Nota
O acesso a esta página requer autorização. Podes tentar iniciar sessão ou mudar de diretório.
O acesso a esta página requer autorização. Podes tentar mudar de diretório.
Há duas maneiras de configurar um locatário do Microsoft Entra, dependendo de como a organização pretende usar o locatário e dos recursos que deseja gerenciar:
- Uma configuração de tenant da força de trabalho é para os seus funcionários, aplicações empresariais internas e outros recursos organizacionais. A colaboração B2B é utilizada em um ambiente de trabalho para colaborar com parceiros de negócios externos e convidados.
- Uma configuração de locatário externo é usada exclusivamente para cenários de ID externa em que você deseja publicar aplicativos para consumidores ou clientes empresariais.
Este artigo fornece uma comparação detalhada dos recursos e capacidades disponíveis na força de trabalho e locatários externos.
Note
Durante a visualização, os recursos ou capacidades que exigem uma licença premium não estão disponíveis em locatários externos.
Comparação geral de características
A tabela a seguir compara as funcionalidades gerais e as capacidades disponíveis na força de trabalho e nos inquilinos externos.
| Feature | Entidade integrante da força de trabalho | Inquilino externo |
|---|---|---|
| Cenário de identidades externas | Permita que parceiros de negócios e outros usuários externos colaborem com sua força de trabalho. Os hóspedes podem acessar com segurança seus aplicativos de negócios por meio de convites ou inscrição de autoatendimento. | Use a ID externa para proteger seus aplicativos. Consumidores e clientes empresariais podem acessar com segurança seus aplicativos de consumidor por meio de inscrição de autoatendimento. Convites também são aceites. |
| Contas locais | As contas locais são suportadas apenas para membros internos da sua organização. | As contas locais são suportadas para:
|
| Groups | Os grupos podem ser usados para gerenciar contas administrativas e de usuário. | Os grupos podem ser usados para gerenciar contas administrativas. O suporte para grupos e funções de aplicativos do Microsoft Entra está a ser implementado gradualmente nos clientes. Para obter as atualizações mais recentes, consulte Suporte a grupos e funções de aplicativo. |
| Funções e administradores | Perfis e administradores são totalmente suportados para contas administrativas e de usuário. | As funções são suportadas para todos os utilizadores. Todos os usuários em um locatário externo têm permissões padrão , a menos que lhes seja atribuída uma função de administrador. |
| Proteção de Identificação | Fornece deteção de risco contínua para seu locatário do Microsoft Entra. Ele permite que as organizações descubram, investiguem e corrijam riscos baseados em identidade. | Não disponível |
| Governação do ID | Permite que as organizações controlem os ciclos de vida de identidade e acesso e protejam o acesso privilegiado. Mais informações. | Não disponível |
| Reposição automática de palavras-passe | Permita que os usuários redefina sua senha usando até dois métodos de autenticação (consulte a próxima linha para obter os métodos disponíveis). | Permita que os usuários redefina sua senha usando e-mail com senha única. Mais informações. |
| Personalização de linguagem | Personalize a experiência de entrada com base no idioma do navegador quando os usuários se autenticarem em sua intranet corporativa ou aplicativos baseados na Web. | Use idiomas para modificar as cadeias de caracteres exibidas para seus clientes como parte do processo de entrada e inscrição. Mais informações. |
| Atributos personalizados | Use atributos de extensão de diretório para armazenar mais dados no diretório do Microsoft Entra para objetos de usuário, grupos, detalhes do locatário e entidades de serviço. | Use atributos de extensão de diretório para armazenar mais dados no diretório do cliente para objetos de usuário. Crie atributos de usuário personalizados e adicione-os ao seu fluxo de usuário de inscrição. Mais informações. |
| Pricing | Preços de usuários ativos mensais (MAU) para convidados externos na colaboração B2B (UserType=Guest). | Preço de usuários ativos mensais (MAU) para todos os usuários no inquilino externo, independentemente da função ou do tipo de usuário. |
Personalização da aparência e sensação
A tabela a seguir compara os recursos disponíveis para personalização de aparência na equipa interna e inquilinos externos.
| Feature | Entidade integrante da força de trabalho | Inquilino externo |
|---|---|---|
| Imagem da empresa | Você pode adicionar a marca da empresa que se aplica a todas essas experiências para criar uma experiência de login consistente para seus usuários. | O mesmo que força de trabalho. Mais informações |
| Personalização de linguagem | Personalize a experiência de início de sessão por idioma do browser. | O mesmo que força de trabalho. Mais informações |
| Nomes de domínio personalizados | Você pode usar domínios personalizados apenas para contas administrativas. | A funcionalidade de domínio de URL personalizado para locatários externos permite que os utilizadores personalizem os pontos de acesso de início de sessão de aplicações com o seu próprio nome de domínio. |
| Autenticação nativa para aplicativos móveis | Não disponível | A autenticação nativa do Microsoft Entra permite-lhe ter controlo total sobre o design das suas experiências de início de sessão na aplicação móvel. |
Adicionando sua própria lógica de negócios
As extensões de autenticação personalizadas permitem personalizar a experiência de autenticação do Microsoft Entra integrando-se com sistemas externos. Uma extensão de autenticação personalizada é essencialmente um ouvinte de eventos que, quando ativado, faz uma chamada HTTP para um ponto de extremidade da API REST onde você define sua própria lógica de negócios. A tabela a seguir compara os eventos de extensões de autenticação personalizadas disponíveis na força de trabalho e em locatários externos.
| Event | Entidade integrante da força de trabalho | Inquilino externo |
|---|---|---|
| TokenIssuanceStart | Adicione declarações de sistemas externos. | Adicione declarações de sistemas externos. |
| OnAttributeCollectionStart | Não disponível | Ocorre no início da etapa de coleta de atributos da inscrição, antes da renderização da página de coleta de atributos. Você pode adicionar ações como pré-preencher valores e exibir um erro de bloqueio. Mais informações |
| OnAttributeCollectionSubmit | Não disponível | Ocorre durante o fluxo de inscrição, depois que o usuário insere e envia atributos. Você pode adicionar ações como validar ou modificar as entradas do usuário. Mais informações |
| OnOtpSend | Não disponível | Configure um provedor de email personalizado para eventos de envio de senha únicos. Mais informações |
Provedores de identidade e métodos de autenticação
A tabela a seguir compara os provedores de identidade e os métodos disponíveis para autenticação primária e autenticação multifator (MFA) na força de trabalho e locatários externos.
| Feature | Entidade integrante da força de trabalho | Inquilino externo |
|---|---|---|
| Provedores de identidade para usuários externos (autenticação primária) | Para convidados de inscrição self-service- Contas Microsoft Entra - Contas Microsoft - Código de acesso único por e-mail - Federação do Google - Federação do Facebook Para convidados - Contas Microsoft Entra - Contas Microsoft - Senha única por e-mail - Federação do Google - Federação SAML/WS-Fed |
Para utilizadores de registo self-service (consumidores, clientes empresariais) - Métodos de autenticação disponíveis no ID externo do Microsoft Entra Para convidados (visualização) Convidados com uma função de diretório (por exemplo, administradores): - Contas Microsoft Entra - Contas Microsoft - Senha única de e-mail da Microsoft - federação SAML/WS-Fed |
| Métodos de autenticação para MFA |
Para usuários internos (funcionários e administradores) - Métodos de autenticação e verificação Para convidados (convite ou auto-registo) - Métodos de autenticação para MFA de convidados |
Para utilizadores de registo de autoatendimento (consumidores, clientes empresariais) - Métodos de autenticação disponíveis no ID externo do Microsoft Entra Para utilizadores convidados (versão de pré-visualização) - Senha única por e-mail - Autenticação baseada em SMS |
Métodos de autenticação disponíveis no ID externo do Microsoft Entra
Alguns métodos de autenticação podem ser usados como o fator principal quando os usuários entram em um aplicativo, como nome de usuário e senha. Outros métodos de autenticação estão disponíveis apenas como um fator secundário. A tabela a seguir descreve quando pode ser utilizado um método de autenticação durante o início de sessão, a inscrição de autoatendimento, a redefinição de senha de autoatendimento e a autenticação multifator (MFA) na ID externa do Microsoft Entra.
| Method | Sign-in | Sign-up | Redefinição de senha | MFA |
|---|---|---|---|---|
| E-mail com senha | 
|
|
||
| Senha única por e-mail |
|
|
|
|
| Autenticação baseada em SMS |
|
|||
| Federação da Apple |
|
|
||
| Federação do Facebook |
|
|
||
| Federação da Google |
|
|
||
| Conta pessoal da Microsoft (OpenID Connect) |
|
|
||
| Federação OpenID Connect |
|
|
||
| Federação SAML/WS-Fed |
|
|
Registo de candidaturas
A tabela a seguir compara os recursos disponíveis para o registro de aplicativos em cada tipo de locatário.
| Feature | Entidade integrante da força de trabalho | Inquilino externo |
|---|---|---|
| Protocol | Partes confiantes SAML, OpenID Connect e OAuth2 | partes confiáveis SAML, OpenID Connect, e OAuth2 |
| Tipos de conta suportados | Os seguintes tipos de conta:
|
Sempre use Contas apenas neste diretório organizacional (Inquilino único). |
| Platform | As seguintes plataformas:
|
As seguintes plataformas:
|
| Autenticação>URIs de redirecionamento | As URIs que o Microsoft Entra ID aceita como destinos ao enviar respostas de autenticação com tokens depois de autenticar com sucesso ou terminar sessão dos utilizadores. | O mesmo que força de trabalho. |
| Autenticação>URL de logout no canal frontal | Essa URL é onde o Microsoft Entra ID envia uma solicitação para que o aplicativo limpe os dados de sessão do usuário. O URL de logout do canal frontal é necessário para que o logout único funcione corretamente. | O mesmo que força de trabalho. |
| Autenticação>Concessão implícita e fluxos híbridos | Solicite um token diretamente do ponto de extremidade de autorização. | O mesmo que força de trabalho. |
| Certificados & segredos | Múltiplas credenciais:
|
O mesmo que força de trabalho. |
| Certificados e segredos>Rotação | Atualize as credenciais do cliente para garantir que elas permaneçam válidas e seguras, enquanto os usuários podem continuar a entrar. Certificados, segredos e credenciais federadas podem ser alternados adicionando um novo e, em seguida, removendo o antigo. | O mesmo que força de trabalho. |
| Certificados & segredos>Política | Configure as políticas de gerenciamento de aplicativos para impor restrições secretas e de certificado. | Não disponível |
| Permissões de API | Adicione, remova e substitua permissões para um aplicativo. Depois que as permissões são adicionadas ao seu aplicativo, os usuários ou administradores precisam conceder consentimento para as novas permissões. Saiba mais sobre como atualizar as permissões solicitadas de um aplicativo no Microsoft Entra ID. | A seguir estão as permissões autorizadas: Microsoft Graph offline_access, openid e User.Read, e as suas permissões delegadas de Minhas APIs. Apenas um administrador pode consentir em nome da organização. |
| Expor uma API | Defina escopos personalizados para restringir o acesso a dados e funcionalidades protegidos pela API. Um aplicativo que requer acesso a partes dessa API pode solicitar que um usuário ou administrador consinta em um ou mais desses escopos. | Defina escopos personalizados para restringir o acesso a dados e funcionalidades protegidos pela API. Um aplicativo que requer acesso a partes dessa API pode solicitar o consentimento do administrador para um ou mais desses escopos. |
| Owners | Os proprietários de aplicativos podem visualizar e editar o registro do aplicativo. Além disso, qualquer usuário (que pode não estar listado) com privilégios administrativos para gerenciar qualquer aplicativo (por exemplo, Cloud Application Administrator) pode exibir e editar o registro do aplicativo. | O mesmo que força de trabalho. |
| Funções e administradores | As funções administrativas são usadas para conceder acesso a ações privilegiadas no Microsoft Entra ID. | Somente a função Cloud Application Administrator pode ser usada para aplicativos em locatários externos. Essa função concede a capacidade de criar e gerenciar todos os aspetos de registros de aplicativos e aplicativos corporativos. |
Controlo de acessos para aplicações
A tabela a seguir compara os recursos disponíveis para autorização de aplicativo em cada tipo de locatário.
| Feature | Entidade integrante da força de trabalho | Inquilino externo |
|---|---|---|
| Controle de acesso baseado em função (RBAC) | Você pode definir funções de aplicativo para seu aplicativo e atribuir essas funções a usuários e grupos. O Microsoft Entra ID inclui as funções de usuário no token de segurança. Seu aplicativo pode então tomar decisões de autorização com base nos valores no token de segurança. | O mesmo que força de trabalho. Saiba mais sobre como usar o controle de acesso baseado em função para aplicativos em um locatário externo. Para obter os recursos disponíveis, consulte Suporte a grupos e funções de aplicativos. |
| Grupos de segurança | Você pode usar grupos de segurança para implementar o RBAC em seus aplicativos, onde as associações do usuário em grupos específicos são interpretadas como suas associações de função. O Microsoft Entra ID inclui a associação ao grupo de usuários no token de segurança. Seu aplicativo pode então tomar decisões de autorização com base nos valores no token de segurança. | O mesmo que força de trabalho. As declarações opcionais dos grupos são limitadas ao ID do objeto do grupo. |
| Controle de acesso baseado em atributos (ABAC) | Você pode configurar o aplicativo para incluir atributos de usuário no token de acesso. Seu aplicativo pode então tomar decisões de autorização com base nos valores no token de segurança. Para obter mais informações, consulte Personalização de token. | O mesmo que força de trabalho. |
| Exigir atribuição de utilizador | Quando a atribuição do utilizador é necessária, apenas os utilizadores que atribua à aplicação (seja através da atribuição direta do utilizador ou com base na associação ao grupo) podem iniciar sessão. Para obter mais informações, consulte gerenciar a atribuição de usuários e grupos a um aplicativo | O mesmo que força de trabalho. Para obter detalhes, consulte Suporte a grupos e funções de aplicativo. |
Aplicações empresariais
A tabela a seguir compara os recursos exclusivos disponíveis para o registro de aplicativos corporativos na força de trabalho e em locatários externos.
| Feature | Entidade integrante da força de trabalho | Inquilino externo |
|---|---|---|
| Galeria de candidaturas | A galeria de aplicativos contém milhares de aplicativos que são pré-integrados ao Microsoft Entra ID. | Escolha entre uma variedade de aplicações pré-integradas. Para encontrar um aplicativo de terceiros, use a barra de pesquisa. O catálogo da galeria de aplicativos ainda não está disponível. |
| Registrar um aplicativo empresarial personalizado | Adicione um aplicativo empresarial. | Registre um aplicativo SAML em seu locatário externo. |
| Atribuição de aplicativo de autoatendimento | Permita que os usuários descubram aplicativos automaticamente. | A atribuição de aplicativo de autoatendimento no portal Meus Aplicativos não está disponível. |
| Proxy de aplicação | O proxy de aplicativo Microsoft Entra fornece acesso remoto seguro a aplicativos Web locais. | Não disponível. |
Recursos de consentimento e permissão para aplicativos corporativos
A tabela a seguir mostra quais recursos de consentimento e permissão estão disponíveis para aplicativos corporativos em cada tipo de locatário.
| Feature | Entidade integrante da força de trabalho | Inquilino externo |
|---|---|---|
| Consentimento de administrador para aplicativos corporativos | Você pode conceder permissões de administrador para todo o locatário e também pode revisá-las e revogá-las . | O mesmo que força de trabalho. |
| Consentimento do utilizador para aplicações empresariais | Você pode configurar como os usuários consentem com os aplicativos e pode atualizar essas permissões. | Limitado a permissões que não exigem consentimento do administrador. |
| Rever ou revogar o consentimento do administrador | Revise e revogue permissões. | Use o centro de administração do Microsoft Entra para revogar o consentimento do administrador. |
| Rever ou revogar o consentimento do utilizador | Revise e revogue permissões. | Use a API do Microsoft Graph ou o PowerShell para revogar o consentimento do usuário. |
| Atribuir utilizadores ou grupos a aplicações | Você pode gerenciar o acesso a aplicativos em uma atribuição individual ou de grupo. Não há suporte para associações de grupo aninhadas. | O mesmo que força de trabalho. |
| RBAC (controle de acesso baseado em função) para funções de aplicativo | Você pode definir e atribuir funções para controle de acesso refinado. | O mesmo que força de trabalho. |
Fluxos OpenID Connect e OAuth2
A tabela a seguir compara os recursos disponíveis para OAuth 2.0 e fluxos de autorização do OpenID Connect em cada tipo de locatário.
| Feature | Entidade integrante da força de trabalho | Inquilino externo |
|---|---|---|
| Conexão OpenID | Yes | Yes |
| Código de autorização | Yes | Yes |
| Código de autorização com troca de código (PKCE) | Yes | Yes |
| Credenciais de cliente | Yes | Aplicações V2.0 (Pré-visualização) |
| Autorização do dispositivo | Yes | Preview |
| Fluxo Em Nome De | Yes | Yes |
| Subvenção implícita | Yes | Yes |
| Credenciais de senha do proprietário do recurso | Yes | Não, para aplicações móveis, use autenticação nativa. |
URL da autoridade nos fluxos OpenID Connect e OAuth2
A URL de autoridade é uma URL que indica um diretório do qual a MSAL pode solicitar tokens. Para aplicações em locatários externos, use sempre o seguinte formato: <tenant-name>.ciamlogin.com
O JSON a seguir mostra um exemplo de um ficheiro appsettings.json de uma aplicação .NET com um URL de autoridade:
{
"AzureAd": {
"Authority": "https://<Enter_the_Tenant_Subdomain_Here>.ciamlogin.com/",
"ClientId": "<Enter_the_Application_Id_Here>"
}
}
Acesso Condicional
A tabela a seguir compara os recursos disponíveis para Acesso Condicional em cada tipo de locatário.
| Feature | Entidade integrante da força de trabalho | Inquilino externo |
|---|---|---|
| Assignments | Identidades de usuários, grupos e carga de trabalho | Inclua todos os usuários e exclua usuários e grupos. Para obter mais informações, consulte Adicionar autenticação multifator (MFA) a um aplicativo. |
| Recursos de destino |
|
|
| Conditions | ||
| Grant | Conceder ou bloquear o acesso aos recursos | |
| Session | Controlos de sessão | Não disponível |
Políticas de termos de utilização
A tabela a seguir compara os recursos disponíveis para políticas de termos de uso em cada tipo de locatário.
| Feature | Entidade integrante da força de trabalho | Inquilino externo |
|---|---|---|
| Políticas de Acesso Condicional | Termos de Utilização do Microsoft Entra | Não disponível |
| Inscrição autoatendimento | Não disponível | Adicione um atributo obrigatório vinculado às suas políticas de termos de uso na página de inscrição. O hiperlink pode ser personalizado para suportar vários idiomas. |
| Página de início de sessão | Links que você pode adicionar ao canto inferior direito para obter informações de privacidade usando a marca da empresa. | O mesmo que força de trabalho. |
Gestão de contas
A tabela a seguir compara os recursos disponíveis para gerenciamento de usuários em cada tipo de locatário. Conforme observado na tabela, determinados tipos de conta são criados por meio de convite ou inscrição de autoatendimento. Um administrador no tenant também pode criar contas através do admin center.
| Feature | Entidade integrante da força de trabalho | Inquilino externo |
|---|---|---|
| Tipos de contas |
|
|
| Gerenciar informações de perfil de usuário |
|
O mesmo que a força de trabalho, exceto a sincronização entre locatários não está disponível. |
| Redefinir a senha de um usuário | Os administradores podem redefinir a senha de um usuário se a senha for esquecida, se o usuário for bloqueado de um dispositivo ou se o usuário nunca recebeu uma senha. | O mesmo que força de trabalho. |
| Restaurar ou remover um utilizador recentemente eliminado | Depois de eliminar um utilizador, a conta permanece num estado suspenso por um período de 30 dias. Durante a janela de 30 dias, a conta do utilizador pode ser restaurada, juntamente com todas as propriedades. | O mesmo que força de trabalho. |
| Desativar contas | Impedir que o novo utilizador consiga iniciar sessão. | O mesmo que força de trabalho. |
Proteção por palavra-passe
A tabela a seguir compara os recursos disponíveis para proteção por senha em cada tipo de locatário.
| Feature | Entidade integrante da força de trabalho | Inquilino externo |
|---|---|---|
| Bloqueio inteligente | O bloqueio inteligente ajuda a bloquear agentes mal-intencionados que tentam adivinhar as senhas de seus usuários ou usam métodos de força bruta para entrar | O mesmo que força de trabalho. |
| Palavras-passe personalizadas proibidas | A lista de senhas proibidas personalizadas do Microsoft Entra permite adicionar cadeias de caracteres específicas para avaliar e bloquear. | Não disponível. |
Personalização de token
A tabela a seguir compara os recursos disponíveis para personalização de token em cada tipo de locatário.
| Feature | Entidade integrante da força de trabalho | Inquilino externo |
|---|---|---|
| Mapeamento de sinistros | Personalize as declarações emitidas no JSON Web Token (JWT) para aplicações empresariais. | O mesmo que força de trabalho. As declarações opcionais devem ser configuradas por meio de Atributos & Declarações. |
| Transformação de reivindicações | Aplique uma transformação a um atributo de usuário emitido no token da Web JSON (JWT) para aplicativos corporativos. | O mesmo que força de trabalho. |
| Provedor de reivindicações personalizado | Extensão de autenticação personalizada que chama uma API REST externa para buscar declarações de sistemas externos. | O mesmo que força de trabalho. Mais informações |
| Grupos de segurança | As declarações opcionais de configuração de grupos são limitadas ao ID do objeto de grupo. | |
| Tempos de vida dos tokens | Você pode especificar o tempo de vida dos tokens de segurança emitidos pela ID do Microsoft Entra. | O mesmo que força de trabalho. |
| Revogação de sessão e token | O administrador pode invalidar todos os tokens de atualização e sessão de um usuário. | O mesmo que força de trabalho. |
Autenticação única
O logon único (SSO) fornece uma experiência mais perfeita, reduzindo o número de vezes que um usuário é solicitado a fornecer credenciais. Os usuários inserem suas credenciais uma vez, e a sessão estabelecida pode ser reutilizada por outros aplicativos no mesmo dispositivo e navegador da Web sem mais solicitações. A tabela a seguir compara os recursos disponíveis para SSO em cada tipo de locatário.
| Feature | Entidade integrante da força de trabalho | Inquilino externo |
|---|---|---|
| Tipos de registo de pedidos |
|
|
| Nome de domínio | Quando um usuário se autentica, um cookie de sessão é definido no domínio Microsoft Entra no navegador login.microsoftonline.com da Web. |
Quando um usuário se autentica, um cookie de sessão é definido no domínio <tenant-name>.ciamlogin.com de ID externo do Microsoft Entra ou em um domínio de URL personalizado no navegador da Web. Para garantir que o SSO funcione corretamente, use um único domínio de URL. |
| Manter-me ligado | Você pode ativar ou desativar a opção permanecer conectado . | O mesmo que força de trabalho. |
| Provisionamento do utilizador | Use o provisionamento automático de usuários com o System for Cross-domain Identity Management (SCIM) para sincronizar contas de usuário entre a ID Externa do Microsoft Entra e os aplicativos suportados. Isso mantém os dados do usuário atualizados automaticamente. O provisionamento de usuários oferece suporte a consultas diferenciais. Essas consultas sincronizam apenas as alterações desde a última atualização. Isso melhora o desempenho e reduz a carga do sistema. | O mesmo que força de trabalho. |
| Invalidação da sessão | Cenários em que o SSO pode ser invalidado, que exigem reautenticação:
|
O mesmo que força de trabalho. |
| Acesso condicional | Verifique a secção Acesso condicional . | Verifique a secção Acesso condicional . |
| Autenticação nativa do Microsoft Entra | Não disponível | A autenticação nativa não suporta SSO. |
| Sign-out | Quando uma aplicação SAML ou OpenID Connect direciona o utilizador para o endpoint de encerramento de sessão, o Microsoft Entra ID remove e invalida a sessão do utilizador no navegador. | O mesmo que força de trabalho. |
| Encerramento de sessão único | Após a saída bem-sucedida, o Microsoft Entra ID envia uma notificação de logout para todos os outros aplicativos SAML e OpenID Connect nos quais o usuário está conectado. | O mesmo que força de trabalho. |
Soluções integradas de segurança
O Microsoft Entra External ID suporta funcionalidades de segurança integradas e soluções de parceiros para ajudar a proteger identidades ao longo do ciclo de vida. Estas capacidades incluem proteção contra ataques de Negação de Serviço Distribuída (DDoS), prevenção de fraude em inscrições e monitorização unificada. Pode ativar estas soluções diretamente no ID Externo e aceder a integrações com parceiros através da Microsoft Security Store. Esta abordagem permite às organizações implementar rapidamente ferramentas de segurança de confiança sem configurações complexas. Todas estas funcionalidades estão disponíveis num assistente na interface Blade da Security Store.
| Feature | Entidade integrante da força de trabalho | Inquilino externo |
|---|---|---|
| Proteção contra fraude na inscrição | A experiência de mago da Security Store não está disponível. | Use a Arkose Labs e a HUMAN Security para se proteger contra fraudes de inscrição e bloquear ataques automáticos de bots. |
| Proteção contra DDoS e WAF | A experiência de mago da Security Store não está disponível. | Use a Cloudflare e a Akamai para proteger contra ataques DDoS e proteger as aplicações com firewall de aplicações web (WAF). |
| Análise de segurança | A experiência de mago da Security Store não está disponível. | Use o Azure Monitor e o Microsoft Sentinel para permitir monitorização com um clique, análise de registos e deteção avançada de ameaças. |
Akamai e Cloudflare
A Akamai e a Cloudflare oferecem capacidades líderes na indústria de proteção DDoS, mitigação de bots e firewall de aplicações web (WAF) que ajudam a proteger aplicações contra tráfego malicioso, automação abusiva e vulnerabilidades comuns na web, como injeção SQL, scripting cross-site (XSS) e ataques baseados em API. A integração de qualquer um dos serviços com o Microsoft Entra External ID permite-lhe aplicar estes controlos de segurança em frente aos fluxos de identidade orientados para o cliente, melhorando a resiliência e reduzindo a exposição ao credential-stuffing e outras ameaças direcionadas à identidade.
Registos e relatórios de atividades
A tabela abaixo compara os recursos disponíveis para logs de atividades e relatórios em diferentes tipos de locatários.
| Feature | Entidade integrante da força de trabalho | Inquilino externo |
|---|---|---|
| Registos de auditoria | Relatório detalhado de todos os eventos registrados no Microsoft Entra ID, incluindo modificações em aplicativos, grupos e usuários. | O mesmo que força de trabalho. |
| Registos de início de sessão | Os logs de entrada rastreiam todas as atividades de entrada em um tenant do Microsoft Entra, incluindo o acesso aos seus aplicativos e recursos. | O mesmo que força de trabalho. |
| Registos de inscrição (pré-visualização ) | Não disponível | O Microsoft Entra External ID registra todos os eventos de inscrição de autoatendimento, incluindo inscrições bem-sucedidas e tentativas com falha. |
| Registos de provisionamento | Os logs de provisionamento fornecem registros detalhados de eventos de provisionamento em um locatário, como criações, atualizações e exclusões de contas de usuário. | Não disponível |
| Logs de atividades de políticas de retenção | As políticas de retenção de dados do Microsoft Entra determinam por quanto tempo diferentes tipos de logs (como logs de auditoria, entrada e provisionamento) são armazenados. | Sete dias |
| Exportar registos de atividade | Usando as configurações de diagnóstico no Microsoft Entra ID, você pode integrar logs com o Azure Monitor, transmitir logs para um hub de eventos ou integrar com ferramentas de Gerenciamento de Informações de Segurança e Eventos (SIEM). | Azure Monitor para locatários externos (visualização) |
| Relatórios de atividade do usuário do aplicativo | Não disponível | A atividade do usuário do aplicativo fornece análises sobre como os usuários interagem com os aplicativos registrados em seu locatário. Ele rastreia métricas como usuários ativos, novos usuários, entradas e taxas de sucesso de autenticação multifator (MFA). |
Microsoft Graph APIs
Todas as funcionalidades suportadas em locatários externos também são suportadas para automação por meio de APIs do Microsoft Graph. Alguns recursos que estão em visualização em locatários externos podem estar geralmente disponíveis através do Microsoft Graph. Para obter mais informações, consulte Gerenciar a identidade do Microsoft Entra e o acesso à rede usando o Microsoft Graph.