Location dans Microsoft Entra ID
Microsoft Entra ID organise des objets tels que des utilisateurs et des applications dans des groupes appelés tenants. Les locataires permettent à un administrateur de définir des stratégies sur les utilisateurs au sein de l’organisation et les applications appartenant à l’organisation pour répondre à leurs stratégies de sécurité et opérationnelles.
Qui peut se connecter à votre application ?
Lorsqu’il s’agit de développer des applications, les développeurs peuvent choisir de configurer leur application pour qu’elle soit à tenant unique ou à plusieurs tenants lors de l’inscription de l’application.
- Les applications mono-locataires ne sont disponibles que dans le locataire dans lequel elles ont été inscrites, également appelé leur locataire de base.
- Les applications multilocataires sont à la disposition des utilisateurs dans leur tenant de base et d’autres tenants.
Lorsque vous inscrivez une application, vous pouvez la configurer pour qu’elle soit à tenant unique ou à plusieurs tenants en définissant l’audience comme suit.
Public ciblé | Mono/Multi-locataire | Qui peut se connecter |
---|---|---|
Comptes dans cet annuaire uniquement | Locataire unique | Tous les comptes d’utilisateur et d’invité dans votre annuaire peuvent utiliser votre application ou API. Utilisez cette option si votre audience cible est interne à votre organisation. |
Comptes dans n’importe quel répertoire Microsoft Entra | Multi-locataire | Tous les utilisateurs et invités avec un compte professionnel ou scolaire Microsoft peuvent utiliser votre application ou API. Cela inclut les établissements scolaires et les entreprises qui utilisent Microsoft 365. Utilisez cette option si votre audience cible est constituée de clients d’entreprise ou du secteur éducatif. |
Comptes dans n’importe quel répertoire Microsoft Entra et des comptes Microsoft personnels (tels que Skype, Xbox, Outlook.com) | Multi-locataire | Tous les utilisateurs avec un compte professionnel ou scolaire, ou un compte personnel Microsoft, peuvent utiliser votre application ou API. Cela inclut les établissements scolaires et les entreprises qui utilisent Microsoft 365, ainsi que les comptes personnels utilisés pour se connecter à des services tels que Xbox et Skype. Utilisez cette option pour cibler l’ensemble plus large de comptes Microsoft. |
Meilleures pratiques pour les applications multilocataires
La création d’excellentes applications multilocataires peut s’avérer difficile en raison du nombre de stratégies différentes que les administrateurs informatiques peuvent définir dans leurs tenants. Si vous choisissez de créer une application multilocataire, suivez ces meilleures pratiques :
- Testez votre application dans un locataire dans lequel des stratégies d’accès conditionnel sont configurées.
- Suivez le principe de moindre accès utilisateur pour vous assurer que votre application demande uniquement des autorisations dont elle a réellement besoin.
- Fournissez les noms et descriptions appropriés de toutes les autorisations que vous exposez dans le cadre de votre application. Cela permet aux utilisateurs et administrateurs de savoir ce qu’ils sont autorisés à faire quand ils tentent d’utiliser les API de votre application. Pour plus d’informations, consultez la section des meilleures pratiques dans le guide des autorisations.
Étapes suivantes
Si vous souhaitez obtenir plus d’informations sur la location dans Microsoft Entra ID, consultez :