Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Há duas maneiras de configurar um locatário do Microsoft Entra, dependendo de como uma organização pretende usar o locatário e os recursos que você deseja gerenciar:
- Uma configuração de locatário da força de trabalho destina-se a funcionários, aplicativos empresariais internos e outros recursos organizacionais. Um cliente de força de trabalho utiliza a colaboração B2B no Microsoft Entra External ID para interagir com parceiros de negócios externos e convidados.
- Uma configuração de locatário externo é exclusivamente para cenários de ID externa em que você deseja publicar aplicativos para consumidores ou clientes corporativos.
Este artigo fornece uma comparação detalhada dos recursos e funcionalidades na força de trabalho e locatários externos. Para obter mais informações sobre esses inquilinos, consulte Workforce e as configurações de inquilino externo na ID Externa do Microsoft Entra.
Note
Durante a visualização, recursos ou funcionalidades que exigem uma licença premium não estão disponíveis em locatários externos.
Comparação geral de funcionalidades
A tabela a seguir compara os recursos e capacidades gerais em locatários externos e na força de trabalho.
| Feature | Locatário da força de trabalho | Locatário externo |
|---|---|---|
| Cenário de identidades externas | Permita que parceiros de negócios e outros usuários externos colaborem com sua força de trabalho. Os convidados podem acessar com segurança seus aplicativos de negócios por meio de convites ou inscrição de autoatendimento. | Use a ID Externa para ajudar a proteger seus aplicativos. Consumidores e clientes empresariais podem acessar seus aplicativos de consumidor por meio da inscrição de autoatendimento. Também há suporte para convites. |
| Contas locais | As contas locais são suportadas apenas por membros internos da sua organização. | Há suporte para contas locais para:
|
| Grupos | Use grupos para gerenciar contas administrativas e de usuário. | Use grupos para gerenciar contas administrativas. O suporte para grupos e funções de aplicativo do Microsoft Entra está sendo implementado em fases nos locatários do cliente. Para obter as atualizações mais recentes, confira Suporte a grupos e funções de aplicativo. |
| Funções e administradores | Funções e administradores têm suporte completo em contas administrativas e de usuário. | As funções tem suporte para todos os usuários. Todos os usuários em um locatário externo têm permissões padrão , a menos que tenham uma função de administrador atribuída. |
| Proteção do Entra ID da Microsoft | Este produto fornece detecção de risco contínua para seu locatário do Microsoft Entra. Ele permite que as organizações descubram, investiguem e corrijam riscos baseados em identidade. | Não disponível. |
| Microsoft Entra ID Governance | Esse produto permite que as organizações governem ciclos de vida de acesso e identidade, juntamente com acesso privilegiado seguro. Saiba mais. | Não disponível. |
| Redefinição de senha de autoatendimento | Permitir que os usuários redefinam a senha usando até dois métodos de autenticação. | Permitir que os usuários redefinam sua senha usando email com uma senha única ou SMS. Saiba mais. |
| Personalização de linguagem | Personalize a experiência de entrada com base no idioma do navegador, quando os usuários se autenticarem nos seus aplicativos corporativos baseados na Intranet ou na Web. | Use idiomas para modificar as cadeias de caracteres exibidas para seus clientes como parte do processo de entrada e inscrição. Saiba mais. |
| Atributos personalizados | Use atributos da Extensão do Directory para armazenar mais dados no diretório do Microsoft Entra para objetos de usuário, grupos, detalhes do locatário e entidades de serviço. | Use atributos de extensão do diretório para armazenar mais dados no diretório do cliente para objetos de usuário. Crie atributos de usuário personalizados e adicione-os ao fluxo de usuário de inscrição. Saiba mais. |
| Preços | Obtenha preços de MAU (usuários ativos mensais) para convidados externos por meio da colaboração B2B (UserType=Guest). |
Obtenha MAU pricing para todos os usuários no locatário externo, independentemente da função ou UserType. |
Personalização da interface
A tabela a seguir compara os recursos de personalização de interface em força de trabalho e locatários externos.
| Feature | Locatário da força de trabalho | Locatário externo |
|---|---|---|
| Identidade visual da empresa | Você pode adicionar a identidade visual da empresa que se aplica a todas essas experiências para criar uma experiência de entrada consistente para seus usuários. | O mesmo que a força de trabalho. Saiba mais. |
| Personalização de linguagem | Personalize a experiência de entrada por idioma do navegador. | O mesmo que a força de trabalho. Saiba mais. |
| Nomes de domínio personalizados | Você só pode usar domínios personalizados para contas administrativas. | Você pode usar o recurso de domínio de URL personalizado para que locatários externos possam marcar os pontos de extremidade de entrada do aplicativo com seu próprio nome de domínio. |
| Autenticação nativa para aplicativos móveis | Não disponível. | A autenticação nativa do Microsoft Entra oferece controle total sobre o design das experiências de entrada do aplicativo móvel. |
Adicionar sua própria lógica de negócios
Você pode usar extensões de autenticação personalizadas para personalizar a experiência de autenticação do Microsoft Entra integrando-se a sistemas externos. Uma extensão de autenticação personalizada é essencialmente um ouvinte de eventos. Ao ativá-lo, ele faz uma chamada HTTP para um ponto de extremidade da API REST em que você define sua própria lógica de negócios.
A tabela a seguir compara os eventos de extensões de autenticação personalizadas em locatários externos e de força de trabalho.
| Event | Locatário da força de trabalho | Locatário externo |
|---|---|---|
TokenIssuanceStart |
Adicionar declarações de sistemas externos. | Adicionar declarações de sistemas externos. |
OnAttributeCollectionStart |
Não disponível. | Esse evento ocorre no início da etapa de coleção de atributos da inscrição, antes que a página da coleção de atributos seja renderizada. Você pode adicionar ações como pré-preenchimento de valores e exibição de um erro de bloqueio. Saiba mais. |
OnAttributeCollectionSubmit |
Não disponível. | Esse evento ocorre durante o fluxo de inscrição, depois que o usuário insere e envia atributos. Você pode adicionar ações como validar ou modificar as entradas do usuário. Saiba mais. |
OnOtpSend |
Não disponível. | Configure um provedor de email personalizado para eventos de envio de senha única. Saiba mais. |
Provedores de identidade e métodos de autenticação
A tabela a seguir compara os provedores de identidade e os métodos para autenticação primária e autenticação multifator (MFA) em locatários de força de trabalho e externos.
| Feature | Locatário da força de trabalho | Locatário externo |
|---|---|---|
| Provedores de identidade para usuários externos (autenticação primária) | Para convidados de autoinscrição:
Para convidados:
|
Para usuários de inscrição de autoatendimento (consumidores, clientes empresariais):
Para convidados (versão prévia) por meio de uma função de diretório (por exemplo, administradores):
Você pode convidar usuários externos apenas para fins administrativos. Você não pode usar esse recurso para convidar os clientes a entrar em seus aplicativos. Esse recurso não é compatível com fluxos de usuário do CIAM (gerenciamento de acesso e identidade do cliente). |
| Métodos de autenticação para MFA | Para usuários internos (funcionários e administradores):
Para convidados ou inscrição por autoatendimento: |
Para usuários de inscrição de autoatendimento (consumidores, clientes empresariais):
Para usuários convidados (versão prévia): |
Métodos de autenticação disponíveis na ID Externa
Você pode usar alguns métodos de autenticação como o principal fator quando os usuários entrarem em um aplicativo, como nome de usuário e senha. Outros métodos de autenticação estão disponíveis apenas como um fator secundário. A tabela a seguir descreve quando você pode usar um método de autenticação durante a entrada, inscrição por autoatendimento, redefinição de senha de autoatendimento e MFA na ID Externa.
| Method | Sign-in | Sign-up | Redefinição de senha | MFA |
|---|---|---|---|---|
| Email com senha | 
|
|
||
| Enviar senha de uso único por email |
|
|
|
|
| Autenticação baseada em SMS |
|
|||
| Federação da Apple |
|
|
||
| Federação do Facebook |
|
|
||
| Federação do Google |
|
|
||
| Conta pessoal da Microsoft (OpenID Connect) |
|
|
||
| Federação do Microsoft Entra ID |
|
|
||
| Federação do OpenID Connect |
|
|
||
| Federação SAML/WS-Fed |
|
|
Registro de aplicativo
A tabela a seguir compara os recursos de registro de aplicativo em cada tipo de locatário.
| Feature | Locatário da força de trabalho | Locatário externo |
|---|---|---|
| Protocolo | Os protocolos incluem partes confiantes do SAML, OpenID Connect e OAuth2. | Os protocolos incluem partes confiantes do SAML, OpenID Connect e OAuth2. |
| Tipos de conta com suporte | Os seguintes tipos de conta estão disponíveis:
|
Sempre use contas somente neste diretório organizacional (inquilino único). |
| Plataforma | As seguintes plataformas estão disponíveis:
|
As seguintes plataformas estão disponíveis:
|
| URIs de redirecionamento utilizadas para autenticação | A ID do Microsoft Entra aceita essas URIs como destinos quando retorna respostas de autenticação (tokens) depois de autenticar ou inscrever usuários com êxito. | O mesmo que a força de trabalho. |
| URL de logout do canal frontal para autenticação | Essa é a URL para onde o Microsoft Entra ID envia uma solicitação para que o aplicativo limpe os dados da sessão do usuário. A URL de logoff do canal frontal é necessária para que o logon único funcione corretamente. | O mesmo que a força de trabalho. |
| Concessão implícita e fluxos híbridos para autenticação | Solicite um token diretamente do endpoint de autorização. | O mesmo que a força de trabalho. |
| Certificados e segredos | Várias credenciais estão disponíveis: | O mesmo que a força de trabalho. |
| Rotação de certificados e segredos | Atualize as credenciais do cliente para ajudar a garantir que elas permaneçam válidas e seguras, enquanto os usuários podem continuar a entrar. Você pode girar certificados, segredos e credenciais federadas adicionando um novo e removendo o antigo. | O mesmo que a força de trabalho. |
| Política para certificados e segredos | Configure as políticas de gerenciamento de aplicativos para impor restrições a segredos e certificados. | Não disponível. |
| Permissões da API | Adicionar, remover e substituir permissões a um aplicativo. Após as permissões serem adicionadas ao seu aplicativo, os usuários ou administradores precisam dar o consentimento de acesso às novas permissões. Saiba mais sobre como atualizar as permissões solicitadas de um aplicativo na ID do Microsoft Entra. | As permissões a seguir são permitidas: Microsoft Graph offline_access, openid, e User.Read, juntamente com as suas permissões delegadas de Minhas APIs. Apenas um administrador pode fornecer consentimento em nome da organização. |
| Expor uma API | Defina escopos personalizados para restringir o acesso a dados e funcionalidades que a API ajuda a proteger. Um aplicativo que requer acesso a partes dessa API pode solicitar consentimento de usuário ou administrador para um ou mais desses escopos. | O mesmo que a força de trabalho. |
| Owners | Os proprietários de aplicativos podem exibir e editar o registro de aplicativo. Além disso, qualquer usuário (que pode não estar listado) com privilégios administrativos para gerenciar qualquer aplicativo (por exemplo, Administrador de aplicativos de nuvem) pode visualizar e editar o registro de aplicativo. | O mesmo que a força de trabalho. |
| Funções e administradores | Funções administrativas são usadas para conceder acesso a ações privilegiadas no Microsoft Entra ID. | Somente a função Administrador de aplicativos de nuvem pode ser usada para aplicativos em locatários externos. Essa função concede a capacidade de criar e gerenciar todos os aspectos dos registros de aplicativos e aplicativos empresariais. |
Controle de acesso para aplicativos
A tabela a seguir compara os recursos de autorização de aplicativo em cada tipo de locatário.
| Feature | Locatário da força de trabalho | Locatário externo |
|---|---|---|
| RBAC (controle de acesso baseado em função) | Você pode definir funções de aplicativo para seu aplicativo e atribuir essas funções a usuários e grupos. A ID do Microsoft Entra inclui as funções de usuário no token de segurança. Em seguida, seu aplicativo pode tomar decisões de autorização com base nos valores no token de segurança. | O mesmo que a força de trabalho. Saiba mais sobre como usar o controle de acesso baseado em função para aplicativos em um locatário externo. Para obter recursos disponíveis, consulte o suporte a grupos e funções de aplicativo. |
| Grupos de segurança | Você pode usar grupos de segurança para implementar o RBAC em seus aplicativos, em que as associações de usuários em grupos específicos são interpretadas como suas associações de função. A ID do Microsoft Entra inclui a associação ao grupo de usuários no token de segurança. Em seguida, seu aplicativo pode tomar decisões de autorização com base nos valores no token de segurança. | O mesmo que a força de trabalho. As declarações opcionais do grupo são limitadas à ID do objeto de grupo. |
| ABAC (controle de acesso baseado em atributo) | Você pode configurar o aplicativo para incluir atributos de usuário no token de acesso. Em seguida, seu aplicativo pode tomar decisões de autorização com base nos valores no token de segurança. Para obter mais informações, consulte a personalização de token. | O mesmo que a força de trabalho. |
| Exigir atribuição de usuário | Quando a atribuição de usuário é necessária, somente os usuários que você atribui ao aplicativo (por meio de atribuição direta de usuário ou com base na associação de grupo) podem entrar. Para obter mais informações, consulte Gerenciar atribuições de usuário e grupo para um aplicativo. | O mesmo que a força de trabalho. Para obter detalhes, consulte o suporte a grupos e funções de aplicativo. |
Aplicativos empresariais
A tabela a seguir compara os recursos exclusivos para o registro de aplicativos empresariais em locatários de força de trabalho e externos.
| Feature | Locatário da força de trabalho | Locatário externo |
|---|---|---|
| Galeria de aplicativos | A galeria de aplicativos contém milhares de aplicativos integrados à ID do Microsoft Entra. | Escolha uma gama de aplicativos integrados. Para encontrar um aplicativo parceiro, use a barra de pesquisa. O catálogo da galeria de aplicativos não está disponível. |
| Registrar um aplicativo empresarial personalizado | Adicione um aplicativo empresarial. | Registre um aplicativo SAML em seu locatário externo. |
| Atribuição de aplicativo de autoatendimento | Permitir que os usuários descubram aplicativos automaticamente. | A atribuição de aplicativo de autoatendimento não está disponível no portal Meus Aplicativos. |
| Proxy de aplicativo | O proxy de aplicativo do Microsoft Entra fornece acesso remoto seguro a aplicativos Web locais. | Não disponível. |
| Desativar o registro do aplicativo | Desativar um registro de aplicativo para impedir a emissão de token, preservando a configuração. | O mesmo que a força de trabalho. |
Recursos de consentimento e permissão para aplicativos empresariais
A tabela a seguir mostra quais recursos de consentimento e permissão estão disponíveis para aplicativos empresariais em cada tipo de locatário.
| Feature | Locatário da força de trabalho | Locatário externo |
|---|---|---|
| Consentimento do administrador para aplicativos empresariais | Você pode conceder permissões de administrador em todo o locatário. Você também pode revisá-los e revogá-los . | O mesmo que a força de trabalho. |
| Consentimento do usuário para aplicativos empresariais | Você pode configurar como os usuários consentem com aplicativos e você pode atualizar essas permissões. | Limitado a permissões que não exigem consentimento do administrador. |
| Examinar ou revogar o consentimento do administrador | Revisar e revogar as permissões. | Use o Centro de administração do Microsoft Entra para revogar o consentimento do administrador. |
| Examinar ou revogar o consentimento do usuário | Revisar e revogar as permissões. | Use a API do Microsoft Graph ou o PowerShell para revogar o consentimento do usuário. |
| Atribuir usuários ou grupos a aplicativos | Você pode gerenciar o acesso a aplicativos em uma atribuição individual ou baseada em grupo. Associações de Grupos aninhados não têm suporte. | O mesmo que a força de trabalho. |
| RBAC para funções de aplicativo | Você pode definir e atribuir funções para controle de acesso refinado. | O mesmo que a força de trabalho. |
Fluxos do OpenID Connect e OAuth2
A tabela a seguir compara os recursos para fluxos de autorização do OAuth 2.0 e do OpenID Connect em cada tipo de locatário.
| Feature | Locatário da força de trabalho | Locatário externo |
|---|---|---|
| OpenID Connect | Yes | Yes |
| Código de autorização | Yes | Yes |
| Código de autorização com Chave de Prova para Troca de Códigos (PKCE) | Yes | Yes |
| Credenciais de cliente | Yes | Aplicativos v2.0 |
| Autorização do dispositivo | Yes | Yes |
| Fluxo On-Behalf-Of | Yes | Yes |
| Concessão implícita | Yes | Yes |
| Credenciais da senha de proprietário do recurso | Yes | Não; para aplicativos móveis, use autenticação nativa |
URL de Autoridade nos Fluxos do OpenID Connect e OAuth2
A URL de autoridade indica um diretório do qual a MSAL (Biblioteca de Autenticação da Microsoft) pode solicitar tokens. Para aplicativos em locatários externos, sempre use o seguinte formato: <tenant-name>.ciamlogin.com.
O JSON a seguir mostra um exemplo de um arquivo de aplicativo appsettings.json .NET com uma URL de autoridade:
{
"AzureAd": {
"Authority": "https://<Enter_the_Tenant_Subdomain_Here>.ciamlogin.com/",
"ClientId": "<Enter_the_Application_Id_Here>"
}
}
Acesso Condicional
A tabela a seguir compara os recursos do Acesso Condicional do Microsoft Entra em cada tipo de locatário.
| Feature | Locatário da força de trabalho | Locatário externo |
|---|---|---|
| Assignments | Usuários, grupos e identidades de carga de trabalho. | Inclua todos os usuários e exclua usuários e grupos. Para obter mais informações, consulte Adicionar MFA (autenticação multifator) a um aplicativo. |
| Recursos de destino | ||
| Conditions | ||
| Grant | Conceder ou bloquear o acesso aos recursos | |
| Session | Controlos de sessão | Os seguintes controles de sessão estão disponíveis:
|
Políticas de termos de uso
A tabela a seguir compara os recursos de políticas de termos de uso em cada tipo de locatário.
| Feature | Locatário da força de trabalho | Locatário externo |
|---|---|---|
| Políticas de acesso condicional | Consulte os termos de uso do Microsoft Entra. | Não disponível. |
| Inscrição por autoatendimento | Não disponível. | Adicione um atributo necessário vinculado às políticas de termos de uso na página de inscrição. Você pode personalizar o hiperlink para dar suporte a vários idiomas. |
| Página de login | Você pode adicionar links ao canto inferior direito para obter informações de privacidade usando a identidade visual da empresa. | O mesmo que a força de trabalho. |
Gerenciamento de contas
A tabela a seguir compara os recursos de gerenciamento de usuário em cada tipo de locatário. Conforme observado na tabela, determinados tipos de conta são criados por meio de convite ou inscrição de autoatendimento. Um administrador de usuário no locatário também pode criar contas por meio do centro de administração.
| Feature | Locatário da força de trabalho | Locatário externo |
|---|---|---|
| Tipos de contas |
|
|
| Gerenciar informações de perfil do usuário |
|
O mesmo que a força de trabalho, exceto que a sincronização entre locatários não está disponível. |
| Redefinir a senha de um usuário | Os administradores podem redefinir a senha de um usuário se o usuário esquecer a senha, estiver bloqueado de um dispositivo ou nunca receber uma senha. | O mesmo que a força de trabalho. |
| Restaurar ou remover um usuário excluído recentemente | Depois que você excluir um usuário, a conta permanecerá em um estado suspenso por 30 dias. Durante essa janela de 30 dias, a conta do usuário pode ser restaurada, juntamente com todas as suas propriedades. | O mesmo que a força de trabalho. |
| Desabilitar contas | Impedir que o novo usuário entre. | O mesmo que a força de trabalho. |
Proteção de senha
A tabela a seguir compara os recursos de proteção por senha em cada tipo de locatário.
| Feature | Locatário da força de trabalho | Locatário externo |
|---|---|---|
| Bloqueio inteligente | O bloqueio inteligente ajuda a bloquear atores ruins que tentam adivinhar as senhas dos usuários ou usam métodos de força bruta para entrar. | O mesmo que a força de trabalho. |
| Senhas proibidas globais | A lista global de senhas proibidas bloqueia automaticamente senhas fracas ou comprometidas comumente usadas com base na análise dos dados de segurança do Microsoft Entra. | O mesmo que a força de trabalho. |
| Senhas proibidas personalizadas | Use a lista de senhas proibidas personalizadas para adicionar cadeias de caracteres específicas para avaliar e bloquear durante a criação e a redefinição de senha. | O mesmo que a força de trabalho. |
Personalização de token
A tabela a seguir compara os recursos de personalização de token em cada tipo de locatário.
| Feature | Locatário da força de trabalho | Locatário externo |
|---|---|---|
| Mapeamento de declarações | Personalize as declarações emitidas no token Web JSON (JWT) para aplicativos empresariais. | O mesmo que a força de trabalho. Declarações opcionais devem ser configuradas por meio de Atributos e declarações. |
| Transformação de afirmações | Aplique uma transformação a um atributo de usuário emitido no JWT para aplicativos empresariais. | O mesmo que a força de trabalho. |
| Provedor de declarações personalizadas | Use uma extensão de autenticação personalizada que chama uma API REST externa para buscar declarações de sistemas externos. | O mesmo que a força de trabalho. Saiba mais. |
| Grupos de segurança | Configurar reivindicações opcionais de grupo. | Configure declarações opcionais de grupo, limitadas à ID do objeto de grupo. |
| Tempo de vida do token | Especifique o tempo de vida dos tokens de segurança emitidos pela ID do Microsoft Entra. | O mesmo que a força de trabalho. |
| Revogação de sessão e de token | Um administrador pode invalidar todos os tokens de atualização e sessão para um usuário. | O mesmo que a força de trabalho. |
Logon único
O SSO (logon único) fornece uma experiência mais perfeita, reduzindo o número de vezes que um usuário é solicitado a obter credenciais. Os usuários inserem suas credenciais uma vez. Outros aplicativos podem reutilizar a sessão estabelecida no mesmo dispositivo e navegador da Web sem solicitar mais informações.
A tabela a seguir compara os recursos do SSO em cada tipo de locatário.
| Feature | Locatário da força de trabalho | Locatário externo |
|---|---|---|
| Tipos de registro de aplicativo |
Os aplicativos empresariais oferecem mais opções, como registro baseado em senha, vinculado e baseado em cabeçalho. |
|
| Nome de domínio | Quando um usuário é autenticado, um cookie de sessão é definido no domínio login.microsoftonline.com do Microsoft Entra no navegador da Web. |
Quando um usuário é autenticado, um cookie de sessão é definido no domínio <tenant-name>.ciamlogin.com da ID Externa do Microsoft Entra ou em um domínio de URL personalizado no navegador da Web. Para garantir que o SSO funcione corretamente, use um único domínio de URL. |
| Mantenha-se conectado | Você pode ativar ou desativar a opção para permanecer conectado. | O mesmo que a força de trabalho. |
| Provisionamento do usuário | Use o provisionamento automático de usuário com o SCIM (System for Cross-domain Identity Management) para sincronizar contas de usuário entre id externa e aplicativos com suporte. Essa abordagem mantém os dados do usuário atualizados automaticamente. O provisionamento de usuário dá suporte a consultas diferenciais. Essas consultas sincronizam apenas as alterações desde a última atualização. Esse comportamento melhora o desempenho e reduz a carga do sistema. |
O mesmo que a força de trabalho. |
| Invalidação de sessão | Cenários em que o SSO pode ser invalidado, o que requer reautenticação:
O aplicativo especifica na solicitação de autorização para solicitar ao usuário suas credenciais usando o login=prompt parâmetro de cadeia de caracteres de consulta no OpenID Connect e o ForceAuthn atributo na solicitação SAML. |
O mesmo que a força de trabalho. |
| Acesso Condicional | Verifique a seção Acesso Condicional . | Verifique a seção Acesso Condicional . |
| Autenticação nativa do Microsoft Entra | Não disponível. | A autenticação nativa não dá suporte ao SSO. |
| Encerrar sessão | Quando um aplicativo SAML ou OpenID Connect direciona o usuário para o endpoint de logout, o Microsoft Entra ID remove e invalida a sessão do usuário do navegador. | O mesmo que a força de trabalho. |
| Logout único | Após a saída bem-sucedida, a ID do Microsoft Entra envia uma notificação de saída para todos os outros aplicativos SAML e OpenID Connect aos quais o usuário está conectado. | O mesmo que a força de trabalho. |
Soluções de segurança integradas
A ID Externa do Microsoft Entra dá suporte a recursos de segurança integrados e soluções de parceiros para ajudar a proteger identidades em todo o ciclo de vida. Esses recursos incluem proteção contra ataques de DDoS (negação de serviço distribuído), prevenção de fraude de inscrição e monitoramento unificado.
Você pode habilitar essas soluções diretamente em ID externa e acessar integrações de parceiros por meio da Microsoft Security Store. Essa abordagem permite que as organizações implantem ferramentas de segurança confiáveis rapidamente sem uma configuração complexa.
| Feature | Locatário da força de trabalho | Locatário externo |
|---|---|---|
| Proteção contra fraudes de inscrição | A experiência do assistente do Repositório de Segurança não está disponível. | Use o Arkose Labs e a HUMAN Security para ajudar a proteger contra fraudes de inscrição e bloquear ataques automatizados de bot. |
| Proteção contra WAF (firewall de aplicativo Web) e DDoS | A experiência do assistente do Repositório de Segurança não está disponível. | Use o Cloudflare e o Akamai para ajudar a proteger contra ataques DDoS e aplicativos seguros com um WAF. |
| Análise de segurança | A experiência do assistente do Repositório de Segurança não está disponível. | Use o Azure Monitor e o Microsoft Sentinel para habilitar o monitoramento com um clique, o Log Analytics e a detecção avançada de ameaças. |
Akamai e Cloudflare
O Akamai e o Cloudflare fornecem proteção contra DDoS, mitigação de bot e funcionalidades de WAF. Esses recursos ajudam a defender aplicativos contra tráfego mal-intencionado, automação abusiva e vulnerabilidades comuns da Web, como injeção de SQL, scripts entre sites e ataques baseados em API.
Ao integrar um dos serviços à ID Externa, você pode aplicar esses controles de segurança nos fluxos de identidade voltados para o cliente. Essa ação melhora a resiliência e reduz a exposição ao recheio de credenciais e a outras ameaças direcionadas à identidade.
Logs e relatórios de atividades
A tabela a seguir compara os recursos de logs de atividades e relatórios em vários tipos de locatários.
| Feature | Locatário da força de trabalho | Locatário externo |
|---|---|---|
| Logs de auditoria | Esses logs fornecem um relatório detalhado de todos os eventos registrados na ID do Microsoft Entra, incluindo modificações em aplicativos, grupos e usuários. | O mesmo que a força de trabalho. |
| Registros de entrada | Os logs de entrada acompanham todas as atividades de entrada em um tenant do Microsoft Entra, incluindo acesso aos seus aplicativos e recursos. | O mesmo que a força de trabalho. |
| Logs de inscrição (versão prévia) | Não disponível. | A ID Externa do Microsoft Entra registra todos os eventos de autoinscrição, incluindo tanto inscrições bem-sucedidas quanto tentativas fracassadas. |
| Logs de provisionamento | Os logs de provisionamento fornecem registros detalhados de eventos de provisionamento em um locatário, como criações de conta de usuário, atualizações e exclusões. | Não disponível. |
| Logs de atividades para políticas de retenção | As políticas de retenção de dados do Microsoft Entra determinam por quanto tempo vários tipos de logs (como auditoria, entrada e logs de provisionamento) são armazenados. | Sete dias. |
| Exportar logs de atividades | Usando as configurações de diagnóstico na ID do Microsoft Entra, você pode integrar logs ao Azure Monitor, transmitir logs a um hub de eventos ou integrar-se às ferramentas de SIEM (gerenciamento de eventos e informações de segurança). | Azure Monitor para locatários externos (versão prévia). |
| Relatórios de atividade do usuário para o aplicativo | Não disponível. | A atividade do usuário do aplicativo fornece análise sobre como os usuários interagem com aplicativos registrados em seu locatário. Ele rastreia métricas como usuários ativos, novos usuários, entradas e taxas de sucesso de MFA. |
APIs do Microsoft Graph
Todos os recursos com suporte em locatários externos também têm suporte para automação por meio de APIs do Microsoft Graph. Alguns recursos que estão em versão prévia em locatários externos podem estar em disponibilidade geral por meio do Microsoft Graph. Para obter mais informações, consulte Gerenciar a identidade do Microsoft Entra e o acesso à rede usando o Microsoft Graph.