Настройка тестовой среды Microsoft Entra приложения

Чтобы упростить перемещение приложения через жизненный цикл разработки, тестирования и рабочей среды, настройте тестовую среду Microsoft Entra. Тестовую среду Microsoft Entra можно использовать на ранних этапах разработки приложений и долгосрочной в качестве постоянной тестовой среды.

Выбор между выделенным тест-клиентом или рабочим клиентом Microsoft Entra

Необходимо решить, следует ли использовать выделенный тестовый клиент или рабочий клиент для тестирования.

Использование рабочего клиента может упростить некоторые аспекты тестирования, но требует надлежащей изоляции между тестовых и производственными ресурсами, особенно для сценариев с высоким уровнем привилегий.

Не используйте производственный арендатор, если:

• Для приложения требуются уникальные параметры на уровне клиента, например разрешения только для приложений, требующие согласия администратора.
• Вы не можете рисковать несанкционированным доступом к ресурсам для тестирования участниками арендатора.
• Рабочая среда может быть нарушена изменениями конфигурации.
• Вы не можете создавать пользователей или тестовые данные в производственной среде.
• Производственный клиент имеет политики, требующие взаимодействия пользователя в процессе аутентификации, например обязательная многофакторная аутентификация. В таких случаях для тестирования интеграции нельзя использовать автоматические входы.
• Ваша служба или ограничения пропускной способности могут быть превышены из-за добавления непроизводственных ресурсов.

Если эти ограничения применяются, настройте тестовую среду в отдельном клиенте.

В противном случае можно настроить тестовую среду в рабочей среде. Пользователи с привилегированными ролями в рабочем клиенте (например, администратор облачных приложений) могут получать доступ к своим ресурсам и изменять конфигурацию в любое время. Чтобы предотвратить доступ к любым тестовым ресурсам или конфигурации, поместите эти данные в отдельный арендатор.

Настройка тестовой среды в отдельном арендаторе

Настройка тестовой среды в отдельном клиенте гарантирует, что изменения или конфигурации, внесенные во время тестирования, не повлияют на рабочую среду. Необходимо настроить тестовый клиент, заполнить его пользователями и настроить его политиками, соответствующими рабочему клиенту.

Получение тестового арендатора

Если у вас еще нет выделенного тестового арендатора, вы можете создать его бесплатно с помощью программы для разработчиков Microsoft 365 или вручную.

программа для разработчиков Microsoft 365

Рекомендуемый подход — присоединиться к программе разработчиков Microsoft 365. Эта программа бесплатна и может автоматически добавлять тестовые учетные записи пользователей и примеры пакетов данных в клиент.

1. Откройте страницу Программа разработчика Microsoft 365 и выберите Присоединиться.
2. Войдите с помощью новой учетной записи Майкрософт или используйте существующую (рабочую) учетную запись.
3. На странице регистрации выберите регион, введите имя компании и примите условия программы, прежде чем выбрать Далее.
4. Выберите Настройка подписки. Укажите регион, в котором вы хотите создать новый клиент, создайте имя пользователя, домен и введите пароль. Создается новый клиент и добавляется первый администратор клиента.
5. Введите сведения о безопасности, необходимые для защиты учетной записи администратора вашего нового арендатора. Это настраивает многофакторную проверку подлинности для учетной записи.

Создать арендатора вручную

Вы можете вручную создать клиент, который пуст при создании и должен быть настроен с использованием тестовых данных.

Заполнение арендатора пользователями

Для удобства вы можете пригласить себя и других членов команды разработки в качестве гостевых пользователей в арендаторе. Это создает отдельные гостевые объекты в тестовом клиенте, но означает, что вам нужно управлять только одним набором учетных данных для корпоративной учетной записи и тестовой учетной записи.

1. Войдите в Центр администрирования Microsoft Entra как минимум разработчик приложений.
2. Перейдите в раздел Удостоверение>Пользователи>Все пользователи.
3. Выберите "Новый пользователь пригласить внешнего пользователя>" и пригласите адрес электронной почты рабочей учетной записи.
4. Повторите действия для других членов группы разработки и (или) тестирования вашего приложения.

В тестовом арендаторе вы также можете создавать тестовых пользователей. Если вы использовали один из образцов пакетов Microsoft 365, возможно, у вас уже есть тестовые пользователи в вашем арендаторе. В противном случае вам нужно будет создать их самостоятельно в качестве администратора клиента.

1. Перейдите в раздел Удостоверение>Пользователи>Все пользователи.
2. Выберите "Создать пользователя>" и создайте в каталоге некоторые тестовые пользователи.

Получение подписки Microsoft Entra (необязательно)

Если вы хотите полностью протестировать функции Microsoft Entra ID P1 или P2 в приложении, необходимо зарегистрироваться для лицензии Premium P1 или Premium P2.

Если вы зарегистрировались с помощью программы разработчика Microsoft 365, тестовый клиент поставляется с лицензиями Microsoft Entra ID P2. Если нет, вы по-прежнему можете включить бесплатную пробную версию Microsoft Entra ID P1 или P2.

Создание и настройка регистрации приложения

Необходимо создать регистрацию приложения для использования в тестовой среде. Эта регистрация должна быть отдельной от вашей окончательной регистрации рабочего приложения, чтобы обеспечить изоляцию безопасности между тестовой и рабочей средой. Настройка приложения зависит от типа создаваемого приложения. Дополнительные сведения см. в регистрации приложения.

Заполнение арендатора политиками

Если одна организация (часто называемая одним клиентом) будет использовать приложение в основном и у вас есть доступ к рабочему клиенту, уменьшите вероятность непредвиденных ошибок в рабочей среде путем репликации параметров рабочего клиента, которые могут повлиять на поведение вашего приложения как можно больше.

Политики условного доступа

Репликация политик условного доступа гарантирует, что при переходе в рабочую среду не возникает непредвиденного заблокированного доступа, и приложение может соответствующим образом обрабатывать ошибки, которые, скорее всего, будут получаться.

Возможно, потребуется выполнить просмотр политик условного доступа рабочего клиента администратором условного доступа.

1. Перейдите к >
2. Просмотрите список политик вашего арендатора и выберите первую политику.
3. Перейдите в раздел Облачные приложения или действия.
4. Если политика применяется только к выбранной группе приложений, перейдите к следующей политике. Если нет, то, скорее всего, она также будет применяться к приложению при переходе в рабочую среду. Вам следует скопировать политику в тестовый арендатор.

В новом сеансе вкладки или браузера войдите в Центр администрирования Microsoft Entra по крайней мере администратор условного доступа для доступа к тестового клиента.

1. Перейдите к условному доступу к защите>.
2. Выберите " Создать новую политику"
3. Скопируйте параметры из политики рабочего арендатора, определенные на предыдущих этапах.

Политики предоставления разрешений

Репликация политик предоставления разрешений гарантирует, что при переходе в рабочую среду не будут появляться непредвиденные запросы на согласие администратора.

Перейдите к >Enterprise. Скопируйте эти параметры в тестовый арендатор.

Политики времени существования токенов

Репликация политик времени существования токенов гарантирует, что срок действия токенов, выданных вашему приложению, не истечет непредвиденно во время работы.

Сейчас политиками времени существования токенов можно управлять только с помощью PowerShell. Дополнительные сведения об определении политик времени существования токенов, применяемых ко всей рабочей организации, см. в этой статье. Скопируйте эти политики в тестовый арендатор.

Настройка тестовой среды в рабочем арендаторе

Если вы можете безопасно ограничить тестовое приложение в рабочем клиенте, можно настроить клиент для тестирования.

Создание и настройка регистрации приложения

Необходимо создать регистрацию приложения для использования в тестовой среде. Эта регистрация должна быть отдельной от вашей окончательной регистрации рабочего приложения, чтобы обеспечить изоляцию безопасности между тестовой и рабочей средой. Настройка приложения зависит от типа создаваемого приложения. Дополнительные сведения см. в сценарии действий по регистрации приложений в области навигации слева.

Создание нескольких тестовых пользователей

При тестировании сценариев необходимо создать тестовых пользователей с сопутствующими тестовыми данными. Этот шаг, возможно, потребуется выполнить администратору.

1. Перейдите в раздел Удостоверение>Пользователи>Все пользователи.
2. Выберите "Создать пользователя>" и создайте в каталоге некоторые тестовые пользователи.

Добавление тестовых пользователей в группу (необязательно)

Для удобства вы можете назначить всех этих пользователей группе. Это упростит выполнение других операций назначения.

1. Перейдите к >
2. Выберите Создать группу.
3. В качестве типа группы выберите Безопасность или Microsoft 365.
4. Назовите вашу группу.
5. Добавьте тестовых пользователей, созданных во время выполнения предыдущего шага.

Ограничение тестового приложения определенными пользователями

В арендаторе вы можете ограничить число пользователей, которым разрешено использовать тестовое приложение, определив пользователей или группы с помощью назначения пользователей. При создании приложения с помощью средства регистрации приложений было также создано представление приложения в Корпоративных приложениях. Используйте параметры Корпоративные приложения, чтобы ограничить круг пользователей, которые могут использовать приложение в вашем арендаторе.

Внимание

Если ваше приложение является мультитенантным приложением , эта операция не ограничивает пользователей в других арендаторах от входа и использования вашего приложения. Будут ограничены только пользователи в арендаторе, в котором настроено назначение пользователей.

Подробные инструкции по ограничению работы приложения определенными пользователями в арендаторе см. в этой статье.

Следующий шаг

Узнайте о ограничениях использования Microsoft Entra и ограничениях служб, которые можно получить здесь. Сведения об ограничениях подписок и служб Azure можно найти здесь.

Дополнительные сведения о тестовых средах см. в статье "Защита сред Azure с помощью идентификатора Microsoft Entra".