Dzierżawa w usłudze Microsoft Entra ID
Identyfikator Entra firmy Microsoft organizuje obiekty, takie jak użytkownicy i aplikacje, w grupy zwane dzierżawcami. Dzierżawy umożliwiają administratorowi ustawianie zasad dla użytkowników w organizacji i aplikacji należących do organizacji w celu spełnienia zasad zabezpieczeń i operacyjnych.
Kto może zalogować się do aplikacji?
W przypadku tworzenia aplikacji deweloperzy mogą zdecydować się na skonfigurowanie aplikacji jako jedno-tenantowej lub multi-tenantowej podczas rejestracji aplikacji.
- Aplikacje z jedną dzierżawą są dostępne tylko w dzierżawie, w której zostały zarejestrowane, znane również jako dzierżawa domowa.
- Aplikacje wielodostępne są dostępne dla użytkowników zarówno w dzierżawie macierzystej, jak i w innych dzierżawach.
Podczas rejestrowania aplikacji można ją skonfigurować tak, aby była jednodostępna lub wielodostępna, ustawiając odbiorców w następujący sposób.
| Audiencja | Jedno- lub wielodzierżawność | Kto może się zalogować |
|---|---|---|
| Tylko konta w tym katalogu | Pojedynczy najemca | Wszystkie konta użytkowników i gości w katalogu mogą używać aplikacji lub interfejsu API. Użyj tej opcji, jeśli docelowi odbiorcy są wewnętrzni w twojej organizacji. |
| Konta w dowolnym katalogu Microsoft Entra | Wielodzierżawczy | Wszyscy użytkownicy i goście z kontem służbowym lub szkolnym od firmy Microsoft mogą używać Twojej aplikacji lub interfejsu API. Obejmuje to szkoły i firmy korzystające z platformy Microsoft 365. Użyj tej opcji, jeśli docelowi odbiorcy są klientami biznesowymi lub edukacyjnymi. |
| Konta w dowolnym katalogu Microsoft Entra i osobiste konta Microsoft (takie jak Skype, Xbox, Outlook.com) | Wielonajmowy | Wszyscy użytkownicy z kontem służbowym lub osobistym Microsoft mogą używać aplikacji lub interfejsu API. Obejmuje ona szkoły i firmy korzystające z platformy Microsoft 365, a także konta osobiste używane do logowania się do usług, takich jak Xbox i Skype. Użyj tej opcji, aby objąć najszerszy zakres kont Microsoft. |
Najlepsze praktyki dotyczące wielodostępnych aplikacji
Tworzenie wspaniałych aplikacji multitenantowych może być trudne ze względu na liczbę różnych zasad, które administratorzy IT mogą ustawić w swoich tenantach. Jeśli zdecydujesz się utworzyć aplikację wielodostępną, postępuj zgodnie z następującymi najlepszymi rozwiązaniami:
- Przetestuj aplikację w dzierżawie, która skonfigurowała zasady dostępu warunkowego.
- Postępuj zgodnie z zasadą najmniejszego dostępu użytkowników, aby upewnić się, że aplikacja żąda uprawnień, których faktycznie potrzebuje.
- Podaj odpowiednie nazwy i opisy dla wszystkich uprawnień, które uwidaczniasz w ramach aplikacji. Dzięki temu użytkownicy i administratorzy wiedzą, na co się zgadzają podczas prób korzystania z interfejsów API aplikacji. Aby uzyskać więcej informacji, zobacz sekcję najlepszych rozwiązań w przewodniku po uprawnieniach .
Notatka
Aplikacje wielodostępne można wdrażać w tych samych wystąpieniach chmury krajowej, ale nie w azure National Clouds. Przykłady:
- Aplikację wielodostępną utworzoną w dzierżawie komercyjnej można dodać do innych dzierżaw komercyjnych.
- Aplikację wielodostępną utworzoną w dzierżawie platformy Azure Government można dodać do innych dzierżaw tej samej platformy.
Następne kroki
Aby uzyskać więcej informacji na temat dzierżawy w usłudze Microsoft Entra ID, zobacz: