Gestione degli utenti in Microsoft Entra ID
Microsoft Entra ID organizza oggetti come utenti e app in gruppi denominati tenant . I tenant consentono a un amministratore di impostare i criteri per gli utenti all'interno dell'organizzazione e le app di proprietà dell'organizzazione per soddisfare i criteri di sicurezza e operativi.
Chi può accedere all'app?
Quando si tratta di sviluppare app, gli sviluppatori possono scegliere di configurare l'app come applicazione singola o multitenant durante la registrazione dell'app.
- Le app a tenant singolo sono disponibili solo nel tenant in cui sono state registrate, conosciuto anche come tenant principale.
- Le app multi-tenant sono disponibili per gli utenti sia nel tenant principale che in altri tenant.
Quando si registra un'applicazione, è possibile configurarla in modo che sia a tenant singolo o multi-tenant impostando il gruppo di destinatari come indicato di seguito.
| Pubblico | Tenant singolo/multi-tenant | Chi può accedere |
|---|---|---|
| Solo account in questa directory | Inquilino singolo | Tutti gli account degli utenti e dei guest nella directory possono utilizzare l'applicazione o l'API. Usare questa opzione se il gruppo di destinatari è interno all'organizzazione. |
| Gli account in qualsiasi directory di Microsoft Entra | Multi-tenant | Tutti gli utenti e gli ospiti con un account aziendale o scolastico di Microsoft possono usare l'applicazione o l'API. Sono inclusi istituti di istruzione e aziende che usano Microsoft 365. Usare questa opzione se il pubblico di destinazione è un cliente aziendale o didattico. |
| Gli account in qualsiasi directory di Microsoft Entra e gli account Microsoft personali (ad esempio, Skype, Xbox, Outlook.com) | Multi-tenant | Tutti gli utenti con un account Microsoft aziendale o dell'istituto di istruzione o personale possono usare l'applicazione o l'API. Include istituti di istruzione e aziende che usano Microsoft 365, nonché account personali usati per accedere a servizi come Xbox e Skype. Usare questa opzione per definire come destinazione il set più ampio di account Microsoft. |
Procedure consigliate per le app multi-tenant
La creazione di app multi-tenant di grandi dimensioni può risultare complessa a causa del numero di criteri diversi che gli amministratori IT possono impostare nei tenant. Se si sceglie di creare un'app multi-tenant, seguire queste procedure consigliate:
- Testare l'app in un tenant che ha configurato criteri di accesso condizionale.
- Seguire il principio di accesso minimo dell'utente per assicurarsi che l'app richieda solo le autorizzazioni effettivamente necessarie.
- Specificare nomi e descrizioni appropriati per le autorizzazioni esposte come parte dell'app. In questo modo gli utenti e gli amministratori sanno cosa stanno accettando quando tentano di usare le API dell'app. Per altre informazioni, vedere la sezione procedure consigliate nella guida alle autorizzazioni .
Nota
Le applicazioni multi-tenant possono essere distribuite nelle stesse istanze cloud nazionali, ma non in cloud nazionali di Azure. Esempi:
- Un'applicazione multi-tenant creata in un'entità commerciale può essere aggiunta ad altre entità commerciali.
- Un'applicazione multi-tenant creata in un tenant di Azure per enti pubblici può essere aggiunta ad altri tenant di Azure per enti pubblici.
Passaggi successivi
Per altre informazioni sulla tenancy in Microsoft Entra ID, vedere: