Inquilino en el Microsoft Entra ID
Microsoft Entra ID organiza los objetos como usuarios y aplicaciones en grupos llamados inquilinos. Los inquilinos permiten a un administrador establecer directivas en los usuarios de la organización y las aplicaciones que posee la organización para cumplir sus directivas operativas y de seguridad.
¿Quién puede iniciar sesión en la aplicación?
En lo que respecta al desarrollo de aplicaciones, los desarrolladores pueden optar por configurar su aplicación para que sea inquilino o multiinquilino durante el registro de aplicaciones.
- Las aplicaciones de cliente único solo están disponibles en el cliente en el que se registraron, también conocido como su cliente principal.
- Las aplicaciones de varios inquilinos están disponibles para los usuarios en su inquilino principal y en otros inquilinos.
Al registrar una aplicación, puede configurarla para que sea de inquilino único o multiinquilino estableciendo la audiencia como se indica a continuación.
Audiencia | Arrendatario único/multiarrendatario | Quién puede iniciar sesión |
---|---|---|
Solo cuentas de este directorio | Inquilino único | Todas las cuentas de usuario e invitado del directorio pueden usar la aplicación o la API. Use esta opción si la audiencia de destino es interna para su organización. |
Cuentas en cualquier directorio de Microsoft Entra | Multiinquilino | Todos los usuarios e invitados con una cuenta profesional o educativa de Microsoft pueden usar su aplicación o API. Esto incluye escuelas y empresas que usan Microsoft 365. Use esta opción si el público objetivo es clientes empresariales o educativos. |
Cuentas en cualquier directorio de Microsoft Entra y cuentas personales de Microsoft (como Skype, Xbox, Outlook.com) | Multiinquilino | Todos los usuarios con una cuenta profesional o educativa o personal de Microsoft pueden usar su aplicación o API. Incluye escuelas y empresas que usan Microsoft 365, así como cuentas personales que se usan para iniciar sesión en servicios como Xbox y Skype. Use esta opción para tener como destino el conjunto más amplio de cuentas de Microsoft. |
Procedimientos recomendados para aplicaciones multiinquilino
La creación de excelentes aplicaciones de multitenencia puede ser difícil debido a las diferentes políticas que los administradores de TI pueden establecer en sus propios entornos. Si decide desarrollar una aplicación multidestinatario, siga estas mejores prácticas:
- Pruebe la aplicación en un inquilino que tenga configuradas directivas de acceso condicional.
- Siga el principio de acceso de usuario mínimo para asegurarse de que la aplicación solo solicita permisos que realmente necesita.
- Proporcione los nombres y descripciones adecuados para los permisos que exponga como parte de la aplicación. Esto ayuda a los usuarios y administradores a saber qué están de acuerdo cuando intentan usar las API de la aplicación. Para obtener más información, consulte la sección de los procedimientos recomendados de la guía de permisos .
Nota
Las aplicaciones multiinquilino se pueden implementar en las mismas instancias de nube nacionales, pero no en nubes nacionales de Azure. Ejemplos:
- Una aplicación multicliente creada en un inquilino comercial puede añadirse a otros inquilinos comerciales.
- Se puede agregar una aplicación multiinquilino creada en un inquilino de Azure Government a otros inquilinos de Azure Government.
Pasos siguientes
Para obtener más información sobre los inquilinos en Microsoft Entra ID, consulte: