Compartilhar via


Recursos compatíveis na força de trabalho e em locatários externos

Há duas maneiras de configurar um locatário do Microsoft Entra, dependendo de como a organização pretende usar o locatário e os recursos que deseja gerenciar:

  • Uma configuração de locatário da força de trabalho é para seus funcionários, aplicativos empresariais internos e outros recursos organizacionais. A colaboração B2B é usada em um locatário da força de trabalho para colaborar com parceiros de negócios externos e convidados.
  • Uma configuração de locatário externo é usada exclusivamente para cenários de ID externa, em que você deseja publicar aplicativos para consumidores ou clientes empresariais.

Este artigo fornece uma comparação detalhada dos recursos e funcionalidades disponíveis na força de trabalho e em locatários externos.

Observação

Durante a versão prévia, os recursos ou capacidades que exigem uma licença premium ficam indisponíveis em locatários externos.

Comparação geral de recursos

A tabela a seguir compara os recursos gerais e os recursos disponíveis na força de trabalho e em locatários externos.

Recurso Locatário da força de trabalho Locatário externo
Cenário de identidades externas Permita que parceiros de negócios e outros usuários externos colaborem com sua força de trabalho. Os convidados podem acessar com segurança seus aplicativos de negócios por meio de convites ou inscrição de autoatendimento. Use a ID externa para proteger seus aplicativos. Consumidores e clientes empresariais podem acessar com segurança seus aplicativos de consumo por meio de inscrição de autoatendimento. Convites também são suportados.
Contas locais As contas locais são suportadas apenas por membros internos da sua organização. Contas locais são suportadas para:
- Usuários externos (consumidores, clientes empresariais) que usam inscrição de autoatendimento.
- Contas criadas por administradores.
Grupos Grupos podem ser usados para gerenciar contas administrativas e de usuário. Grupos podem ser usados para gerenciar contas administrativas. A compatibilidade com grupos e funções de aplicativo do Microsoft Entra está sendo implementada em fases nos locatários do cliente. Para obter as atualizações mais recentes, confira Suporte a grupos e funções de aplicativo.
Funções e administradores Funções e administradores têm suporte total para contas administrativas e de usuário. Não há suporte para funções com contas de cliente. As contas de cliente não têm acesso aos recursos de locatário.
Proteção de ID Fornece detecção de risco contínua para o locatário do Microsoft Entra. Ele permite que as organizações descubram, investiguem e corrijam riscos baseados em identidade. Um subconjunto das detecções de risco do Microsoft Entra ID Protection está disponível. Saiba mais.
Redefinição de senha de autoatendimento Permita que os usuários redefinam a senha usando até dois métodos de autenticação (confira a próxima linha para ver os métodos disponíveis). Permita que os usuários redefinam a senha usando o email com uma senha de uso único. Saiba mais.
Personalização de linguagem Personalize a experiência de entrada com base no idioma do navegador, quando os usuários se autenticarem nos seus aplicativos corporativos baseados na Intranet ou na Web. Use idiomas para modificar as cadeias de caracteres exibidas para seus clientes como parte do processo de entrada e inscrição. Saiba mais.
Atributos personalizados Use atributos de extensão de diretório para armazenar mais dados no diretório do Microsoft Entra para objetos de usuário, grupos, detalhes do locatário e entidades de serviço. Use atributos de extensão de diretório para armazenar mais dados no diretório do cliente para objetos de usuário. Crie atributos de usuário personalizados e adicione-os ao fluxo de usuário de inscrição. Saiba mais.

Personalização de aparência e sensação

A tabela a seguir compara os recursos disponíveis para personalização de aparência em locatários externos e de força de trabalho.

Recurso Locatário da força de trabalho Locatário externo
Identidade visual da empresa Você pode adicionar a identidade visual da empresa que se aplica a todas essas experiências para criar uma experiência de entrada consistente para seus usuários. O mesmo que a força de trabalho. Saiba mais
Personalização de linguagem Personalize a experiência de entrada por idioma do navegador. O mesmo que a força de trabalho. Saiba mais
Nomes de domínio personalizados Você só pode usar domínios personalizados para contas administrativas. O recurso de domínio de URL personalizado (versão prévia) para locatários externos permite marcar pontos de extremidade de entrada do aplicativo com seu próprio nome de domínio.
Autenticação nativa para aplicativos móveis Não disponível A autenticação nativa do Microsoft Entra permite que você tenha controle total sobre o design das experiências de entrada do aplicativo móvel.

Adicionar sua própria lógica de negócios

As extensões de autenticação personalizadas permitem personalizar a experiência de autenticação do Microsoft Entra integrando-se a sistemas externos. Uma extensão de autenticação personalizada é essencialmente um ouvinte de eventos que, quando ativado, faz uma chamada HTTP para um ponto de extremidade da API REST em que você define a sua própria lógica de negócios. A tabela a seguir compara os eventos de extensões de autenticação personalizada disponíveis em locatários externos e de força de trabalho.

Evento Locatário da força de trabalho Locatário externo
TokenIssuanceStart Adicionar declarações de sistemas externos. Adicionar declarações de sistemas externos.
OnAttributeCollectionStart Não disponível Ocorre no início da etapa de coleção de atributos da inscrição, antes que a página da coleção de atributos seja renderizada. Você pode adicionar ações como pré-preenchimento de valores e exibição de um erro de bloqueio. Saiba mais
OnAttributeCollectionSubmit Não disponível Ocorre durante o fluxo de inscrição, depois que o usuário insere e envia atributos. Você pode adicionar ações como validar ou modificar as entradas do usuário. Saiba mais

Provedores de identidade e métodos de autenticação

A tabela a seguir compara os provedores de identidade e os métodos disponíveis para autenticação primária e autenticação multifator (MFA) em locatários externos e na força de trabalho.

Recurso Locatário da força de trabalho Locatário externo
Provedores de identidade para usuários externos (autenticação primária) Para convidados com inscrição de autoatendimento
– Contas do Microsoft Entra
– Contas Microsoft
– Senha de uso único por email
– Federação do Google
– Federação do Facebook

Para convidados:
– Contas Microsoft Entra
– Contas Microsoft
– Senha de uso único por email
– Federação do Google
– Federação SAML/WS-Fed
Para usuários com inscrição de autoatendimento (consumidores, clientes empresariais)
- Email com senha
- Senha de uso único por email
- Federação do Google (versão prévia)
- Federação do Facebook (versão prévia)

Para convidados (versão prévia)
Convidados com uma função do diretório (por exemplo, administradores):
– Contas do Microsoft Entra
– Contas Microsoft
- Senha de uso único por email
Métodos de autenticação para a MFA Para usuários internos (funcionários e administradores)
- Métodos de autenticação e verificação
Para convidados (inscrição convidada ou de autoatendimento)
- Métodos de autenticação para MFA de convidado
Para usuários de inscrição de autoatendimento (consumidores, clientes empresariais) ou usuários convidados (versão prévia)
- Senha de uso único por email
- Autenticação com base em SMS

Registro de aplicativo

A tabela a seguir compara os recursos disponíveis para Registro de aplicativo em cada tipo de locatário.

Recurso Locatário da força de trabalho Locatário externo
Protocolo Partes confiáveis do SAML, OpenID Connect e OAuth2 OpenID Connect e OAuth2
Tipos de conta compatíveis Os seguintes tipos de conta:
  • Somente as contas deste diretório organizacional (locatário único)
  • Contas em qualquer diretório organizacional (Qualquer locatário do Microsoft Entra - Multilocatário)
  • Contas em qualquer diretório organizacional (qualquer locatário do Microsoft Entra – multilocatário) e contas pessoais da Microsoft (como Skype, Xbox)
  • Somente contas Microsoft pessoais
Sempre use Contas somente neste diretório organizacional (Locatário único).
Plataforma As seguintes plataformas:
  • Cliente público/nativo (móvel e desktop)
  • Web
  • SPA (Aplicativo de Página Única)
    As seguintes plataformas:
    Autenticação>URIs de Redirecionamento Os URIs do Microsoft Entra ID aceitam como destinos ao retornar respostas de autenticação (tokens) após autenticar ou desconectar com êxito os usuários. O mesmo que a força de trabalho.
    Autenticação>URL de logoff de front-channel Essa URL do Microsoft Entra ID envia uma solicitação para que o aplicativo limpe os dados da sessão do usuário. A URL de logoff de front-channel é necessária para que a saída única funcione corretamente. O mesmo que a força de trabalho.
    Autenticação>Concessão implícita e fluxos híbridos Solicite um token diretamente do ponto de extremidade da autorização. O mesmo que a força de trabalho.
    Certificados e segredos O mesmo que a força de trabalho.
    Permissões da API Adicionar, remover e substituir permissões a um aplicativo. Após as permissões serem adicionadas ao seu aplicativo, os usuários ou administradores precisam dar o consentimento de acesso às novas permissões. Saiba mais sobre a Atualização das permissões solicitadas de um aplicativo no Microsoft Entra ID. A seguir as permissões: offline_access, openid e User.Read do Microsoft Graph e permissões delegadas de Minhas APIs. Apenas um administrador pode fornecer consentimento em nome da organização.
    Expor uma API Definir escopos personalizados para restringir o acesso a dados e funcionalidades protegidas pela API. Um aplicativo que requer acesso a partes dessa API pode solicitar que um usuário ou administrador consinta com um ou mais desses escopos. Defina escopos personalizados para restringir o acesso aos dados e à funcionalidade protegidos pela API. Um aplicativo que requer acesso a partes dessa API pode solicitar que um administrador consinta com um ou mais desses escopos.
    Funções de aplicativo Funções de aplicativo são funções personalizadas para atribuir permissões a usuários ou aplicativos. O aplicativo define e publica as funções do aplicativo e as interpreta como permissões durante a autorização. O mesmo que a força de trabalho. Saiba mais sobre usar controle de acesso baseado em função para aplicativos em um locatário externo.
    Proprietários Os proprietários de aplicativos podem exibir e editar o registro de aplicativo. Além disso, qualquer usuário (que pode não estar listado) com privilégios administrativos para gerenciar qualquer aplicativo (por exemplo, Administrador de aplicativos de nuvem) pode visualizar e editar o registro de aplicativo. O mesmo que a força de trabalho.
    Funções e administradores Funções administrativas são usadas para conceder acesso a ações privilegiadas no Microsoft Entra ID. Somente a função Administrador de aplicativos de nuvem pode ser usada para aplicativos em locatários externos. Essa função concede a capacidade de criar e gerenciar todos os aspectos dos registros de aplicativos e aplicativos empresariais.
    Atribuição de usuários e grupos a um aplicativo Quando a atribuição de usuário é necessária, somente aqueles atribuídos ao aplicativo (por meio da atribuição de usuário direta ou com base na associação de grupo) poderão entrar. Para obter mais informações, confira Gerenciar a atribuição de usuários e grupos a um aplicativo Não disponível

    Fluxos do OpenID Connect e OAuth2

    A tabela a seguir compara os recursos disponíveis para fluxos de autorização do OAuth 2.0 e do OpenID Connect em cada tipo de locatário.

    Recurso Locatário da força de trabalho Locatário externo
    OpenID Connect Sim Yes
    Código de autorização Sim Yes
    Código de autorização com a Troca de Código (PKCE) Sim Yes
    Credenciais de cliente Sim Aplicativos v2.0 (versão prévia)
    Autorização de dispositivo Sim Versão prévia
    Fluxo Em nome de Sim Yes
    Concessão implícita Sim Yes
    Credenciais da Senha de Proprietário do Recurso Yes Não, para aplicativos móveis, use a autenticação nativa.

    URL de Autoridade nos Fluxos do OpenID Connect e OAuth2

    A URL autoridade é uma URL que indica um diretório do qual o MSAL pode solicitar tokens. Para aplicativos em locatários externos, sempre use o seguinte formato: <nome do locatário>.ciamlogin.com

    O JSON a seguir mostra um exemplo de um arquivo appsettings.json de aplicativo .NET com uma URL de autoridade:

    {
        "AzureAd": {
            "Authority": "https://<Enter_the_Tenant_Subdomain_Here>.ciamlogin.com/",
            "ClientId": "<Enter_the_Application_Id_Here>"
        }
    }
    

    Acesso Condicional

    A tabela a seguir compara os recursos disponíveis para Acesso Condicional em cada tipo de locatário.

    Recurso Locatário da força de trabalho Locatário externo
    Atribuições Usuários, grupos e identidades de carga de trabalho Inclua todos os usuários e exclua usuários e grupos. Para obter mais informações, consulte Adicionar MFA (autenticação multifator) a um aplicativo.
    Recursos de destino
    Condições
    Conceder Conceder ou bloquear o acesso aos recursos
    Sessão Controles de sessão Não disponível

    Gerenciamento de conta

    A tabela a seguir compara os recursos disponíveis para gerenciamento de usuário em cada tipo de locatário. Conforme observado na tabela, determinados tipos de conta são criados por meio de convite ou inscrição de autoatendimento. Um administrador de usuário no locatário também pode criar contas por meio do centro de administração.

    Recurso Locatário da força de trabalho Locatário externo
    Tipos de contas
    • Membros internos, por exemplo, funcionários e administradores.
    • Usuários externos que são convidados ou usam inscrição de autoatendimento.
    • Usuários internos em seu locatário, por exemplo, administradores.
    • Consumidores externos e clientes empresariais que usam a inscrição por autoatendimento ou que são criados por administradores.
    • Usuários externos convidados (versão prévia).
    Gerenciar informações de perfil do usuário De forma programática e usando o centro de administração do Microsoft Entra. O mesmo que a força de trabalho.
    Redefinir a senha de um usuário Os administradores podem redefinir a senha de um usuário se a senha for esquecida, se o usuário for bloqueado de um dispositivo ou se o usuário nunca recebeu uma senha. O mesmo que a força de trabalho.
    Restaurar ou remover um usuário excluído recentemente Depois que você excluir um usuário, a conta permanecerá em um estado suspenso por 30 dias. Durante essa janela de 30 dias, a conta do usuário pode ser restaurada, juntamente com todas as suas propriedades. O mesmo que a força de trabalho.
    Desabilitar contas Impedir que o novo usuário possa entrar. O mesmo que a força de trabalho.

    Proteção por senha

    A tabela a seguir compara os recursos disponíveis para proteção por senha em cada tipo de locatário.

    Recurso Locatário da força de trabalho Locatário externo
    Bloqueio inteligente O bloqueio inteligente ajuda a bloquear atores mal-intencionados que tentam adivinhar as senhas dos usuários ou usar métodos de força bruta para entrar O mesmo que a força de trabalho.
    Senhas proibidas personalizadas A lista de senhas proibidas personalizadas do Microsoft Entra permite que você adicione cadeias de caracteres específicas para avaliar e bloquear. Não disponível.

    Personalização de token

    A tabela a seguir compara os recursos disponíveis para personalização de token em cada tipo de locatário.

    Recurso Locatário da força de trabalho Locatário externo
    Mapeamento de declarações Personalize as declarações emitidas no token Web JSON (JWT) para aplicativos empresariais. O mesmo que a força de trabalho. Declarações opcionais devem ser configuradas por meio de Atributos e declarações.
    Transformação de declarações Aplique uma transformação a um atributo de usuário emitido no token Web JSON (JWT) para aplicativos empresariais. O mesmo que a força de trabalho.
    Provedor de declarações personalizadas Extensão de autenticação personalizada que chama uma API REST externa para buscar declarações de sistemas externos. O mesmo que a força de trabalho. Saiba mais
    Grupos de segurança Configurar declarações opcionais de grupos. As declarações opcionais de configuração de grupos são limitadas à ID do objeto de grupo.
    Tempos de vida do token Você pode especificar o tempo de vida dos tokens de segurança emitidos pelo Microsoft Entra ID. O mesmo que a força de trabalho.

    APIs do Microsoft Graph

    Todos os recursos com suporte em locatários externos também têm suporte para automação por meio de APIs do Microsoft Graph. Alguns recursos que estão em versão prévia em locatários externos podem estar em disponibilidade geral por meio do Microsoft Graph. Para obter mais informações, consulte Gerenciar a identidade do Microsoft Entra e o acesso à rede usando o Microsoft Graph.

    Próximas etapas