Microsoft Entra ID 中的租户

Microsoft Entra ID 将用户和应用之类的对象组织到称为“租户”的组中。 租户允许管理员针对组织中的用户以及组织拥有的应用设置策略,以满足其安全和运营策略。

谁可以登录到你的应用?

在开发应用时,在注册应用期间,开发人员可以选择将其应用配置为单租户还是多租户。

  • 单租户应用仅可在它们在其中注册的租户(也称为宿主租户)中使用。
  • 多租户应用可供其宿主租户以及其他租户中的用户使用。

注册应用程序时,可按照如下所述设置受众来将应用配置为单租户或多租户。

受众 单/多租户 谁可以登录
仅此目录中的帐户 单租户 目录中的所有用户和来宾帐户都可以使用应用程序或 API。
目标受众是组织内部人员时使用本选项。
任何 Microsoft Entra 目录中的帐户 多租户 拥有 Microsoft 工作或学校帐户的所有用户和来宾都可以使用应用程序或 API。 这包括使用 Microsoft 365 的学校和企业。
如果目标受众是企业或教育行业客户,请使用此选项。
任何 Microsoft Entra 目录中的帐户以及个人 Microsoft 帐户(例如 Skype、Xbox、Outlook.com) 多租户 拥有工作或学校帐户或者个人 Microsoft 帐户的所有用户都可以使用应用程序或 API。 这包括使用 Microsoft 365 的学校和企业以及用来登录 Xbox 和 Skype 等服务的个人帐户。
若要面向最广泛的 Microsoft 帐户,请使用此选项。

适用于多租户应用的最佳做法

由于 IT 管理员可以在其租户中设置大量的不同策略,因此,构建优秀的多租户应用可能很难。 如果你选择构建多租户应用,请遵循以下最佳做法:

  • 在配置了条件访问策略的租户中测试应用。
  • 遵循最小用户访问权限的原则,确保应用只请求它实际需要的权限。
  • 为作为应用的一部分公开的任何权限提供合适的名称和说明。 这可帮助用户和管理员了解当他们尝试使用应用的 API 时他们要同意什么。 有关详细信息,请参阅权限指南中的最佳做法部分。

后续步骤

有关 Microsoft Entra ID 中的租户的详细信息,请参阅: