Ändern der von einer Anwendung unterstützten Konten

  • Artikel

Wenn Sie Ihre Anwendung bei Microsoft Identity Platform registriert haben, haben Sie festgelegt, wer (d. h. welche Kontotypen) darauf zugreifen kann. Sie haben beispielsweise ausschließlich Konten in Ihrer Organisation angegeben. Dies entspricht dann einer App mit einem einzelnen Mandanten. Oder Sie haben möglicherweise Konten in beliebigen Organisationen (einschließlich Ihrer eigenen) angegeben. Dies entspricht dann einer App mit mehreren Mandanten.

In den folgenden Abschnitten erfahren Sie, wie Sie die Registrierung Ihrer App bearbeiten, um zu ändern, welche Benutzer oder Kontotypen auf die Anwendung zugreifen können.

Voraussetzungen

Unterstützen anderer Konten durch Ändern der Anwendungsregistrierung

Tipp

Die Schritte in diesem Artikel können je nach dem Portal, mit dem Sie beginnen, geringfügig variieren.

So geben Sie eine andere Einstellung für die Kontotypen an, die von einer vorhandenen App-Registrierung unterstützt werden:

  1. Melden Sie sich beim Microsoft Entra Admin Center mindestens mit der Rolle Anwendungsentwickler an.

  2. Wenn Sie Zugriff auf mehrere Mandanten haben, verwenden Sie das Symbol für Einstellungen im oberen Menü, um zum Mandanten zu wechseln, der die App-Registrierung aus dem Menü Verzeichnisse + Abonnements enthält.

  3. Navigieren Sie zu Identität>Anwendungen>App-Registrierungen.

  4. Wählen Sie Ihre Anwendung und dann Manifest aus, um den Manifest-Editor zu verwenden.

  5. Laden Sie die JSON-Manifestdatei lokal herunter.

  6. Geben Sie nun an, wer die Anwendung verwenden kann (manchmal auch als Zielgruppe für die Anmeldung bezeichnet). Suchen Sie die Eigenschaft signInAudience in der JSON-Manifestdatei, und legen Sie sie auf einen der folgenden Eigenschaftswerte fest:

    Eigenschaftswert Unterstützte Kontotypen BESCHREIBUNG
    AzureADMyOrg Nur Konten in diesem Organisationsverzeichnis (nur "Microsoft" – einzelner Mandant) Alle Benutzer- und Gastkonten in Ihrem Verzeichnis können Ihre Anwendung oder API verwenden. Wählen Sie diese Option, wenn Ihre Zielgruppe sich innerhalb Ihrer Organisation befindet.
    AzureADMultipleOrgs Konten in einem beliebigen Organisationsverzeichnis (beliebiges Microsoft Entra-Verzeichnis – mehrinstanzenfähig) Alle Benutzer mit einem Geschäfts-, Schul- oder Unikonto von Microsoft können Ihre Anwendung oder API verwenden. Dazu gehören auch Bildungseinrichtungen und Unternehmen, die Office 365 verwenden. Verwenden Sie diese Option, wenn Ihre Zielgruppe Kunden aus dem Unternehmens- oder Bildungsbereich sind und Sie die Mehrinstanzenfähigkeit aktivieren möchten.
    AzureADandPersonalMicrosoftAccount Konten in einem beliebigen Organisationsverzeichnis (beliebiges Microsoft Entra-Verzeichnis – mehrinstanzenfähig) und persönliche Microsoft-Konten (z. B. Skype, Xbox) Alle Benutzer mit einem Geschäfts-, Schul- oder Unikonto bzw. einem persönlichen Microsoft-Konto können Ihre Anwendung oder API verwenden. Dazu gehören Bildungseinrichtungen und Unternehmen, die Office 365 nutzen, sowie persönliche Konten, mit denen die Anmeldung bei Diensten wie Xbox und Skype erfolgt. Mit dieser Option beziehen Sie die umfassendste Gruppe von Microsoft-Identitäten ein und aktivieren die Mehrinstanzenfähigkeit.
    PersonalMicrosoftAccount Nur persönliche Microsoft-Konten Persönliche Konten, die für die Anmeldung bei Diensten wie Xbox und Skype verwendet werden Mit dieser Option beziehen Sie die umfassendste Gruppe von Microsoft-Identitäten ein.

  7. Speichern Sie Ihre Änderungen an der JSON-Datei lokal, und wählen Sie dann im Manifest-Editor Hochladen aus, um die aktualisierte JSON-Manifestdatei hochzuladen.

Gründe für Fehler bei der Umstellung auf mehrere Mandanten

Aufgrund von Namenskonflikten des Anwendungs-ID-URI (App-ID-URI) kann es bei der Umstellung einer App-Registrierung von einem Mandanten auf mehrere Mandanten manchmal zu Fehlern kommen. Ein Beispiel für einen App-ID-URI ist https://contoso.onmicrosoft.com/myapp.

Der App-ID-URI ist eine der Methoden, mit der eine Anwendung in Protokollmeldungen identifiziert wird. Bei einer Anwendung mit einem einzelnen Mandanten muss der App-ID-URI nur in diesem Mandanten eindeutig sein. Bei einer mehrinstanzenfähigen Anwendung muss er global eindeutig sein, damit Microsoft Entra ID die App in allen Mandanten finden kann. Globale Eindeutigkeit wird durch die Anforderung erzwungen, dass der Hostname des App-ID-URI mit verifizierten Herausgeberdomänen des Microsoft Entra-Mandanten übereinstimmt.

Wenn der Name Ihres Mandanten also beispielsweise contoso.onmicrosoft.com lautet, ist https://contoso.onmicrosoft.com/myapp ein gültiger App-ID-URI. Wenn Ihr Mandant eine verifizierte Domäne von contoso.com hat, ist auch https://contoso.com/myapp ein gültiger App-ID-URI. Wenn der App-ID-URI nicht das zweite Format (https://contoso.com/myapp) aufweist, tritt bei der Umstellung der App-Registrierung auf mehrere Mandanten ein Fehler auf.

Weitere Informationen zum Konfigurieren einer verifizierten Herausgeberdomäne finden Sie unter Schnellstart: Ändern der von einer Anwendung unterstützten Konten.

Nächste Schritte

Weitere Informationen zu den Anforderung für das Umstellung einer App-Registrierung von einem Mandanten auf mehrere Mandanten