Grundlegendes zur App- und Mandantenarchitektur

Gilt für: Architekt

Verwenden Sie diesen Artikel, um die SharePoint Embedded-Kernarchitektur zuzuordnen, bevor Sie ein App-Modell auswählen oder einen Containertyp erstellen.

SharePoint Embedded ist nur API-Speicher, der auf Microsoft 365 basiert. Ihre Anwendung bietet die Benutzererfahrung. Files und Dokumente werden in Containern gespeichert und über Microsoft Graph aufgerufen.

Architektur auf einen Blick

SharePoint Embedded trennt drei Konzepte:

  • Die Anwendung, die Microsoft Graph aufruft.
  • Der Containertyp, der den Anwendungszugriff, das Verhalten und die Abrechnungs-Verantwortlichkeit definiert.
  • Die Container und Dateien, die sich innerhalb einer Microsoft 365-Mandantengrenze befinden.

Alle Dateien und Dokumente in SharePoint Embedded werden in Containern gespeichert.

Alle Container und Containerinhalte werden in einem Microsoft 365-Mandanten erstellt und gespeichert.

Anwendungen erstellen, verwalten und interagieren mit Containern und Containerinhalten über Microsoft Graph.

Diagramm der SharePoint Embedded-Architektur. Eine SharePoint Embedded-Anwendung ruft Microsoft Graph auf, das eine Verbindung mit dem Speicher in einem Microsoft 365-Mandanten herstellt. Innerhalb des Mandanten gruppiert ein Containertyp einen Stapel von Containern, und jeder Container enthält Dateien und Dokumente.

Abbildung 1: Die Anwendung ruft Microsoft Graph auf, und Graph liest und schreibt Dateien in Containern, die sich innerhalb der Microsoft 365-Mandantengrenze befinden.

Entwicklermandant und Nutzungsmandant

SharePoint Embedded verwendet zwei Mandantenrollen.

Mandantenrolle Bedeutung Typische Verantwortung
Besitzer des Mandanten Der Microsoft Entra ID Mandant, in dem ein Containertyp erstellt wird. Besitzer der Microsoft Entra ID App-Registrierung und Verwalten des Containertyps.
Nutzen des Mandanten Der Microsoft Entra ID Mandant, in dem ein Containertyp verwendet wird. Hosten von Containern und Inhalten für Benutzer der Anwendung.

Derselbe Microsoft Entra ID Mandant kann sowohl der besitzernde als auch der nutzende Mandant für einen bestimmten Containertyp sein.

Beispielsweise kann eine Branchen-App (Enterprise Line-of-Business) im Besitz des Unternehmensmandanten sein und in diesem Mandanten verwendet werden.

Eine IsV-App (Independent Software Vendor) kann sich im Besitz des ISV-Mandanten befinden und in vielen verschiedenen Kundenmandanten verwendet werden.

Wichtig

Container und Inhalte werden im verbrauchenden Mandanten gespeichert. Sie werden nicht in den Entwickler- oder ISV-Mandanten verschoben, nur weil sich die App dort befindet.

App-Besitz

Eine SharePoint Embedded-Anwendung ist eine Microsoft Entra ID Anwendungsregistrierung.

Als Besitzer- oder Gastanwendung für einen Containertyp hat die App Zugriff auf Container dieses Containertyps.

SharePoint Embedded erfordert eine 1:1-Beziehung zwischen einer besitzenden Anwendung und einem Containertyp.

Das bedeutet Folgendes:

  • Eine app besitzt nur einen Containertyp.
  • Ein Containertyp gehört genau einer App.
  • Der besitzereigene App-Entwickler ist für das Erstellen und Verwalten dieses Containertyps verantwortlich.
  • Die besitzende App definiert die Zugriffssteuerungen für Gast-Apps für Container dieses Typs.

Hinweis

Anderen Anwendungen kann Zugriff auf denselben Containertyp gewährt werden, aber der Containertyp verfügt immer noch nur über eine eigene Anwendung.

Containertypen

Ein Containertyp ist eine SharePoint Embedded-Ressource.

Es definiert die Beziehung, Zugriffsberechtigungen und Abrechnungskonten zwischen einer Anwendung und einer Gruppe von Containern.

Außerdem werden ausgewählte Verhaltensweisen für alle Container dieses Typs definiert.

Der Containertyp wird in jedem Container als unveränderliche Eigenschaft dargestellt.

Verwenden Sie einen Containertyp, um diese Architekturfragen zu beantworten:

  • Welche App besitzt diese Containerfamilie?
  • Welcher Mandant ist für die Abrechnung verantwortlich?
  • Welche Verhaltenseinstellungen gelten für alle Container dieses Typs?

Weitere Informationen finden Sie unter Grundlegendes zu Containertypen und Containern.

Containertypregistrierungsressource

Eine Containertypregistrierung ist auch eine SharePoint Embedded-Ressource.

Es stellt die Installation eines Containertyps in einem bestimmten, verbrauchenden Mandanten dar. Außerdem werden ausgewählte Verhaltensweisen für alle Container dieses Typs in diesem spezifischen Verbrauchmandanten definiert.

Verwenden Sie eine Containertypregistrierung, um diese Architekturfragen zu beantworten:

  • Welche Apps können auf Container dieses Typs in einem nutzenden Mandanten zugreifen?
  • Welcher Mandant kann Container dieses Typs erstellen?
  • Welche Verhaltenseinstellungen gelten für alle Container dieses Typs in einem nutzenden Mandanten?

Weitere Informationen finden Sie unter Grundlegendes zu Containertypen und Containern.

Container

Ein Container ist die grundlegende Speichereinheit in SharePoint Embedded.

Ein Container definiert auch eine Sicherheits- und Compliancegrenze.

Anwendungen können viele Container für einen Containertyp in jedem Nutzenmandanten erstellen.

Jeder Container bietet einen Ort zum Speichern von Dateien. Sie können sich dies ähnlich wie eine reine API-Dokumentbibliothek in SharePoint Online vorstellen, mit spezifischen Unterschieden für SharePoint Embedded.

Container können viele Dateien und mehrere Terabyte an Inhalt speichern, vorbehaltlich der SharePoint Embedded-Grenzwerte.

Aktuelle Grenzwerte finden Sie unter Grundlegendes zu Grenzwerten und Aufrufmustern.

Wo sich Dateien befinden

Wenn ein Mandant eine SharePoint Embedded-App verwendet, erstellt SharePoint Embedded eine Speicherpartition in diesem Microsoft 365-Mandanten.

Die Partition verfügt nicht über eine SharePoint Online-Benutzeroberfläche.

Auf Dokumente in der Partition kann über APIs und über von der App bereitgestellte Inhaltserfahrungen zugegriffen werden.

Files innerhalb der Microsoft 365-Mandantengrenze des Verbrauchers verbleiben.

Die Microsoft 365-Einstellungen des nutzenden Mandanten gelten für App-Dokumente, einschließlich unterstützter Microsoft Purview-Sicherheits- und Compliancerichtlinien.

Informationen zur Governanceplanung finden Sie unter Planen von Sicherheit, Compliance und Governance.

Containertypregistrierungen

Eine besitzende App kann erst dann mit Containern in einem nutzenden Mandanten interagieren, wenn der Containertyp in diesem nutzenden Mandanten registriert ist.

Die Containertypregistrierung wird von der besitzenden Anwendung durchgeführt.

Die Registrierung gibt die Berechtigungen an, die die besitzende App und Gast-Apps für Container dieses Containertyps im nutzenden Mandanten besitzen.

Vollständige Registrierungsanforderungen finden Sie unter Registrieren von Anwendungsberechtigungen vom Typ "Dateispeichercontainer".

Zugriffsbeziehungen

Der Zugriff einer Anwendung auf Container und Inhalte wird durch berechtigungen bestimmt, die während der Containertypregistrierung konfiguriert wurden.

Die besitzende Anwendung erhält Berechtigungen für ihren Containertyp, wenn der Containertyp erstellt wird. Es kann jedoch nur nach der Registrierung in einem nutzenenden Mandanten mit Containern seines Containertyps interagieren.

Das folgende Diagramm zeigt das dedizierte Muster. Drei Anwendungen werden in einem Mandanten bereitgestellt: zwei Unabhängige Softwareanbieter-Apps (App 1 und App 2) und eine Branchen-App (App 3). Jede App besitzt einen separaten Containertyp und kann nur auf den Stapel von Containern für den Containertyp zugreifen, den sie besitzt.

Diagramm des dedizierten Zugriffsmusters. Drei Anwendungen (App 1, App 2 und App 3) besitzen jeweils einen separaten Containertyp, und jede App kann nur auf ihren eigenen Containerstapel zugreifen. Keine App kann die Container einer anderen App erreichen.

Abbildung 2: Dedizierter Zugriff. Jede Anwendung besitzt einen Containertyp und erreicht nur ihre eigenen Container.

SharePoint Embedded ermöglicht anwendungen auch den Zugriff auf Container mit Containertypen, die sie nicht besitzen, wenn diese Berechtigungen in der Containertypregistrierung erteilt werden.

Das nächste Diagramm zeigt das freigegebene Muster. App 1 und App 2 haben beide Zugriff auf denselben Containertyp, sodass beide Apps auf denselben Containerstapel zugreifen können.

Diagramm des Musters für gemeinsamen Zugriff. App 1 und App 2 stellen beide eine Verbindung mit einem einzelnen Containertyp und dessen Containerstapel her. App 1 besitzt den Containertyp, und App 2 erhält Gastzugriff auf denselben Containertyp.

Abbildung 3: Gemeinsam genutzter Zugriff. Eine App besitzt den Containertyp, und einer anderen App wird Zugriff auf dieselben Container gewährt.

Planen Sie das Zugriffsmodell sowohl mit Anwendungsberechtigungen als auch mit Benutzercontainerberechtigungen.

Ausführliche Informationen finden Sie unter Planen von Authentifizierung und Berechtigungen.

Allgemeine Architekturmuster

Branchen-App für Unternehmen

In einer Branchen-App für Unternehmen:

  • Der Unternehmensmandant ist in der Regel Besitzer der App-Registrierung.
  • Der Unternehmensmandant erstellt den Containertyp.
  • Derselbe Unternehmensmandant nutzt die App.
  • Container und Dateien werden im Unternehmensmandanten gespeichert.
  • Unternehmensadministratoren verwalten Abrechnungs-, Compliance- und Mandanteneinstellungen.

Verwenden Sie dieses Modell, wenn die App für die interne Verwendung in einer organization erstellt wurde.

MEHRinstanzenfähige ISV-App

In einer ISV-App:

  • Der ISV-Mandant besitzt die App-Registrierung.
  • Der ISV-Mandant erstellt den Containertyp.
  • Kundenmandanten nutzen die App.
  • Container und Dateien werden in jedem Kundenmandanten gespeichert.
  • Kundenmandanteneinstellungen gelten für die Inhalte dieses Kunden.

Verwenden Sie dieses Modell, wenn eine App von mehreren Kundenmandanten verwendet wird.

Das folgende Diagramm zeigt ein beispiel für die Arbeit. Contoso ist ein ISV, der eine Personal-App auf SharePoint Embedded erstellt und in Fabrikam, einem Überwachungsunternehmen, bereitgestellt hat. Fabrikam hat auch eine eigene Branchenüberwachungs-App erstellt. Jede App verfügt über einen eigenen Containertyp: Contoso besitzt die HR-App und ihren Containertyp, und Fabrikam besitzt die Überwachungs-App und ihren Containertyp. Fabrikam ist der mandant für beide Apps, sodass beide Containerstapel im Microsoft 365-Mandanten von Fabrikam gespeichert werden. Fabrikam besitzt alle Daten, die in seinem Microsoft 365-Mandanten gespeichert sind, einschließlich der Hr App-Daten.

Diagramm eines ausgeführten ISV-Beispiels. Die Personalanwendung von Contoso und ihr Containertyp befinden sich im Contoso-Mandanten. Sowohl die Personal-App von Contoso als auch die Branchenüberwachungs-App von Fabrikam arbeiten im Fabrikam-Mandanten, in dem der Containerstapel jeder App separat gespeichert wird.

Abbildung 4: Eine ISV-App (Contoso) und eine BRANCHEN-App (Fabrikam) besitzen jeweils einen Containertyp und speichern ihre Container im gleichen verbrauchenden Mandanten (Fabrikam).

Informationen zur Modellauswahl finden Sie unter Auswählen eines App-Modells: einzelinstanzenfähig oder mehrinstanzenfähig.

Planungscheckliste

  • Identifizieren Sie den besitzereigenen Mandanten.
  • Identifizieren Sie die einzelnen Mandanten, die die Nutzung nutzen.
  • Bestätigen Sie, wo sich die Microsoft Entra ID App-Registrierung befindet.
  • Vergewissern Sie sich, welche App-Registrierung den Containertyp besitzt.
  • Entscheiden Sie, ob andere Gast-Apps Zugriff benötigen.
  • Entscheiden Sie, wo Container erstellt werden.
  • Vergewissern Sie sich, dass der Inhalt im verbrauchenden Mandanten verbleiben muss.
  • Planen Sie die Containertypregistrierung für jeden mandanten, der die Nutzung nutzt.
  • Planen Sie die Abrechnung für den Containertyp.
  • Planen Der Authentifizierung und der Administratoreinwilligung.
  • Planen von Sicherheits- und Compliance-Verantwortlichkeiten.

Nächste Schritte

Wählen Sie das App-Modell aus, das Ihrem Mandanten und Ihrer Kundenbeziehung entspricht: Wählen Sie ein App-Modell aus: einzelinstanzenfähig oder mehrinstanzenfähig.