修改应用程序支持的帐户
在 Microsoft 标识平台上注册应用程序时,你指定了可以访问该应用程序的人员或帐户类型。 例如,你可能只在你的组织中指定了帐户,该组织是一个单租户应用。 或者,你可能在任何组织(包括你的组织)中指定了帐户,该组织是一个多租户应用。
在以下各小节中,你将了解如何修改应用的注册,以更改可访问该应用程序的用户或帐户类型。
先决条件
更改应用程序注册以支持不同的帐户
若要为现有应用注册支持的帐户类型指定不同的设置,请执行以下操作:
至少以应用程序开发人员的身份登录到 Microsoft Entra 管理中心。
如果有权访问多个租户,请使用顶部菜单中的“设置”图标
,从“目录 + 订阅”菜单切换到包含应用注册的租户。浏览到“标识”>“应用程序”>“应用注册”。
选择应用程序,然后选择“清单”以使用清单编辑器。
在本地下载清单 JSON 文件。
现在,指定可使用该应用程序的人员,这有时称为“登录受众”。 在清单 JSON 文件中查找 signInAudience 属性,并将其设置为以下属性值之一:
属性值 支持的帐户类型 说明 AzureADMyOrg 仅此组织目录中的帐户(仅 Microsoft - 单租户) 目录中的所有用户和来宾帐户都可以使用应用程序或 API。 如果目标受众在组织内部,请使用此选项。 AzureADMultipleOrgs 任何组织目录中的帐户(任何 Microsoft Entra 目录 - 多租户) 拥有 Microsoft 工作或学校帐户的所有用户都可以使用应用程序或 API。 这包括使用 Office 365 的学校和企业。 如果目标受众是企业客户或教育客户,且要启用多租户,请使用此选项。 AzureADandPersonalMicrosoftAccount 任何组织目录中的帐户(任何 Microsoft Entra 目录 - 多租户)和个人 Microsoft 帐户(例如 Skype、Xbox) 拥有工作或学校帐户或者个人 Microsoft 帐户的所有用户都可以使用应用程序或 API。 这包括使用 Office 365 的学校和企业以及用来登录 Xbox 和 Skype 等服务的个人帐户。 此选项可用于定位范围最广的 Microsoft 标识集并启用多租户。 PersonalMicrosoftAccount 仅 Microsoft 个人帐户 用于登录 Xbox 和 Skype 等服务的个人帐户。 使用此选项以定位范围最广的 Microsoft 标识集。 在本地保存对 JSON 文件的更改,然后在清单编辑器中选择“上传”以上传更新后的清单 JSON 文件。
更改为多租户可能会失败的原因
由于应用程序 ID URI (应用 ID URI)名称冲突,将应用注册从单租户切换到多租户有时可能会失败。 应用 ID URI 的示例为 https://contoso.onmicrosoft.com/myapp。
应用 ID URI 是在协议消息中标识应用程序的方式之一。 对于单租户应用程序而言,应用 ID URI 仅需在该租户中保持唯一。 对于多租户应用程序而言,该 URI 必须全局唯一,以便 Microsoft Entra ID 能够在所有租户中找到该应用。 通过要求应用 ID URI 的主机名与 Microsoft Entra 租户的其中一个已验证发布服务器域相匹配,来强制实施全局唯一性。
例如,如果租户的名称是 contoso.onmicrosoft.com,则 是有效的应用 ID URI。 如果租户具有已验证的域 contoso.com,则有效的应用 ID URI 也是 。 如果应用 ID URI 不遵循第二种模式 https://contoso.com/myapp,则将应用注册转换为多租户会失败。
有关配置已验证发布服务器域的详细信息,请参阅配置已验证的域。
后续步骤
详细了解将应用从单租户转换为多租户的要求。