Inquilinos en Microsoft Entra ID
Microsoft Entra ID organiza los objetos como usuarios y aplicaciones en grupos llamados inquilinos. Los inquilinos permiten a los administradores establecer directivas en los usuarios de la organización y de las aplicaciones que posee la organización para cumplir sus directivas de seguridad y funcionamiento.
¿Quién puede iniciar sesión en su aplicación?
En lo que respecta al desarrollo de aplicaciones, los desarrolladores pueden optar por configurar su aplicación para que sea inquilino o multiinquilino durante el registro de aplicaciones.
- Las aplicaciones de inquilino único solo están disponibles en el inquilino en el que se han registrado, que también se conoce como su inquilino principal.
- Las aplicaciones multiinquilino están disponibles para los usuarios en su inquilino principal y en otros inquilinos.
Al registrar una aplicación, puede configurarla para que sea de inquilino único o multiinquilino estableciendo la audiencia como se indica a continuación.
| Audiencia | Inquilino único/multiinquilino | Quién puede iniciar sesión |
|---|---|---|
| Solo las cuentas de este directorio | Un solo inquilino | Todas las cuentas de usuario y de invitados del directorio pueden usar la aplicación o la API. Utilice esta opción si el público objetivo es interno de la organización. |
| Cuentas en cualquier directorio de Microsoft Entra | Multiinquilino | Todos los usuarios e invitados con una cuenta profesional o educativa de Microsoft pueden usar la aplicación o API, incluidos los centros educativos y las empresas que usen Microsoft 365. Use esta opción si la audiencia de destino son clientes empresariales o del sector educativo. |
| Las cuentas de cualquier directorio de Microsoft Entra y las cuentas personales de Microsoft (por ejemplo, las de Skype, Xbox y Outlook.com) | Multiinquilino | Cualquier usuario con una cuenta profesional o educativa, o bien con una cuenta Microsoft personal puede usar la aplicación o API, incluidos los centros educativos y las empresas que usen Microsoft 365, así como las cuentas personales que se usan para iniciar sesión en servicios como Xbox y Skype. Use esta opción para establecer como destino el mayor conjunto posible de cuentas de Microsoft. |
Procedimientos recomendados para aplicaciones multiinquilino
La creación de magníficas aplicaciones multiinquilino puede ser difícil debido al número de directivas que los administradores de TI pueden establecer en sus inquilinos. Si decide crear una aplicación multiinquilino, siga estos procedimientos recomendados:
- Pruebe la aplicación en un inquilino que tenga configuradas directivas de acceso condicional.
- Siga el principio de acceso mínimo de los usuarios para asegurarse de que la aplicación solo solicita los permisos que realmente necesita.
- Especifique los nombres apropiados y las descripciones pertinentes de los permisos que exponga como parte de la aplicación. Esto ayuda a los usuarios y administradores a saber lo que aceptan cuando intentan usar las API de la aplicación. Para más información, consulte la sección de procedimientos recomendado en la guía de permisos.
Pasos siguientes
Para más información sobre los inquilinos en Microsoft Entra ID, consulte: