Mandanten in Microsoft Entra ID
Microsoft Entra ID strukturiert Objekte wie Benutzende und Apps in Gruppen, die als Mandanten bezeichnet werden. Mandanten ermöglichen es einem Administrator, Richtlinien für die Benutzer innerhalb der Organisation und die Apps festzulegen, die die Organisation besitzt, um ihre Sicherheits- und Betriebsrichtlinien zu erfüllen.
Wer kann sich bei Ihrer App anmelden?
Wenn es um die Entwicklung von Apps geht, können Entwickelnde bei der App-Registrierung auswählen, ob ihre App für einen einzelnen oder mehrere Mandanten konfiguriert werden soll.
- Einzelinstanzenfähige Apps sind nur in dem Mandanten verfügbar, in dem sie registriert wurden. Dieser wird auch als Basismandant bezeichnet.
- Apps für mehrere Mandanten sind für Benutzende sowohl in ihrem Basismandanten als auch in anderen Mandanten verfügbar.
Wenn Sie eine Anwendung registrieren, können Sie sie so konfigurieren, dass sie entweder einzelmandantenfähig oder mehrmandantenfähig ist, indem Sie die Zielgruppe wie folgt festlegen.
| Publikum | Einzel-/mehrinstanzenfähig | Wer sich anmelden kann |
|---|---|---|
| Nur Konten in diesem Verzeichnis | Einzelner Mandant | Alle Benutzer- und Gastkonten in Ihrem Verzeichnis können Ihre Anwendung oder API verwenden. Verwenden Sie diese Option, wenn Ihre Zielgruppe intern für Ihre Organisation ist. |
| Konten in einem beliebigen Microsoft Entra-Verzeichnis | Mehrere Mandanten | Alle Benutzer und Gäste mit einem Geschäfts-, Schul- oder Unikonto von Microsoft können Ihre Anwendung oder API verwenden. Dazu gehören Schulen und Unternehmen, die Microsoft 365 verwenden. Verwenden Sie diese Option, wenn Ihre Zielgruppe Geschäfts- oder Bildungskunden ist. |
| Konten in allen Microsoft Entra-Verzeichnissen und persönlichen Microsoft-Konten (z. B. Skype, Xbox, Outlook.com) | Mehrere Mandanten | Alle Benutzer mit einem Geschäfts-, Schul- oder Unikonto oder persönlichem Microsoft-Konto können Ihre Anwendung oder API verwenden. Sie umfasst Schulen und Unternehmen, die Microsoft 365 verwenden, sowie persönliche Konten, die zum Anmelden bei Diensten wie Xbox und Skype verwendet werden. Verwenden Sie diese Option, um die breiteste Gruppe von Microsoft-Konten anzusprechen. |
Bewährte Methoden für Mehrinstanzen-Apps
Das Erstellen großartiger Multitenant-Apps kann aufgrund der Anzahl der verschiedenen Richtlinien, die IT-Administratoren in ihren Mandanten festlegen können, eine Herausforderung darstellen. Wenn Sie eine mehrinstanzenfähige App erstellen möchten, befolgen Sie die folgenden bewährten Methoden:
- Testen Sie Ihre App in einem Mandanten, für den Richtlinien für bedingten Zugriff konfiguriert sind.
- Befolgen Sie das Prinzip des geringsten Benutzerzugriffs, um sicherzustellen, dass Ihre App nur Berechtigungen anfordert, die sie tatsächlich benötigt.
- Geben Sie geeignete Namen und Beschreibungen für alle Berechtigungen an, die Sie als Teil Ihrer App verfügbar machen. Dies hilft Benutzern und Administratoren zu wissen, worauf sie sich einigen, wenn sie versuchen, die APIs Ihrer App zu verwenden. Weitere Informationen finden Sie im Abschnitt "Bewährte Methoden" im Berechtigungshandbuch.
Anmerkung
Multitenant-Anwendungen können in den gleichen nationalen Cloudinstanzen bereitgestellt werden, aber nicht über Azure National Clouds. Beispiele:
- Eine in einem kommerziellen Mandanten erstellte mehrinstanzenfähige Anwendung kann anderen kommerziellen Mandanten hinzugefügt werden.
- Eine Multimandantenanwendung, die in einem Azure Government-Mandanten erstellt wurde, kann zu anderen Azure Government-Mandanten hinzugefügt werden.
Nächste Schritte
Weitere Informationen zu Mandanten in Microsoft Entra ID finden Sie hier: