Compartir a través de


Inquilino en el Microsoft Entra ID

Microsoft Entra ID organiza los objetos como usuarios y aplicaciones en grupos llamados inquilinos. Los inquilinos permiten a un administrador establecer directivas en los usuarios de la organización y las aplicaciones que posee la organización para cumplir sus directivas operativas y de seguridad.

¿Quién puede iniciar sesión en la aplicación?

En lo que respecta al desarrollo de aplicaciones, los desarrolladores pueden optar por configurar su aplicación para que sea inquilino o multiinquilino durante el registro de aplicaciones.

  • Las aplicaciones de cliente único solo están disponibles en el cliente en el que se registraron, también conocido como su cliente principal.
  • Las aplicaciones de varios inquilinos están disponibles para los usuarios en su inquilino principal y en otros inquilinos.

Al registrar una aplicación, puede configurarla para que sea de inquilino único o multiinquilino estableciendo la audiencia como se indica a continuación.

Audiencia Arrendatario único/multiarrendatario Quién puede iniciar sesión
Solo cuentas de este directorio Inquilino único Todas las cuentas de usuario e invitado del directorio pueden usar la aplicación o la API.
Use esta opción si la audiencia de destino es interna para su organización.
Cuentas en cualquier directorio de Microsoft Entra Multiinquilino Todos los usuarios e invitados con una cuenta profesional o educativa de Microsoft pueden usar su aplicación o API. Esto incluye escuelas y empresas que usan Microsoft 365.
Use esta opción si el público objetivo es clientes empresariales o educativos.
Cuentas en cualquier directorio de Microsoft Entra y cuentas personales de Microsoft (como Skype, Xbox, Outlook.com) Multiinquilino Todos los usuarios con una cuenta profesional o educativa o personal de Microsoft pueden usar su aplicación o API. Incluye escuelas y empresas que usan Microsoft 365, así como cuentas personales que se usan para iniciar sesión en servicios como Xbox y Skype.
Use esta opción para tener como destino el conjunto más amplio de cuentas de Microsoft.

Procedimientos recomendados para aplicaciones multiinquilino

La creación de excelentes aplicaciones de multitenencia puede ser difícil debido a las diferentes políticas que los administradores de TI pueden establecer en sus propios entornos. Si decide desarrollar una aplicación multidestinatario, siga estas mejores prácticas:

  • Pruebe la aplicación en un inquilino que tenga configuradas directivas de acceso condicional.
  • Siga el principio de acceso de usuario mínimo para asegurarse de que la aplicación solo solicita permisos que realmente necesita.
  • Proporcione los nombres y descripciones adecuados para los permisos que exponga como parte de la aplicación. Esto ayuda a los usuarios y administradores a saber qué están de acuerdo cuando intentan usar las API de la aplicación. Para obtener más información, consulte la sección de los procedimientos recomendados de la guía de permisos .

Nota

Las aplicaciones multiinquilino se pueden implementar en las mismas instancias de nube nacionales, pero no en nubes nacionales de Azure. Ejemplos:

  • Una aplicación multicliente creada en un inquilino comercial puede añadirse a otros inquilinos comerciales.
  • Se puede agregar una aplicación multiinquilino creada en un inquilino de Azure Government a otros inquilinos de Azure Government.

Pasos siguientes

Para obtener más información sobre los inquilinos en Microsoft Entra ID, consulte: