設定應用程式的 Microsoft Entra 測試環境
若要協助將應用程式移至開發、測試和生產生命週期,請設定 Microsoft Entra 測試環境。 您可以在應用程式開發初期階段使用 Microsoft Entra 測試環境,並長期作為永久測試環境。
專用測試租用戶或生產 Microsoft Entra 租用戶?
您的第一項工作是決定使用專用於測試的 Microsoft Entra 租用戶或生產租用戶作為測試環境。
使用實際執行租用戶可讓應用程式測試的某些層面更容易,但測試與實際執行資源之間需要有適當的隔離等級。 針對高權限的情節,隔離更是重要。
在下列狀況下,請勿使用生產 Microsoft Entra 租用戶:
- 您的應用程式會使用需要全租用戶唯一性的設定。 例如,您的應用程式可能需要透過使用僅限應用程式的權限,以自己的身份存取租用戶資源,而不是代表用戶。 僅限應用程式存取需要適用於整個租用戶的管理員同意。 在租用戶界限內,這類權限很難安全地縮小範圍。
- 您對於租用戶成員可能未經授權存取測試資源的風險容錯很低。
- 設定變更可能會對生產環境的重要作業造成負面影響。
- 您無法在生產租用戶中建立使用者或其他測試資料。
- 原則會在生產租用戶中啟用,且需要在驗證期間進行使用者互動。 例如,如果所有用戶都需要多重身份驗證,則無法使用自動登入進行整合測試。
- 將非生產資源和/或工作負載新增至您的生產環境租用戶,會超過該租用戶的服務或節流限制。
如果有任何適用的限制,請在個別的租用戶中設定測試環境。
如果這些限制皆不適用,您可以在生產租用戶中設定測試環境。 請注意,生產租使用者中具有特殊許可權角色的使用者(例如雲端應用程式管理員)可以隨時存取其資源並變更其設定。 若要防止存取任何測試資源或設定,請將該資料放在不同的租用戶中。
在個別的租用戶中設定測試環境
如果您無法在實際執行租用戶中安全限制測試應用程式,請建立個別的租用戶以供開發和測試使用。
取得測試租用戶
如果您還沒有專用的測試租用戶,可以使用 Microsoft 365 開發人員程式來免費建立測試租用戶,或手動建立租用戶。
加入 Microsoft 365 開發人員計畫 (建議)
Microsoft 365 開發人員計畫是免費的,而且可以將測試使用者帳戶和範例資料套件自動新增至租用戶。
- 按一下畫面上的 [立即加入] 按鈕。
- 使用新的 Microsoft 帳戶登入,或使用您已擁有的現有 (公司) 帳戶登入。
- 在註冊頁面上,選取您的區域,輸入公司名稱並接受計畫的條款及條件,然後按 [下一步]。
- 按一下 [設定訂閱]。 指定您要建立新租用戶的區域、建立使用者名稱、網域,然後輸入密碼。 這將建立新的租用戶,以及租用戶的第一位系統管理員。
- 輸入保護新租用戶的系統管理員帳戶所需的安全性資訊。 這樣將會針對帳戶設定多重要素驗證。
手動建立租用戶
您可以手動建立租用戶,在建立時將會是空的,而且必須使用測試資料進行設定。
將使用者填入您的租用戶
提示
本文中的步驟可能會根據您從開始的入口網站稍有不同。
為了方便起見,您可以邀請自己和開發小組的其他成員成為租用戶中的來賓使用者。 這將在測試租用戶中建立不同的來賓物件,但這表示您只需針對公司帳戶與測試帳戶管理一組認證。
- 以至少 應用程式開發人員 的身分登入 Microsoft Entra 系統管理中心。
- 瀏覽至 [身分識別]>[使用者]>[所有使用者]。
- 選取 [新增使用者]>[邀請外部使用者],然後邀請您的工作帳戶電子郵件位址。
- 針對開發和/或測試小組的其他成員重複執行您的應用程式。
您也可以在測試租用戶中建立測試使用者。 如果您使用其中一個 Microsoft 365 範例套件,則您的租用戶中可能已經有一些測試使用者。 如果沒有,您應該能夠建立自己的租用戶系統管理員。
- 瀏覽至 [身分識別]>[使用者]>[所有使用者]。
- 選取 [新增使用者]>[建立新使用者],然後在您的目錄中建立一些新的測試使用者。
取得 Microsoft Entra 訂用帳戶 (選擇性)
如果您想要在應用程式中完整測試 Microsoft Entra ID P1 或 P2 功能,您必須註冊租用戶以取得 Premium P1 或 Premium P2 授權。
如果您使用 Microsoft 365 開發人員計畫註冊,則您的測試租用戶將隨附 Microsoft Entra ID P2 授權。 如果沒有,您仍然可以啟用一個月 免費試用Microsoft Entra ID P1 或 P2。
建立並設定應用程式註冊
您必須建立應用程式註冊,以在測試環境中使用。 這應該是來自您最終實際執行應用程式註冊的個別註冊,以在您的測試環境與實際執行環境之間維持安全性隔離。 您設定應用程式的方式取決於您所建立的應用程式類型。 如需詳細資訊,請參閱左側瀏覽窗格中應用程式案例的應用程式註冊步驟,例如 Web 應用程式註冊這篇文章。
將原則填入您的租用戶
如果您的應用程式主要是由單一組織使用 (通常稱為單一租用戶),而且您有權存取該實際執行租用戶,則您應該嘗試複寫實際執行租用戶的設定,這可能會影響您的應用程式行為。 那樣將會降低在實際執行環境中進行操作時,發生非預期錯誤的機會。
條件式存取原則
複寫條件式存取原則可確保移至生產環境時,您不會遇到非預期的封鎖存取,而且您的應用程式可以適當地處理可能收到的錯誤。
檢視生產租用戶條件式存取原則可能需要由 條件式存取系統管理員 執行。
- 前往 [身分識別]>[應用程式]>[企業應用程式]>[條件式存取]。
- 檢視租用戶中的原則清單。 按一下第一個原則。
- 瀏覽至 [雲端應用程式或動作]。
- 如果原則只適用於選取的應用程式群組,請移至下一個原則。 如果沒有,則當您移至生產環境時,可能也會套用至您的應用程式。 您應該將原則複製到您的測試租用戶。
在新的索引標籤或瀏覽器工作階段中,請以至少 條件式存取系統管理員 的身分登入 Microsoft Entra 系統管理中心,以存取您的測試租用戶。
- 瀏覽至 [保護]>[條件式存取]。
- 選取 [建立新原則]
- 從實際執行的租用戶原則中複製設定,此原則是透過先前的步驟來識別。
權限授與原則
複寫權限授與原則可確保您在移至實際執行環境時,不會遇到需要管理員同意的非預期提示。
瀏覽至 [身分識別]>[應用程式]>[企業應用程式]>[同意和權限]>[使用者同意] 設定。 將設定複製到您的測試租用戶。
權杖存留期原則
複寫權杖存留期原則可確保簽發給應用程式的權杖,不會在生產環境中意外過期。
目前只能透過 PowerShell 管理權杖存留期原則。 請參閱可設定的權杖存留期,了解如何識別適用於整個生產組織的任何權杖存留期原則。 將這些原則複製到您的測試租用戶。
在您的生產環境租用戶中設定測試環境
如果您可以在實際執行的租用戶中安全地限制測試應用程式,請繼續並設定租用戶以供測試之用。
建立並設定應用程式註冊
您必須建立應用程式註冊,以在測試環境中使用。 這應該是來自您最終實際執行應用程式註冊的個別註冊,以在您的測試環境與實際執行環境之間維持安全性隔離。 您設定應用程式的方式取決於您所建立的應用程式類型。 如需詳細資訊,請參閱左側瀏覽窗格中的應用程式案例的應用程式註冊步驟。
建立一些測試案例
您必須在測試案例時,建立一些具有相關聯測試資料的測試使用者以供使用。 此步驟可能需要由管理員執行。
- 瀏覽至 [身分識別]>[使用者]>[所有使用者]。
- 選取 [新增使用者]>[建立新使用者],然後在您的目錄中建立一些新的測試使用者。
將測試使用者新增至群組 (選擇性)
為了方便起見,您可以將所有這些使用者指派給群組,讓其他指派作業更容易。
- 瀏覽至 [身分識別]>[群組]>[所有群組]。
- 選取新增群組。
- 針對 [群組類型] 選取 [安全性] 或 [Microsoft 365]。
- 為群組命名。
- 加入在上一個步驟中建立的測試使用者。
將您的測試應用程式限制為特定使用者
您可以透過使用者指派,將您租用戶中允許使用測試應用程式的使用者,限制為特定的使用者或群組。 當您透過應用程式註冊建立應用程式時,也會在 Enterprise 應用程式中建立應用程式的表示。 使用 Enterprise 應用程式設定,限制可以在您的租用戶中使用應用程式的人員。
重要
如果您的應用程式是多租用戶應用程式,則此作業不會限制其他租用戶中的使用者登入和使用您的應用程式。 只會限制租用戶中設定使用者指派的使用者。
如需將應用程式限制為租用戶中特定使用者的詳細指示,請移至將應用程式限制為一組使用者。
下一步
請在 這裡 瞭解您可能會遇到的 Microsoft Entra 使用限制和服務限制。 您可以在這裡找到一般 Azure 訂用帳戶和服務限制、配額與條件約束。
如需測試環境的詳細資訊,請參閱 使用 Microsoft Entra ID 保護 Azure 環境。