Арендочность в идентификаторе Microsoft Entra
Идентификатор Microsoft Entra упорядочивает такие объекты, как пользователи и приложения, в группы, называемые арендаторами. Клиенты позволяют администратору задавать политики для пользователей в организации и приложениях, принадлежащих организации, для удовлетворения их политик безопасности и эксплуатации.
Кто может войти в приложение?
Когда речь идет о разработке приложений, разработчики могут настроить свое приложение как однотенантным, так и мультитенантным во время регистрации приложения.
- Однотенантные приложения доступны только в клиенте, в который они были зарегистрированы, также известные как их домашний клиент.
- Мультитенантные приложения доступны пользователям как в домашнем клиенте, так и в других клиентах.
При регистрации приложения его можно настроить как одноарендное или многопользовательское, указав аудиторию следующим образом.
| Публика | Одноарендаторный или мультитенантный | Кто может войти в систему |
|---|---|---|
| Учетные записи только в этом каталоге | Один клиент | Все учетные записи пользователей и гостевых учетных записей в каталоге могут использовать приложение или API. Используйте этот параметр, если целевая аудитория является внутренней для вашей организации. |
| Учетные записи в любом каталоге Microsoft Entra | Мультитенантная | Все пользователи и гости с рабочей или учебной учетной записью корпорации Майкрософт могут использовать свое приложение или API. К ним относятся школы и предприятия, использующие Microsoft 365. Используйте этот параметр, если целевая аудитория — бизнес или образовательные клиенты. |
| Учетные записи в любом каталоге Microsoft Entra и личных учетных записях Майкрософт (например, Skype, Xbox, Outlook.com) | Многопользовательская | Все пользователи с рабочей или учебной или личной учетной записью Майкрософт могут использовать свое приложение или API. Он включает школы и предприятия, использующие Microsoft 365, а также личные учетные записи, которые используются для входа в такие службы, как Xbox и Skype. Используйте этот параметр, чтобы использовать самый широкий набор учетных записей Майкрософт. |
Рекомендации по мультитенантным приложениям
Создание качественных многопользовательских приложений может быть сложным из-за количества различных политик, которые ИТ-администраторы могут установить для своих тенантов. Если вы решили создать мультитенантное приложение, выполните следующие рекомендации.
- Протестируйте приложение в клиенте, в котором настроены политики условного доступа .
- Следуйте принципу минимального доступа пользователей, чтобы убедиться, что приложение запрашивает только необходимые разрешения.
- Укажите соответствующие имена и описания для любых разрешений, предоставляемых в рамках приложения. Это помогает пользователям и администраторам знать, что они согласны при попытке использовать API вашего приложения. Для получения дополнительной информации см. раздел «Лучшие практики» в руководстве по разрешениям .
Заметка
Мультитенантные приложения можно развертывать в одних и тех же национальных облачных экземплярах, но не в национальных облаках Azure. Примеры:
- Мультитенантное приложение, созданное в коммерческом клиенте, можно добавить в другие коммерческие клиенты.
- Мультитенантное приложение, созданное в клиенте Azure для государственных организаций, можно добавить в другие клиенты Azure для государственных организаций.
Дальнейшие действия
Дополнительные сведения о аренде в идентификаторе Microsoft Entra см. в следующих сведениях: