Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Hay dos maneras de configurar un inquilino de Microsoft Entra, en función de cómo una organización pretende usar el inquilino y los recursos que desea administrar:
- Una configuración de inquilinos de recursos es para los empleados, las aplicaciones empresariales internas y otros recursos de la organización. Un inquilino del personal usa la colaboración B2B en Microsoft Entra External ID para la colaboración con socios comerciales externos e invitados.
- Una configuración de inquilino externo es exclusivamente para escenarios de identificador externo en los que quiere publicar aplicaciones para consumidores o clientes empresariales.
En este artículo se proporciona una comparación detallada de las características y funcionalidades de los empleados y los inquilinos externos. Para obtener más información sobre estos inquilinos, consulte Workforce and external tenant configurations in Microsoft Entra External ID (Configuración de personal y inquilino externo en Id. externo de Microsoft Entra).
Note
Durante la versión preliminar, las características o funcionalidades que requieren una licencia Premium no están disponibles en los inquilinos externos.
Comparación de las características generales
En la tabla siguiente se comparan las características y funcionalidades generales de los empleados y los inquilinos externos.
| Feature | Inquilino de recursos | Inquilino externo |
|---|---|---|
| Escenario de identidades externas | Permitir que los asociados comerciales y otros usuarios externos colaboren con su personal. Los invitados pueden acceder de forma segura a sus aplicaciones empresariales a través de invitaciones o del registro de autoservicio. | Use el identificador externo para ayudar a proteger las aplicaciones. Los consumidores y los clientes empresariales pueden acceder a las aplicaciones de consumidor a través del registro de autoservicio. También se admiten invitaciones. |
| Cuentas locales | Las cuentas locales solo se admiten para los miembros internos de su organización. | Se admiten cuentas locales para:
|
| Grupos | Use grupos para administrar cuentas de usuario y administrativas. | Use grupos para administrar cuentas administrativas. La compatibilidad con los grupos y roles de aplicación de Microsoft Entra se implementa por fases en los inquilinos de los clientes. Para obtener las últimas actualizaciones, consulte Compatibilidad con grupos y roles de aplicación. |
| Roles y administradores | Los roles y administradores se admiten totalmente para cuentas administrativas y de usuario. | Se admiten roles para todos los usuarios. Todos los usuarios de un inquilino externo tienen permisos predeterminados a menos que se les asigne un rol de administrador. |
| Protección de Microsoft Entra ID | Este producto proporciona detección de riesgos continua para el inquilino de Microsoft Entra. Permite a las organizaciones detectar, investigar y corregir los riesgos basados en la identidad. | No está disponible. |
| Gobernanza de Microsoft Entra ID | Este producto permite a las organizaciones controlar los ciclos de vida de identidad y acceso, junto con el acceso con privilegios seguros. Más información. | No está disponible. |
| Restablecimiento de la contraseña de autoservicio | Permitir que los usuarios restablezcan su contraseña mediante hasta dos métodos de autenticación. | Permitir que los usuarios restablezcan su contraseña mediante el correo electrónico con un código de acceso único o SMS. Más información. |
| Personalización de lenguaje | Personalice la experiencia de inicio de sesión en función del lenguaje del explorador cuando los usuarios se autentiquen en la intranet corporativa o en las aplicaciones basadas en web. | Use idiomas para modificar las cadenas que se muestran a los clientes como parte del proceso de inicio de sesión y registro. Más información. |
| Atributos personalizados | Use atributos de extensión de directorio para almacenar más datos en el directorio de Microsoft Entra para objetos de usuario, grupos, detalles del inquilino y entidades de servicio. | Use atributos de extensión de directorio para almacenar más datos en el directorio del cliente para objetos de usuario. Cree atributos de usuario personalizados y agréguelos al flujo de usuario de registro. Más información. |
| Precios | Obtenga los precios mensuales de usuarios activos (MAU) para invitados externos a través de la colaboración B2B (UserType=Guest). |
Obtenga los precios de MAU para todos los usuarios de la entidad externa, independientemente de su rol o del UserType valor. |
Personalización de la interfaz
En la tabla siguiente se comparan las características de la personalización de la interfaz en los inquilinos externos y los empleados.
| Feature | Inquilino de recursos | Inquilino externo |
|---|---|---|
| Branding de empresa | Puede agregar personalización de marca de empresa que se aplique a todas estas experiencias para crear una experiencia de inicio de sesión coherente para los usuarios. | Igual que los recursos. Más información. |
| Personalización de lenguaje | Personalización de la experiencia de inicio de sesión por idioma del explorador. | Igual que los recursos. Más información. |
| Nombres de dominio personalizados | Puede usar dominios personalizados solo para cuentas administrativas. | Puede usar la característica de dominio URL personalizado para inquilinos externos y así marcar los puntos de conexión de inicio de sesión de la aplicación con su propio nombre de dominio. |
| Autenticación nativa para aplicaciones móviles | No está disponible. | La autenticación nativa de Microsoft Entra proporciona control total sobre el diseño de las experiencias de inicio de sesión de la aplicación móvil. |
Incorporación de su propia lógica de negocios
Puede usar extensiones de autenticación personalizadas para personalizar la experiencia de autenticación de Microsoft Entra mediante la integración con sistemas externos. Una extensión de autenticación personalizada es básicamente un escuchador de eventos. Al activarlo, realiza una llamada HTTP a un punto de conexión de la API REST donde se define su propia lógica de negocios.
En la tabla siguiente se comparan los eventos de las extensiones de autenticación personalizadas en los arrendatarios y el personal externo.
| Event | Inquilino de recursos | Inquilino externo |
|---|---|---|
TokenIssuanceStart |
Adición de notificaciones desde sistemas externos. | Adición de notificaciones desde sistemas externos. |
OnAttributeCollectionStart |
No está disponible. | Este evento se produce al principio del paso de recopilación de atributos del proceso de registro, antes de que se muestre la página de recopilación de atributos. Puede agregar acciones como rellenar previamente valores y mostrar un error de bloqueo. Más información. |
OnAttributeCollectionSubmit |
No está disponible. | Este evento se produce durante el flujo de registro, después de que el usuario escriba y envíe atributos. Puede agregar acciones como validar o modificar las entradas del usuario. Más información. |
OnOtpSend |
No está disponible. | Configure un proveedor de correo electrónico personalizado para eventos de envío de código de acceso de un solo uso. Más información. |
Proveedores de identidades y métodos de autenticación
En la tabla siguiente se comparan los proveedores de identidades y los métodos para la autenticación principal y la autenticación multifactor (MFA) en los recursos de trabajo y los inquilinos externos.
| Feature | Inquilino de recursos | Inquilino externo |
|---|---|---|
| Proveedores de identidades para usuarios externos (autenticación principal) | Para los invitados de registro de autoservicio:
Para invitados invitados:
|
Para los usuarios de registro de autoservicio (consumidores, clientes empresariales):
Para invitados (previa) mediante un rol de directorio (por ejemplo, administradores):
Solo puede invitar a usuarios externos con fines administrativos. No puede usar esta característica para invitar a los clientes a iniciar sesión en las aplicaciones. Esta característica no es compatible con los flujos de usuario de administración de identidades y acceso del cliente (CIAM). |
| Métodos de autenticación para MFA | Para usuarios internos (empleados y administradores):
Para invitados (invitados o registro automático): |
Para los usuarios de registro de autoservicio (consumidores, clientes empresariales):
Para usuarios invitados (versión preliminar): |
Métodos de autenticación disponibles en External ID
Puede usar algunos métodos de autenticación como factor principal cuando los usuarios inician sesión en una aplicación, como el nombre de usuario y la contraseña. Otros métodos de autenticación solo están disponibles como factor secundario. En la tabla siguiente se describe cuándo puede usar un método de autenticación durante el inicio de sesión, el registro de autoservicio, el autoservicio de restablecimiento de contraseña y MFA en el identificador externo.
| Method | Sign-in | Sign-up | Restablecer contraseña | MFA |
|---|---|---|---|---|
| Correo electrónico con contraseña | 
|
|
||
| Código de acceso de un solo uso de correo electrónico |
|
|
|
|
| Autenticación basada en SMS |
|
|||
| Federación de Apple |
|
|
||
| Federación de Facebook |
|
|
||
| Federación de Google |
|
|
||
| Cuenta personal de Microsoft (OpenID Connect) |
|
|
||
| Federación de identificadores de Entra de Microsoft |
|
|
||
| Federación de OpenID Connect |
|
|
||
| Federación de SAML/WS-Fed |
|
|
Registro de aplicaciones
En la tabla siguiente se comparan las características del registro de aplicaciones en cada tipo de inquilino.
| Feature | Inquilino de recursos | Inquilino externo |
|---|---|---|
| Protocolo | Los protocolos incluyen partes confiables de SAML, OpenID Connect y OAuth2. | Los protocolos incluyen usuarios de confianza de SAML, OpenID Connect y OAuth2. |
| Tipos de cuenta admitidos | Los siguientes tipos de cuenta están disponibles:
|
Usa siempre solo las cuentas de este directorio de la organización (inquilino único). |
| Plataforma | Las siguientes plataformas están disponibles:
|
Las siguientes plataformas están disponibles:
|
| URI de redirección para la autenticación | Microsoft Entra ID acepta estos URI como destinos cuando devuelve respuestas de autenticación (tokens) después de autenticar o cerrar sesión correctamente a los usuarios. | Igual que los recursos. |
| URL de cierre de sesión del canal principal para la autenticación | Esta es la dirección URL a la que Microsoft Entra ID envía una solicitud para que la aplicación borre los datos de sesión del usuario. La dirección URL de cierre de sesión del canal frontal es necesaria para que el cierre de sesión único funcione correctamente. | Igual que los recursos. |
| Concesión implícita y flujos híbridos para la autenticación | Solicitar un token directamente desde el punto de conexión de autorización. | Igual que los recursos. |
| Certificados y secretos | Hay varias credenciales disponibles: | Igual que los recursos. |
| Rotación de certificados y secretos | Actualice las credenciales de cliente para asegurarse de que permanecen válidas y seguras, mientras que los usuarios pueden seguir iniciando sesión. Puede rotar certificados, secretos y credenciales federadas agregando uno nuevo y, a continuación, quitando el anterior. | Igual que los recursos. |
| Directiva para certificados y secretos | Configure las directivas de administración de aplicaciones para aplicar restricciones de secretos y certificados. | No está disponible. |
| Permisos de API | Agregue, quite y reemplace permisos en una aplicación. Una vez agregados los permisos a la aplicación, los usuarios o administradores deben conceder consentimiento a los nuevos permisos. Obtenga más información sobre cómo actualizar los permisos solicitados de una aplicación en microsoft Entra ID. | Se permiten los permisos siguientes: Microsoft Graph offline_access, openid, y User.Read, junto con los permisos delegados Mis API. Solo un administrador puede conceder consentimiento en nombre de la organización. |
| Exponer una API | Defina ámbitos personalizados para restringir el acceso a los datos y la funcionalidad que la API ayuda a proteger. Una aplicación que requiera acceso a partes de esta API puede solicitar consentimiento de usuario o administrador a uno o varios de estos ámbitos. | Igual que los recursos. |
| Propietarios | Los propietarios de las aplicaciones pueden ver y editar el registro de la aplicación. Además, cualquier usuario (que podría no figurar en la lista) con privilegios de administrador para administrar cualquier aplicación (por ejemplo, Administrador de aplicaciones en la nube) puede ver y editar el registro de la aplicación. | Igual que los recursos. |
| Roles y administradores | Los roles administrativos se usan para conceder acceso a acciones con privilegios en Microsoft Entra ID. | Solo se puede usar el rol de Administrador de aplicaciones en la nube para aplicaciones de inquilinos externos. Este rol concede la capacidad de crear y administrar todos los aspectos de los registros de aplicaciones y las aplicaciones empresariales. |
Control de acceso para aplicaciones
En la tabla siguiente se comparan las características de la autorización de la aplicación en cada tipo de entorno de usuario.
| Feature | Inquilino de recursos | Inquilino externo |
|---|---|---|
| Control de acceso basado en roles (RBAC) | Puede definir roles de aplicación para la aplicación y asignar esos roles a usuarios y grupos. Microsoft Entra ID incluye los roles de usuario en el token de seguridad. A continuación, la aplicación puede tomar decisiones de autorización basadas en los valores del token de seguridad. | Igual que los recursos. Obtenga más información sobre el uso del control de acceso basado en rol para las aplicaciones de un inquilino externo. Para conocer las características disponibles, consulte Compatibilidad con grupos y roles de aplicación. |
| Grupos de seguridad | Puede usar grupos de seguridad para implementar RBAC en sus aplicaciones, donde la pertenencia de los usuarios a grupos específicos se interpreta como su pertenencia a roles. Microsoft Entra ID incluye la pertenencia a grupos de usuarios en el token de seguridad. A continuación, la aplicación puede tomar decisiones de autorización basadas en los valores del token de seguridad. | Igual que los recursos. Las reclamaciones opcionales del grupo se limitan al identificador de objeto del grupo. |
| Control de acceso basado en atributos (ABAC) | Puede configurar la aplicación para incluir atributos de usuario en el token de acceso. A continuación, la aplicación puede tomar decisiones de autorización basadas en los valores del token de seguridad. Para obtener más información, consulte Personalización de tokens. | Igual que los recursos. |
| Requerir asignación de usuarios | Cuando se requiere la asignación de usuarios, solo los usuarios que asigne a la aplicación (ya sea a través de la asignación directa de usuarios o en función de la pertenencia a grupos) pueden iniciar sesión. Para obtener más información, consulte Administración de asignaciones de usuarios y grupos en una aplicación. | Igual que los recursos. Para más información, consulte Compatibilidad con grupos y roles de aplicación. |
Aplicaciones empresariales
En la tabla siguiente se comparan las características únicas para el registro de aplicaciones empresariales en el personal y en inquilinos externos.
| Feature | Inquilino de recursos | Inquilino externo |
|---|---|---|
| Galería de aplicaciones | La galería de aplicaciones contiene miles de aplicaciones integradas en microsoft Entra ID. | Elija entre una variedad de aplicaciones integradas. Para buscar una aplicación de asociado, use la barra de búsqueda. El catálogo de la galería de aplicaciones no está disponible. |
| Registro de una aplicación empresarial personalizada | Agregue una aplicación empresarial. | Registre una aplicación SAML en el tenant externo. |
| Asignación de aplicaciones de autoservicio | Permitir que los usuarios detecten automáticamente las aplicaciones. | La asignación de aplicaciones de autoservicio en el portal Mis aplicaciones no está disponible. |
| Proxy de aplicación | El proxy de aplicación de Microsoft Entra proporciona acceso remoto seguro a las aplicaciones web locales. | No está disponible. |
| Desactivación del registro de aplicaciones | Desactive un registro de aplicación para evitar la emisión de tokens mientras conserva la configuración. | Igual que los recursos. |
Características de consentimiento y permisos para aplicaciones empresariales
En la tabla siguiente se muestran qué características de consentimiento y permisos están disponibles para las aplicaciones empresariales en cada tipo de inquilino.
| Feature | Inquilino de recursos | Inquilino externo |
|---|---|---|
| Consentimiento del administrador para aplicaciones empresariales | Puede conceder permisos de administrador a nivel de arrendatario. También puede revisarlos y revocarlos . | Igual que los recursos. |
| Consentimiento del usuario para aplicaciones empresariales | Puede configurar cómo los usuarios dan su consentimiento a las aplicaciones y puede actualizar estos permisos. | Limitado a los permisos que no requieren consentimiento del administrador. |
| Revisión o revocación del consentimiento del administrador | Revise y revoque los permisos. | Use el Centro de administración de Microsoft Entra para revocar el consentimiento del administrador. |
| Revisión o revocación del consentimiento del usuario | Revise y revoque los permisos. | Use Microsoft Graph API o PowerShell para revocar el consentimiento del usuario. |
| Asignación de usuarios o grupos a aplicaciones | Puede administrar el acceso a las aplicaciones en una asignación individual o basada en grupos. No se admiten las pertenencias a grupos anidados. | Igual que los recursos. |
| RBAC para roles de aplicación | Puede definir y asignar roles para el control de acceso específico. | Igual que los recursos. |
Flujos de OpenID Connect y OAuth2
En la tabla siguiente se comparan las características de los flujos de autorización de OAuth 2.0 y OpenID Connect en cada tipo de inquilino.
| Feature | Inquilino de recursos | Inquilino externo |
|---|---|---|
| OpenID Connect | Yes | Yes |
| Código de autorización | Yes | Yes |
| Código de autorización con clave de prueba para Intercambio de código (PKCE) | Yes | Yes |
| Credenciales de cliente | Yes | Aplicaciones v2.0 |
| Autorización del dispositivo | Yes | Yes |
| Flujo con derechos delegados | Yes | Yes |
| Concesión implícita | Yes | Yes |
| Credenciales de contraseña del propietario del recurso | Yes | No; para aplicaciones móviles, use autenticación nativa. |
URL de autoridad en flujos de OpenID Connect y OAuth2
La dirección URL de autoridad indica un directorio desde el que la Biblioteca de autenticación de Microsoft (MSAL) puede solicitar tokens. En el caso de aplicaciones en arrendadores externos, use siempre el formato siguiente: <tenant-name>.ciamlogin.com.
El siguiente JSON muestra un ejemplo de un archivo de aplicación appsettings.json .NET con una dirección URL de autoridad:
{
"AzureAd": {
"Authority": "https://<Enter_the_Tenant_Subdomain_Here>.ciamlogin.com/",
"ClientId": "<Enter_the_Application_Id_Here>"
}
}
Acceso condicional
En la tabla siguiente se comparan las características del acceso condicional de Microsoft Entra en cada tipo de inquilino.
| Feature | Inquilino de recursos | Inquilino externo |
|---|---|---|
| Assignments | Usuarios, grupos e identidades de carga de trabajo. | Incluya todos los usuarios y excluya usuarios y grupos. Para obtener más información, consulte Adición de autenticación multifactor (MFA) a una aplicación. |
| Recursos objetivo | ||
| Condiciones | ||
| Grant | Conceder o bloquear el acceso a los recursos | |
| Sesión | Controles de sesión | Están disponibles los siguientes controles de sesión:
|
Directivas de términos de uso
En la tabla siguiente se comparan las características de las directivas de términos de uso en cada tipo de inquilino.
| Feature | Inquilino de recursos | Inquilino externo |
|---|---|---|
| Directivas de acceso condicional | Consulte los términos de uso de Microsoft Entra. | No está disponible. |
| Registro de autoservicio | No está disponible. | Agregue un atributo necesario vinculado a las directivas de términos de uso en la página de registro. Puede personalizar el hipervínculo para admitir varios idiomas. |
| Página de inicio de sesión | Puede agregar vínculos a la esquina inferior derecha para obtener información de privacidad mediante la personalización de marca de la empresa. | Igual que la fuerza laboral. |
Administración de cuentas
En la tabla siguiente se comparan las características de la administración de usuarios en cada tipo de inquilino. Como se indica en la tabla, determinados tipos de cuenta se crean mediante invitación o registro de autoservicio. Un administrador de usuarios del inquilino también puede crear cuentas a través del Centro de administración.
| Feature | Inquilino de recursos | Inquilino externo |
|---|---|---|
| Tipos de cuentas |
|
|
| Administrar la información del perfil de usuario |
|
Igual que la fuerza laboral, excepto que la sincronización entre entidades no está disponible. |
| Restablecer la contraseña de un usuario | Los administradores pueden restablecer la contraseña de un usuario si el usuario olvida la contraseña, está bloqueado fuera de un dispositivo o nunca ha recibido una contraseña. | Igual que los recursos. |
| Restaurar o quitar un usuario eliminado recientemente | Después de eliminar a un usuario, la cuenta permanece en estado de suspensión durante 30 días. Durante ese período de 30 días, la cuenta de usuario se puede restaurar, junto con todas sus propiedades. | Igual que los recursos. |
| Deshabilitar cuentas | Impedir que el nuevo usuario inicie sesión. | Igual que los recursos. |
Protección con contraseña
En la tabla siguiente se comparan las características de protección con contraseña en cada tipo de inquilino.
| Feature | Inquilino de recursos | Inquilino externo |
|---|---|---|
| Bloqueo inteligente | El bloqueo inteligente ayuda a bloquear a los actores incorrectos que intentan adivinar las contraseñas de los usuarios o usar métodos de fuerza bruta para entrar. | Igual que los recursos. |
| Contraseñas prohibidas globales | La lista global de contraseñas prohibidas bloquea automáticamente las contraseñas poco seguras o comprometidas que se usan normalmente en función del análisis de los datos de seguridad de Microsoft Entra. | Igual que los recursos. |
| Contraseñas prohibidas personalizadas | Use la lista personalizada de contraseñas prohibidas para agregar cadenas específicas para evaluar y bloquear durante la creación y el restablecimiento de contraseñas. | Igual que los recursos. |
Personalización de tokens
En la tabla siguiente se comparan las características de personalización de tokens en cada tipo de inquilino.
| Feature | Inquilino de recursos | Inquilino externo |
|---|---|---|
| Asignación de reclamaciones | Personalización de notificaciones emitidas en JSON Web Token (JWT) para aplicaciones empresariales. | Igual que los recursos. Las notificaciones opcionales deben configurarse a través de Atributos y notificaciones. |
| Transformación de reclamaciones | Aplique una transformación a un atributo de usuario emitido en JWT para aplicaciones empresariales. | Igual que los recursos. |
| Proveedor de reclamaciones personalizado | Usa una extensión de autenticación personalizada que llame a una API REST externa para obtener reclamaciones de sistemas externos. | Igual que los recursos. Más información. |
| Grupos de seguridad | Configurar declaraciones opcionales de grupo. | Configure declaraciones opcionales de grupo, limitadas al identificador de objeto de grupo. |
| Vigencias de tokens | Especifique la duración de los tokens de seguridad emitidos por microsoft Entra ID. | Igual que los recursos. |
| Revocación de sesión y tokens | Un administrador puede invalidar todos los tokens de actualización y la sesión de un usuario. | Igual que los recursos. |
Autenticación única
El inicio de sesión único (SSO) proporciona una experiencia más fluida al reducir el número de veces que se solicita credenciales a un usuario. Los usuarios escriben sus credenciales una vez. Otras aplicaciones pueden reutilizar la sesión establecida en el mismo dispositivo y explorador web sin preguntar más.
En la tabla siguiente se comparan las características del inicio de sesión único en cada tipo de entidad.
| Feature | Inquilino de recursos | Inquilino externo |
|---|---|---|
| Tipos de registro de aplicaciones |
Las aplicaciones empresariales ofrecen más opciones, como el registro basado en contraseña, vinculado y basado en encabezados. |
|
| Nombre de dominio | Cuando se autentica un usuario, se establece una cookie de sesión en el dominio login.microsoftonline.com de Microsoft Entra en el explorador web. |
Cuando se autentica un usuario, se establece una cookie de sesión en el dominio <tenant-name>.ciamlogin.com de identificador externo de Microsoft Entra o en un dominio de dirección URL personalizado en el explorador web. Para asegurarse de que el inicio de sesión único funciona correctamente, use un único dominio de dirección URL. |
| Mantener la sesión abierta | Puede activar o desactivar la opción para mantener la sesión iniciada. | Igual que los recursos. |
| Aprovisionamiento de usuarios | Use el aprovisionamiento automático de usuarios con System for Cross-domain Identity Management (SCIM) para sincronizar cuentas de usuario entre el identificador externo y las aplicaciones admitidas. Este enfoque mantiene los datos de usuario actualizados automáticamente. El aprovisionamiento de usuarios admite consultas diferenciales. Estas consultas solo sincronizan los cambios desde la última actualización. Este comportamiento mejora el rendimiento y reduce la carga del sistema. |
Igual que los recursos. |
| Invalidación de sesión | Escenarios en los que se podría invalidar el inicio de sesión único, lo que requiere la reautenticación:
La aplicación especifica en la solicitud de autorización que se solicite al usuario sus credenciales utilizando el login=prompt parámetro de cadena de consulta en OpenID Connect y el ForceAuthn atributo en la solicitud SAML. |
Igual que los recursos. |
| Acceso condicional | Compruebe la sección Acceso condicional . | Compruebe la sección Acceso condicional . |
| Autenticación nativa de Microsoft Entra | No está disponible. | La autenticación nativa no admite el inicio de sesión único. |
| Cierre de sesión | Cuando una aplicación SAML o OpenID Connect dirige al usuario al punto de conexión de cierre de sesión, Microsoft Entra ID quita e invalida la sesión del usuario desde el explorador. | Igual que los recursos. |
| Cierre de sesión único | Tras cerrar sesión correctamente, Microsoft Entra ID envía una notificación de cierre de sesión a todas las demás aplicaciones SAML y OpenID Connect a las que el usuario ha iniciado sesión. | Igual que los recursos. |
Soluciones de seguridad integradas
Microsoft Entra External ID admite características de seguridad integradas y soluciones de asociados para ayudar a proteger las identidades en todo el ciclo de vida. Estas funcionalidades incluyen protección contra ataques de denegación de servicio distribuido (DDoS), prevención del fraude de registro y supervisión unificada.
Puede habilitar estas soluciones directamente en el identificador externo y acceder a las integraciones de asociados a través de Microsoft Security Store. Este enfoque permite a las organizaciones implementar herramientas de seguridad de confianza rápidamente sin una configuración compleja.
| Feature | Inquilino de recursos | Inquilino externo |
|---|---|---|
| Protección contra fraudes de registro | La experiencia del asistente del Almacén de seguridad no está disponible. | Use Arkose Labs y HUMAN Security para ayudar a protegerse contra el fraude de registro y bloquear los ataques automatizados de bots. |
| Protección contra DDoS y firewall de aplicaciones web (WAF) | La experiencia del asistente del Almacén de seguridad no está disponible. | Use Cloudflare y Akamai para ayudar a protegerse frente a ataques DDoS y a proteger aplicaciones con un WAF. |
| Análisis de seguridad | La experiencia del asistente del Almacén de seguridad no está disponible. | Use Azure Monitor y Microsoft Sentinel para habilitar la supervisión con un solo clic, Log Analytics y la detección avanzada de amenazas. |
Akamai y Cloudflare
Akamai y Cloudflare proporcionan funcionalidades de protección contra DDoS, mitigación de bots y WAF. Estas funcionalidades ayudan a defender aplicaciones contra tráfico malintencionado, automatización abusiva y vulnerabilidades web comunes, como inyección de código SQL, scripting entre sitios y ataques basados en API.
Al integrar cualquiera de los servicios con el identificador externo, puede aplicar estos controles de seguridad delante de los flujos de identidad orientados al cliente. Esta acción mejora la resiliencia y reduce la exposición al relleno de credenciales y a otras amenazas dirigidas a la identidad.
Registros de actividad e informes
En la tabla siguiente se comparan las características de los registros de actividad e informes en varios tipos de inquilinos.
| Feature | Inquilino de recursos | Inquilino externo |
|---|---|---|
| Registros de auditoría | Estos registros proporcionan un informe detallado de todos los eventos registrados en el identificador de Microsoft Entra, incluidas las modificaciones en aplicaciones, grupos y usuarios. | Igual que los recursos. |
| Registros de inicio de sesión | Los registros de inicio de sesión realizan un seguimiento de todas las actividades de inicio de sesión dentro de un inquilino de Microsoft Entra, incluido el acceso a sus aplicaciones y recursos. | Igual que los recursos. |
| Registros de registro (versión preliminar) | No está disponible. | Microsoft Entra External ID registra todos los eventos de registro de autoservicio, incluidos los registros correctos y los intentos con errores. |
| Registros de aprovisionamiento | Los registros de aprovisionamiento proporcionan registros detallados de eventos de aprovisionamiento dentro de un inquilino, como las creaciones, actualizaciones y eliminaciones de cuentas de usuario. | No está disponible. |
| Registros de actividad para directivas de retención | Las directivas de retención de datos de Microsoft Entra determinan cuánto tiempo se almacenan varios tipos de registros (como auditoría, inicio de sesión y registros de aprovisionamiento). | Siete días. |
| Exportación de registros de actividad | Mediante la configuración de diagnóstico de Microsoft Entra ID, puede integrar registros con Azure Monitor, transmitir registros a un centro de eventos o integrarlos con las herramientas de administración de eventos e información de seguridad (SIEM). | Azure Monitor para inquilinos externos (versión preliminar) |
| Informes para la actividad del usuario de la aplicación | No está disponible. | La actividad del usuario de la aplicación proporciona análisis sobre cómo interactúan los usuarios con las aplicaciones registradas en el inquilino. Realiza un seguimiento de las métricas como los usuarios activos, los nuevos usuarios, los inicios de sesión y las tasas de éxito de MFA. |
API de Microsoft Graph
Todas las características que se admiten en inquilinos externos también se admiten para la automatización a través de las Microsoft Graph API. Algunas características que están en versión preliminar en inquilinos externos pueden estar disponibles con carácter general a través de Microsoft Graph. Para obtener más información, consulte Administrar la identidad y el acceso a la red de Microsoft Entra mediante Microsoft Graph.