Microsoft Entra 識別碼中的租戶
Microsoft Entra ID 會將使用者和應用程式等對象組織成稱為 租戶的群組。 租戶允許系統管理員在組織內,針對用戶和組織擁有的應用程式設定政策,以符合他們的安全性和操作原則。
誰可以登入您的應用程式?
在開發應用程式方面,開發人員可以選擇在應用程式註冊期間將其應用程式設定為單一租使用者或多租使用者。
- 單一租戶應用程式只能在其註冊的租戶中使用,也稱為其主租戶。
- 多租戶應用程式可供其主租戶和其他租戶的使用者使用。
當您註冊應用程式時,您可以將其設定為單一租使用者或多重租使用者,方法是將受眾設定如下。
| 觀眾 | 單租戶/多租戶 | 誰可以登入 |
|---|---|---|
| 僅限此目錄中的帳戶 | 單一租戶 | 目錄中的所有使用者和來賓帳戶都可以使用您的應用程式或 API。 如果您的目標對象是組織內部,請使用此選項。 |
| 任何Microsoft Entra 目錄中的帳戶 | 多租戶 | 來自Microsoft的工作或學校帳戶的所有使用者和來賓都可以使用您的應用程式或 API。 這包括使用Microsoft 365 的學校和企業。 如果您的目標對像是商務或教育客戶,請使用此選項。 |
| 任何 Microsoft Entra 目錄中的帳戶和 Microsoft 個人帳戶(例如 Skype、Xbox、Outlook.com) | 多租戶 | 具有公司或學校或個人Microsoft帳戶的所有使用者都可以使用您的應用程式或 API。 它包括使用 Microsoft 365 的學校和企業,以及用來登入 Xbox 和 Skype 等服務的個人帳戶。 使用此選項,以涵蓋最多的 Microsoft 帳戶。 |
多租戶應用程式的最佳做法
建置出色的多租戶應用程式可能會很困難,因為 IT 系統管理員可以在其租戶內設定多種不同的原則。 如果您選擇建置多租使用者應用程式,請遵循下列最佳做法:
- 在已設定條件式存取原則 租用戶中測試您的應用程式。
- 請遵循最少使用者存取權的原則,以確保您的應用程式只要求它實際需要的許可權。
- 為應用程式一部分公開的任何許可權提供適當的名稱和描述。 這可協助使用者和系統管理員知道他們嘗試使用您應用程式 API 時所同意的內容。 如需詳細資訊,請參閱 許可權指南中的最佳做法一節,。
注意
多租使用者應用程式可以部署到相同的國家/地區雲端實例,但不能跨 azure 國家雲端 。 例子:
- 在商業租戶中建立的多租戶應用程式可以新增至其他商業租戶。
- 在 Azure Government 租戶中建立的多租戶應用程式可以新增至其他 Azure Government 租戶。
後續步驟
如需Microsoft Entra ID 中租用的詳細資訊,請參閱: