Architektura tenantů v Azure Active Directory

Azure Active Directory (Azure AD) uspořádá objekty, jako jsou uživatelé a aplikace, do skupin označovaných jako tenanti. Tenanti umožňují správci nastavit zásady pro uživatele v rámci organizace a aplikace, které organizace vlastní, aby splňovaly jejich zásady zabezpečení a provozu.

Kdo se může přihlásit k vaší aplikaci?

Při vývoji aplikací můžou vývojáři během registrace aplikace v Azure Portal nakonfigurovat svou aplikaci tak, aby byla jednoklienta nebo více tenantů.

  • Aplikace pro jednoho tenanta jsou dostupné jenom v tenantovi, ve kterému byly zaregistrované, označované také jako jejich domovský tenant.
  • Aplikace s více tenanty jsou dostupné uživatelům v jejich domovském i jiném tenantovi.

V Azure Portal můžete nakonfigurovat aplikaci tak, aby byla jednoklientová nebo víceklientová, a to nastavením cílové skupiny následujícím způsobem.

Cílová skupina Jeden nebo více tenantů Kdo se může přihlásit
Účty pouze v tomto adresáři Jeden tenant Všechny uživatelské účty a účty hostů ve vašem adresáři můžou používat vaši aplikaci nebo rozhraní API.
Tuto možnost použijte, pokud je vaše cílová skupina interní ve vaší organizaci.
Účty v libovolném adresáři Azure AD Vícetenantové Vaši aplikaci nebo rozhraní API můžou používat všichni uživatelé a hosté s pracovním nebo školním účtem z Microsoft. To platí i pro školy a firmy, které používají Microsoft 365.
Tuto možnost použijte, pokud jsou vaší cílovou skupinou firemní zákazníci nebo zákazníci z oblasti vzdělávání.
Účty v libovolném adresáři Azure AD a osobní Microsoft účty (například Skype, Xbox Outlook.com) Vícetenantové Vaši aplikaci nebo rozhraní API můžou používat všichni uživatelé s pracovním nebo školním nebo osobním Microsoft účtem. Zahrnuje školy a firmy, které používají Microsoft 365, a také osobní účty, které se používají k přihlašování ke službám, jako je Xbox a Skype.
Tato možnost slouží k cílení na nejširší sadu účtů Microsoft.

Osvědčené postupy pro aplikace s více tenanty

Vytváření skvělých aplikací s více tenanty může být náročné, protože správci IT můžou ve svých tenantech nastavit různé zásady. Pokud se rozhodnete vytvořit aplikaci s více tenanty, postupujte podle těchto osvědčených postupů:

  • Otestujte aplikaci v tenantovi, který má nakonfigurované zásady podmíněného přístupu.
  • Dodržujte zásadu nejnižšího uživatelského přístupu, abyste zajistili, že vaše aplikace vyžaduje jenom oprávnění, která skutečně potřebuje.
  • Zadejte vhodné názvy a popisy pro všechna oprávnění, která zveřejňujete jako součást aplikace. To pomáhá uživatelům a správcům zjistit, s čím souhlasí, když se pokusí použít rozhraní API vaší aplikace. Další informace najdete v části Osvědčené postupy v průvodci oprávněními.

Další kroky

Další informace o tenantech v Azure AD najdete tady: