Notatka
Dostęp do tej strony wymaga autoryzacji. Może spróbować zalogować się lub zmienić katalogi.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Dotyczy: 
Dzierżawy zewnętrzne (dowiedz się więcej)
Tożsamość zewnętrzna Microsoft Entra obejmuje rozwiązanie zarządzania tożsamościami i dostępem klienta (CIAM) Microsoft. W przypadku organizacji i firm, które chcą udostępniać swoje aplikacje klientom i klientom biznesowym, identyfikator zewnętrzny ułatwia dodawanie funkcji CIAM, takich jak rejestracja samoobsługowa, spersonalizowane środowiska logowania i zarządzanie kontami klientów. Ponieważ te możliwości CIAM są wbudowane w Microsoft Entra ID, możesz również korzystać z funkcji platformy, takich jak zwiększone zabezpieczenia, zgodność i skalowalność.
Utwórz dedykowaną dzierżawę zewnętrzną
Podczas rozpoczynania pracy z Identyfikatorem Zewnętrznym dla aplikacji przeznaczonych dla klientów indywidualnych i biznesowych należy najpierw utworzyć tenant dla aplikacji, zasobów i katalogu kont użytkowników.
Jeśli pracowałeś z Microsoft Entra ID, to już wiesz, jak korzystać z instancji Microsoft Entra, która zawiera katalog pracowników, aplikacje wewnętrzne oraz inne zasoby organizacyjne. Za pomocą identyfikatora zewnętrznego tworzysz oddzielnego dzierżawcę zgodnego ze standardowym modelem Microsoft Entra, lecz skonfigurowanego dla scenariuszy zewnętrznych. Ten podmiot zewnętrzny zawiera:
Katalog: katalog przechowuje poświadczenia klienta i dane profilu klienta. Gdy konsument lub klient biznesowy zarejestruje się w Twojej aplikacji, zostanie utworzone dla niego konto lokalne w Twoim zewnętrznym dzierżawcy.
Rejestracje aplikacji: Microsoft Entra ID wykonuje zarządzanie tożsamościami i dostępem tylko dla zarejestrowanych aplikacji. Zarejestrowanie aplikacji ustanawia relację zaufania i umożliwia integrację aplikacji z Microsoft Entra ID. W dzierżawach zewnętrznych można rejestrować aplikacje korzystające z protokołu OpenID Connect (OIDC) lub Security Assertion Markup Language (SAML) na potrzeby uwierzytelniania i logowania jednokrotnego. Proces rejestracji aplikacji jest zoptymalizowany pod kątem aplikacji opartych na protokole OIDC. Aby zarejestrować aplikację SAML, zamiast tego użyj funkcji Aplikacje dla przedsiębiorstw.
Zewnętrzne przepływy użytkowników: Lokator zewnętrzny zawiera doświadczenia samoobsługowe związane z tworzeniem konta, logowaniem oraz resetowaniem haseł, które chcesz udostępnić swoim klientom.
Rozszerzenia: jeśli musisz dodać atrybuty użytkownika i dane z systemów zewnętrznych, możesz utworzyć niestandardowe rozszerzenia uwierzytelniania dla przepływów użytkowników.
Metody logowania: Możesz włączyć różne opcje logowania do aplikacji, w tym nazwę użytkownika i hasło, kod jednorazowy oraz Google, Facebook, Apple, Microsoft Entra ID lub własne tożsamości OIDC.
Klucze szyfrowania: dodaj klucze szyfrowania i zarządzaj nimi na potrzeby podpisywania i weryfikowania tokenów, wpisów tajnych klienta, certyfikatów i haseł.
Dowiedz się więcej o password i jednorazowym kodzie dostępu logowania oraz o Google, Facebook, Apple, Microsoft Entra ID i OIDC federacji.
Istnieją dwa typy kont użytkowników, którymi można zarządzać w dzierżawie zewnętrznej:
Konto klienta: konta reprezentujące klientów, którzy uzyskują dostęp do aplikacji.
Konto administratora: Użytkownicy posiadający konta służbowe mogą zarządzać zasobami w dzierżawie, a jeśli mają rolę administratora, mogą także zarządzać samymi dzierżawami. Użytkownicy z kontami służbowymi mogą tworzyć nowe konta konsumentów, resetować hasła, blokować/odblokowywać konta oraz ustawiać uprawnienia lub przypisywać konto do grupy zabezpieczeń.
Dowiedz się więcej o zarządzaniu kontami klientów i kontami administratora w najemcy zewnętrznym.
Dodawanie dostosowanego logowania
Identyfikator zewnętrzny jest przeznaczony dla firm, które chcą udostępniać aplikacje swoim klientom przy użyciu platformy Microsoft Entra na potrzeby tożsamości i dostępu.
Dodawanie stron rejestracji i logowania do aplikacji. Szybkie dodawanie intuicyjnych, przyjaznych dla użytkownika środowisk rejestracji i logowania dla aplikacji klienta. Za pomocą jednej tożsamości klient może bezpiecznie uzyskać dostęp do wszystkich aplikacji, z których chcesz, aby korzystał.
Dodawanie logowania jednokrotnego za pomocą tożsamości społecznościowych i tożsamości przedsiębiorstwa. Klienci mogą wybrać tożsamość społecznościową, przedsiębiorstwa lub zarządzaną, aby logować się za pomocą nazwy użytkownika i hasła, poczty e-mail lub jednorazowego kodu dostępu.
Dodaj elementy identyfikacji wizualnej swojej firmy do strony rejestracji. Dostosuj wygląd i działanie środowisk rejestracji i logowania, w tym zarówno środowisko domyślne, jak i środowisko dla określonych języków przeglądarki.
Łatwe dostosowywanie i rozszerzanie przepływów rejestracji. Dostosuj przepływy użytkowników związane z tożsamością do własnych potrzeb. Wybierz atrybuty, które chcesz zbierać od klienta podczas rejestracji, lub dodaj własne atrybuty niestandardowe. Jeśli informacje, których potrzebuje aplikacja, znajdują się w systemie zewnętrznym, utwórz niestandardowe rozszerzenia uwierzytelniania w celu zbierania i dodawania danych do tokenów uwierzytelniania.
Integrowanie wielu platform i języków aplikacji. Dzięki Microsoft Entra można szybko skonfigurować i dostarczać bezpieczne, oznaczone marką przepływy uwierzytelniania dla wielu typów aplikacji, platform i języków.
Użyj uwierzytelniania natywnego dla aplikacji. Twórz bezproblemowe środowiska uwierzytelniania dla aplikacji mobilnych i komputerowych przy użyciu biblioteki Microsoft Authentication Library (MSAL) dla systemów iOS i Android.
Zapewnienie samoobsługowego zarządzania kontami. Klienci mogą samodzielnie rejestrować się do usług online, zarządzać swoim profilem, usuwać swoje konto, zarejestrować się do metody uwierzytelniania wieloskładnikowego (MFA) lub zresetować hasło bez pomocy administratora lub pomocy technicznej.
Wyrażanie zgody na warunki użytkowania i zasady ochrony prywatności. Podczas rejestracji możesz monitować użytkowników o zaakceptowanie warunków i postanowień. Za pomocą atrybutów użytkownika klienta można dodawać pola wyboru do formularza rejestracji i dołączać linki do warunków użytkowania i zasad ochrony prywatności.
Dowiedz się więcej na temat dodawania logowania i rejestracji do aplikacji oraz dostosowywania wyglądu i działania logowania.
Projektowanie przepływów użytkowników na potrzeby rejestracji samoobsługowej
Możesz utworzyć proste środowisko rejestracji i logowania dla klientów, dodając przepływ użytkownika do aplikacji. Przepływ użytkownika definiuje serię kroków rejestracji, z których korzystają klienci, oraz metod logowania, których mogą używać (takich jak adres e-mail i hasło, jednorazowe kody dostępu, konta społecznościowe z Google, Facebook lub Apple, Microsoft Entra ID federacji, a także custom OIDC dostawcy tożsamości). Możesz również zbierać informacje od klientów podczas rejestracji, wybierając z serii wbudowanych atrybutów użytkownika lub dodając własne atrybuty niestandardowe.
Kilka ustawień przepływu użytkownika pozwala kontrolować sposób, w jaki klient rejestruje się w aplikacji, w tym:
- Metody logowania i zewnętrzni dostawcy tożsamości
- Atrybuty zbierane od rejestrującego się klienta, takie jak imię, kod pocztowy lub kraj/region zamieszkania
- Branding firmy i dostosowywanie języka
Aby uzyskać szczegółowe informacje na temat konfigurowania przepływu użytkownika, zobacz Tworzenie przepływu rejestracji i logowania dla klientów.
Dodawanie własnej logiki biznesowej
Identyfikator zewnętrzny został zaprojektowany pod kątem elastyczności, umożliwiając definiowanie akcji w określonych punktach przepływu uwierzytelniania. Za pomocą niestandardowego rozszerzenia uwierzytelniania można dodawać oświadczenia z systemów zewnętrznych do tokenu tuż przed wystawieniem go do aplikacji.
Dowiedz się więcej na temat dodawania własnej logiki biznesowej z niestandardowymi rozszerzeniami uwierzytelniania.
Microsoft Entra zabezpieczenia i niezawodność
Identyfikator zewnętrzny reprezentuje zbieżność cech biznesowo-konsumenckich (B2C) na platformie Microsoft Entra. Możesz korzystać z funkcji platformy, takich jak większe bezpieczeństwo, zgodność z przepisami oraz możliwość skalowania procesów zarządzania tożsamościami i dostępem.
Dostęp warunkowy
Dostęp warunkowy usługi Microsoft Entra integruje sygnały, aby podejmować decyzje i egzekwować zasady zabezpieczeń. Najprostsze zasady dostępu warunkowego to instrukcje if-then; jeśli użytkownik chce uzyskać dostęp do aplikacji, musi wykonać akcję.
Zasady dostępu warunkowego są wymuszane po zakończeniu pierwszoetapowego uwierzytelniania przez użytkownika. Jeśli na przykład poziom ryzyka logowania użytkownika jest wysoki, musi wykonać uwierzytelnianie wieloskładnikowe, aby uzyskać dostęp. Alternatywnie najbardziej restrykcyjnym podejściem jest zablokowanie dostępu do aplikacji.
Uwierzytelnianie wieloskładnikowe (MFA)
Microsoft Entra uwierzytelnianie wieloskładnikowe pomaga chronić dostęp do danych i aplikacji przy zachowaniu prostoty dla użytkowników. Tożsamość zewnętrzna Microsoft Entra integruje się bezpośrednio z Microsoft Entra MSU, co umożliwia zwiększenie poziomu bezpieczeństwa podczas rejestracji i logowania poprzez wymóg drugiej formy uwierzytelniania. Możesz dostosować uwierzytelnianie wieloskładnikowe w zależności od poziomu bezpieczeństwa, które chcesz zastosować do swoich aplikacji. Rozważ następujące scenariusze:
Oferujesz jedną aplikację klientom i chcesz włączyć uwierzytelnianie wieloskładnikowe dla dodatkowej warstwy zabezpieczeń. Uwierzytelnianie wieloskładnikowe można włączyć w zasadach dostępu warunkowego przeznaczonych dla wszystkich użytkowników i Twojej aplikacji.
Oferujesz klientom wiele aplikacji, ale nie wymagasz uwierzytelniania wieloskładnikowego dla każdej aplikacji. Na przykład klient może zalogować się do aplikacji ubezpieczenia samochodowego, używając konta społecznościowego lub lokalnego, ale musi zweryfikować numer telefonu przed uzyskaniem dostępu do aplikacji ubezpieczenia domowego zarejestrowanej w tym samym katalogu. W zasadach dostępu warunkowego można objąć wszystkich użytkowników, ale wymusić uwierzytelnianie wieloskładnikowe tylko dla tych aplikacji, które wybierzesz.
Dowiedz się więcej na temat uwierzytelniania wieloskładnikowego w dzierżawach zewnętrznych lub zobacz, jak włączyć uwierzytelnianie wieloskładnikowe.
Uwierzytelnianie maszynowo-maszynowe (M2M)
Uwierzytelnianie typu maszyna-maszyna (M2M) używa przepływu poświadczeń klienta OAuth 2.0 aby umożliwić aplikacji uwierzytelnianie bezpośrednio za pomocą Microsoft Entra ID. Ten przepływ jest przeznaczony dla scenariuszy bez interakcji z użytkownikiem, w których usługi zaplecza muszą bezpiecznie żądać tokenów dostępu i wywoływać interfejsy API we własnym imieniu.
W przypadku aplikacji Tożsamość zewnętrzna Microsoft Entra można skonfigurować uwierzytelnianie M2M przy użyciu przepływu poświadczeń klienta z kluczem tajnym klienta lub certyfikatem. Takie podejście umożliwia aplikacji uwierzytelnianie się jako sama podczas uzyskiwania dostępu do interfejsów API. Aby włączyć uwierzytelnianie M2M, należy użyć dodatku M2M Premium. Przejrzyj politykę użycia dodatkowych opcji premium swojej organizacji, w celu zrozumienia implikacji kosztowych oraz zapewnienia zgodności z wewnętrznymi zasadami ładu korporacyjnego i wymaganiami licencyjnymi.
Microsoft Entra niezawodność i skalowalność
Twórz wysoce dostosowane środowiska logowania i zarządzaj kontami klientów na dużą skalę. Zapewnij dobrą obsługę klienta, wykorzystując wydajność, odporność, ciągłość działania, niskie opóźnienia i dużą przepustowość Microsoft Entra.
Analizowanie aktywności i zaangażowania użytkowników
Funkcja aktywności użytkowników aplikacji w obszarze Użytkowanie i wgląd udostępnia analizę danych na temat aktywności i zaangażowania użytkowników zarejestrowanych aplikacji w dzierżawie. Ta funkcja umożliwia wyświetlanie, wykonywanie zapytań i analizowanie danych aktywności użytkownika w centrum administracyjne Microsoft Entra. Może to pomóc w odkryciu cennych szczegółowych informacji, które mogą pomóc w podejmowaniu strategicznych decyzji i napędzać rozwój firmy.
Dowiedz się więcej o dashboardach aktywności użytkowników aplikacji, które są dostępne w zewnętrznej dzierżawie.
Informacje o usłudze Azure AD B2C
1 maja 2025 r. Azure AD B2C nie jest już dostępny do zakupu przez nowych klientów (dowiedz się więcej w FAQ). Tożsamość zewnętrzna Microsoft Entra to rozwiązanie CIAM nowej generacji z Microsoft, z wszystkimi nowymi funkcjami i możliwościami tworzonymi na tej platformie. Jeśli jesteś istniejącym klientem usługi AZURE AD B2C, zobacz Planowanie migracji z usługi Azure AD B2C do identyfikatora zewnętrznego aby rozpocząć pracę.
Dalsze kroki
- Zobacz nasze szkolenia, pokazy na żywo i filmy wideo.
- Dowiedz się więcej o planowaniu dla Tożsamość zewnętrzna Microsoft Entra.
- Zobacz również Tożsamość zewnętrzna Microsoft Entra Developer Center aby uzyskać najnowszą zawartość i zasoby dla deweloperów.