Microsoft Entra ID 中的租户
Microsoft Entra ID 将用户和应用等对象组织成称为 租户组。 租户允许管理员针对组织内的用户以及组织拥有的应用设置策略以满足其安全性和作策略。
谁可以登录到你的应用?
在开发应用方面,开发人员可以选择在应用注册期间将其应用配置为单租户或多租户。
- 单租户应用仅可在它们在其中注册的租户(也称为宿主租户)中使用。
- 多租户应用可供其主租户和其他租户中的用户使用。
注册应用程序时,可按照如下所述设置受众来将应用配置为单租户或多租户。
| 观众 | 单租户/多租户 | 谁可以登录 |
|---|---|---|
| 仅此目录中的帐户 | 单租户 | 目录中的所有用户和来宾帐户都可以使用应用程序或 API。 如果目标受众在组织内部,请使用此选项。 |
| 任何 Microsoft Entra 目录中的帐户 | 多租户 | 所有使用微软工作或学校帐户的用户和来宾都可以使用您的应用程序或 API。 这包括使用Microsoft 365 的学校和企业。 如果你的目标受众是企业或教育客户,请使用此选项。 |
| 任何 Microsoft Entra 目录和个人 Microsoft 帐户(如 Skype、Xbox、Outlook.com)中的帐户 | 多租户 | 具有工作或学校或个人Microsoft帐户的所有用户都可以使用应用程序或 API。 它包括使用 Microsoft 365 的学校和企业,以及用于登录到 Xbox 和 Skype 等服务的个人帐户。 使用此选项可以覆盖最广泛的 Microsoft 帐户集。 |
多租户应用的最佳做法
由于 IT 管理员可以在其租户中设置的不同策略数量,构建出色的多租户应用可能会很有挑战性。 如果选择生成多租户应用,请遵循以下最佳做法:
- 在已配置 条件访问策略的租户中测试应用。
- 遵循最低用户访问原则,确保应用仅请求实际需要的权限。
- 为应用程序所授予的任何权限提供适当的名称和说明。 这有助于用户和管理员知道他们尝试使用应用的 API 时同意的内容。 有关详细信息,请参阅 权限指南中的最佳做法部分。
注意
多租户应用程序可以部署到相同的国家云实例,但不能跨 Azure 国家云部署。 例子:
- 在商业租户中创建的多租户应用程序可以添加到其他商业租户中。
- 在 Azure 政府租户中创建的多租户应用程序可以添加到其他 Azure 政府租户中。
后续步骤
有关 Microsoft Entra ID 中的租户的更多信息,请参阅: