Architektura tenantů v Azure Active Directory

Azure Active Directory (Azure AD) uspořádá objekty, jako jsou uživatelé a aplikace, do skupin označovaných jako tenanti. Tenanti umožňují správci nastavit zásady pro uživatele v organizaci a aplikace, které organizace vlastní, aby splňovaly své zásady zabezpečení a provozu.

Kdo se může přihlásit k aplikaci?

Pokud jde o vývoj aplikací, můžou si vývojáři zvolit konfiguraci aplikace tak, aby byla během registrace aplikace na webu Azure Portal buď jednoklientová, nebo více tenantů.

  • Aplikace s jedním tenantem jsou dostupné jenom v tenantovi, ve kterému byly zaregistrované, označované také jako jejich domácí tenant.
  • Aplikace s více tenanty jsou dostupné uživatelům ve svém domovském tenantovi i dalších tenantech.

Na webu Azure Portal můžete aplikaci nakonfigurovat tak, aby byla jedna tenantka nebo více tenantů, a to nastavením cílové skupiny následujícím způsobem.

Cílová skupina Jeden nebo více tenantů Kdo se může přihlásit
Účty pouze v tomto adresáři Jeden tenant Všechny účty uživatelů a hostů ve vašem adresáři můžou používat vaši aplikaci nebo rozhraní API.
Tuto možnost použijte, pokud je cílová skupina interní pro vaši organizaci.
Účty v libovolném adresáři Azure AD Vícetenantové Všichni uživatelé a hosté s pracovním nebo školním účtem od Microsoftu můžou používat vaši aplikaci nebo rozhraní API. To zahrnuje školy a firmy, které používají Microsoft 365.
Tuto možnost použijte v případě, že cílová skupina je firemní nebo vzdělávací zákazník.
Účty v libovolném adresáři Azure AD a osobních účtech Microsoft (například Skype, Xbox, Outlook.com) Vícetenantové Všichni uživatelé s pracovním nebo školním nebo osobním účtem Microsoft můžou používat vaši aplikaci nebo rozhraní API. Zahrnuje školy a firmy, které používají Microsoft 365 a osobní účty, které se používají k přihlášení ke službám, jako je Xbox a Skype.
Pomocí této možnosti můžete cílit na nejširší sadu účtů Microsoft.

Osvědčené postupy pro aplikace s více tenanty

Vytváření skvělých aplikací s více tenanty může být náročné kvůli počtu různých zásad, které můžou správci IT nastavit ve svých tenantech. Pokud se rozhodnete vytvořit aplikaci s více tenanty, postupujte podle těchto osvědčených postupů:

  • Otestujte aplikaci v tenantovi, který nakonfiguroval zásady podmíněného přístupu.
  • Postupujte podle zásady nejmenšího přístupu uživatelů, abyste zajistili, že vaše aplikace požaduje jenom oprávnění, která skutečně potřebuje.
  • Zadejte odpovídající názvy a popisy pro všechna oprávnění, která zveřejňujete jako součást aplikace. To pomáhá uživatelům a správcům zjistit, co souhlasí, když se pokusí používat rozhraní API vaší aplikace. Další informace najdete v části Osvědčené postupy v průvodci oprávněními.

Další kroky

Další informace o tenantech v Azure AD najdete v těchto tématech: