCE) | Sì | Sì |
| Credenziali del client | Sì | Applicazioni v2.0 (anteprima) |
| Autorizzazione dispositivo | Sì | Anteprima |
| Flusso On-Behalf-Of | Sì | Sì |
| Concessione implicita | Sì | Sì |
| Credenziali password del proprietario della risorsa | Sì | No, per le applicazioni per dispositivi mobili, usare l'autenticazione nativa. |
URL dell’ autorità nei flussi OpenID Connect e OAuth2
L'URL dell'autorità è un URL che indica una directory da cui MSAL può richiedere token. Per le app nei tenant esterni, usare sempre il formato seguente: <tenant-name>.ciamlogin.com
Il codice JSON seguente mostra un esempio di un file di applicazione .NET appsettings.json con un URL dell'autorità:
{
"AzureAd": {
"Authority": "https://<Enter_the_Tenant_Subdomain_Here>.ciamlogin.com/",
"ClientId": "<Enter_the_Application_Id_Here>"
}
}
Accesso condizionale
La tabella seguente confronta le funzionalità disponibili per l'accesso condizionale in ogni tipo di tenant.
| Funzionalità | Tenant del personale | Tenant esterno |
|---|---|---|
| Assegnazioni | Utenti, gruppi e identità del carico di lavoro | Includere tutti gli utenti ed escludere utenti e gruppi. Per altre informazioni, vedere Aggiungere l'autenticazione a più fattori (MFA) a un'app. |
| Risorse di destinazione |
|
|
| Condizioni | ||
| Concedi | Concedere o bloccare l'accesso alle risorse | |
| Sessione | Controlli di sessione | Non disponibile |
Gestione account
La tabella seguente confronta le funzionalità disponibili per la gestione degli utenti in ogni tipo di tenant. Come indicato nella tabella, alcuni tipi di account vengono creati tramite l'invito o l'iscrizione self-service. Un amministratore utente nel tenant può anche creare account tramite l'interfaccia di amministrazione.
| Funzionalità | Tenant del personale | Tenant esterno |
|---|---|---|
| Tipi di account |
|
|
| Gestire le informazioni sul profilo utente | A livello di codice e tramite l'interfaccia di amministrazione di Microsoft Entra. | Uguale al personale. |
| Reimpostare la password di un utente | Se un utente dimentica la password e non può accedere a un dispositivo o se non ha mai ricevuto la password, gli amministratori possono reimpostarla. | Uguale al personale. |
| Ripristinare o rimuovere gli utenti eliminati di recente | Dopo aver eliminato un utente, l'account rimane in uno stato di sospensione per 30 giorni. Durante tale intervallo di 30 giorni, l'account utente può essere ripristinato, con tutte le relative proprietà. | Uguale al personale. |
| Disabilita account | Impedire al nuovo utente di accedere. | Uguale al personale. |
Password di protezione
La tabella seguente confronta le funzionalità disponibili per la protezione delle password in ogni tipo di tenant.
| Funzionalità | Tenant del personale | Tenant esterno |
|---|---|---|
| Blocco intelligente | La funzione di blocco intelligente blocca gli attori malintenzionati che tentano di indovinare le password degli utenti o usano metodi di forza bruta per ottenere l'accesso | Uguale al personale. |
| Password vietate personalizzate | L'elenco di password vietate personalizzate di Microsoft Entra consente di aggiungere stringhe specifiche da valutare e bloccare. | Non disponibile. |
Personalizzazione dei token
La tabella seguente confronta le funzionalità disponibili per la personalizzazione dei token in ogni tipo di tenant.
| Funzionalità | Tenant del personale | Tenant esterno |
|---|---|---|
| Mapping delle attestazioni | Personalizzare le attestazioni rilasciate nel token Web JSON (JWT) per le applicazioni aziendali. | Uguale al personale. Le attestazioni facoltative devono essere configurate tramite Attributi e attestazioni. |
| Trasformazione delle attestazioni | Applicare una trasformazione a un attributo utente rilasciato nel token Web JSON (JWT) per le applicazioni aziendali. | Uguale al personale. |
| Provider di attestazioni personalizzate | Estensione di autenticazione personalizzata che chiama un'API REST esterna per recuperare le attestazioni da sistemi esterni. | Uguale al personale. Ulteriori informazioni |
| Gruppi di sicurezza | Configurare le attestazioni facoltative di gruppo. | La configurazione delle attestazioni facoltative di gruppo è limitata all'ID oggetto gruppo. |
| Durate dei token | È possibile specificare la durata dei token di sicurezza emessi da Microsoft Entra ID. | Uguale al personale. |
API Microsoft Graph
Tutte le funzionalità supportate nei tenant esterni sono supportate anche per l'automazione tramite le API Microsoft Graph. Alcune funzionalità disponibili in anteprima nei tenant esterni potrebbero essere disponibili a livello generale tramite Microsoft Graph. Per altre informazioni, vedere Gestire l'identità e l'accesso alla rete di Microsoft Entra tramite Microsoft Graph.