通过

设置应用程序的 Microsoft Entra 测试环境

  • 项目

为了让应用完成开发、测试和生产生命周期,请设置 Microsoft Entra 测试环境。 可以在应用开发的早期阶段使用 Microsoft Entra 测试环境作为永久测试环境,也可以长期这样做。

在测试专用租户或生产环境的 Microsoft Entra 租户之间进行选择

需要确定是使用专用测试租户还是生产租户进行测试。

使用生产租户可以简化某些测试方面,但必须确保测试和生产资源之间的适当隔离,尤其是在高特权场景中。

在以下情况下,请避免使用生产租户:

  • 你的应用需要租户范围内的唯一设置,比如仅限应用权限需要管理员同意。
  • 您不能冒险让租户成员未经授权访问测试资源。
  • 生产环境可能会因配置更改而中断。
  • 无法在生产租户中创建用户或测试数据。
  • 生产租户具有在身份验证期间要求用户交互的策略,例如强制多重身份验证。 在这种情况下,不能使用自动登录进行集成测试。
  • 服务或限制可能因添加非生产资源而超出。

如果这些限制适用,请在单独的租户 中设置测试环境。

如果没有,可以在生产租户 中设置测试环境。 生产租户(如云应用程序管理员)中具有特权角色的用户可以随时访问其资源并更改其配置。 若要防止访问任何测试资源或配置,请将该数据放入单独的租户中。

在单独的租户中设置测试环境

在单独的租户中设置测试环境可确保生产环境不受测试期间所做的更改或配置影响。 你需要设置一个测试租户,用用户填充它,并使用与生产租户匹配的策略对其进行配置。

获取测试租户

如果你还没有专用的测试租户,可以使用 Microsoft 365 开发人员计划免费创建或自行手动创建一个测试租户。

建议的方法是加入 Microsoft 365 开发人员计划。 此程序是免费的,可以让测试用户帐户和示例数据包自动添加到租户。

  1. 打开 Microsoft 365 开发人员计划 页面,然后选择 立即加入
  2. 使用新的Microsoft帐户登录或使用现有的(工作)帐户。
  3. 在注册页上,选择你的区域,输入公司名称,并在选择 “下一步”之前接受该计划的条款和条件。
  4. 选择“设置订阅”。 指定要在其中创建新租户的区域,并创建用户名、域,然后输入密码。 这会创建一个新租户,并添加租户的第一个管理员。
  5. 输入保护新租户的管理员帐户所需的安全信息。 这会为帐户设置多重身份验证。

在租户中填充用户

为方便起见,可以邀请自己和开发团队的其他成员成为租户中的来宾用户。 这会在测试租户中创建单独的来宾对象,但这意味着你只需管理一套用于公司帐户和测试帐户的凭据。

  1. 至少以应用程序开发人员的身份登录到 Microsoft Entra 管理中心
  2. 浏览到“标识”“用户”>“所有用户”。
  3. 选择“新建用户”“邀请外部用户”并邀请你的工作帐户电子邮件地址>
  4. 对应用程序的开发和/或测试团队的其他成员重复此操作。

还可以在测试租户中创建测试用户。 如果你使用了 Microsoft 365 示例包之一,则租户中可能已有一些测试用户。 否则,你应该能够以租户管理员的身份自行创建一些测试用户。

  1. 浏览到“标识”“用户”>“所有用户”。
  2. 选择“新建用户”“创建新用户”并在目录中创建一些新的测试用户>

获取 Microsoft Entra 订阅(可选)

如果要在应用程序中全面测试Microsoft Entra ID P1 或 P2 功能,则需要注册租户以获取 Premium P1 或 Premium P2 许可证

如果您通过 Microsoft 365 开发人员计划注册,您的测试租户将附带 Microsoft Entra ID P2 许可证。 否则,仍可启用一个月的 Microsoft Entra ID P1 或 P2 免费试用版

创建和配置应用注册

需要创建应用注册才能在测试环境中使用。 该注册应该不同于最终的生产应用注册,以便在测试环境和生产环境之间保持安全隔离。 如何配置应用程序取决于要构建的应用类型。 有关详细信息,请参阅注册应用程序

在租户中填充策略

如果单个组织(通常称为单租户)主要使用你的应用,并且你有权访问生产租户,则通过复制可能影响应用行为的生产租户的设置来减少生产中意外错误的可能性。

条件访问策略

复制条件访问策略可确保在转移到生产环境时不会遇到意外的阻止访问错误,并且应用程序可以适当处理它可能会收到的错误。

查看生产租户条件访问策略的操作可能需要由条件访问管理员来执行。

  1. 转到“标识”“应用程序”>“企业应用程序”“条件访问”。
  2. 查看租户中的策略列表,然后选择第一个策略。
  3. 导航到“云应用或操作”。
  4. 如果该策略仅应用于选定的一组应用,请转到下一个策略。 如果不是,在你转到生产环境时,该策略也可能会应用于你的应用。 应将该策略复制到测试租户。

在标签页或浏览器会话中,至少以条件访问管理员的身份登录 Microsoft Entra 管理中心访问测试租户。

  1. 浏览到“保护”>“条件访问”。
  2. 选择“创建新策略”
  3. 复制通过前面的步骤识别的生产租户策略中的设置。

权限授予策略

复制权限授予策略可确保在转移到生产环境时不会遇到意外的管理员同意提示。

浏览到“标识”>“应用程序”>“企业应用程序”>“同意和权限”>“用户同意设置”。 将其中的设置复制到测试租户。

令牌生存期策略

复制令牌生存期策略可确保颁发给应用程序的令牌不会在生产环境中意外过期。

目前只能通过 PowerShell 管理令牌生存期策略。 阅读可配置令牌生存期,了解如何识别应用于整个生产组织的任何令牌生存期策略。 将这些策略复制到测试租户。

在生产租户中设置测试环境

如果可安全地将测试应用限制在生产租户中,你可以为测试目的配置租户。

创建和配置应用注册

需要创建应用注册才能在测试环境中使用。 该注册应该不同于最终的生产应用注册,以便在测试环境和生产环境之间保持安全隔离。 如何配置应用程序取决于要构建的应用类型。 有关详细信息,请在左侧导航窗格中查看适用于你的应用方案的应用注册步骤

创建一些测试用户

需要在测试方案时创建一些具有关联测试数据的测试用户。 此步骤可能需要由管理员执行。

  1. 浏览到“标识”“用户”>“所有用户”。
  2. 选择“新建用户”“创建新用户”并在目录中创建一些新的测试用户>

将测试用户添加到组中(可选)

为方便起见,可以将所有这些用户分配到某个组中,使其他分配操作变得更容易。

  1. 浏览到“标识”>“”>“所有组”。
  2. 选择新建组
  3. 选择“安全性”或“Microsoft 365”作为组类型 。
  4. 为该组命名。
  5. 添加在上一步骤中创建的测试用户。

仅限特定的用户使用测试应用程序

可以通过用户分配,将租户中有权使用测试应用程序的用户限制为特定的用户或组。 当你通过应用注册创建应用时,也已在“企业应用程序”中创建了该应用的表示形式。 使用“企业应用程序”设置来限制谁可以在租户中使用该应用程序。

重要

如果你的应用是 多租户应用,此操作不会限制其他租户中的用户登录和使用你的应用。 它只会限制在其中配置了用户分配的租户中的用户。

有关仅限租户中的特定用户使用应用的详细说明,请转到仅限一组用户使用你的应用

下一步

此处了解 Microsoft Entra 使用约束和可能遇到的服务限制。 可在此处找到常规 Azure 订阅和服务限制、配额与约束。

有关测试环境的更详细信息,请阅读使用 Microsoft Entra ID 保护 Azure 环境