Tenancy in Microsoft Entra ID
Microsoft Entra ID organizza gli oggetti come utenti e app in gruppi denominati tenant. I tenant consentono a un amministratore di impostare criteri per gli utenti all'interno dell'organizzazione e le app di proprietà dell'organizzazione per soddisfare i criteri operativi e di sicurezza.
Chi può accedere all'applicazione?
Quando si tratta di sviluppare app, gli sviluppatori possono scegliere di configurare l'app come tenant singolo o multi-tenant durante la registrazione dell'app.
- Le app a tenant singolo sono disponibili solo nel tenant in cui sono state registrate, noto anche come tenant home.
- Le app multi-tenant sono disponibili per gli utenti sia nel rispettivo tenant principale che in altri tenant.
Quando si registra un'applicazione, è possibile configurarla in modo che sia a tenant singolo o multi-tenant impostando il gruppo di destinatari come indicato di seguito.
Destinatari | Singolo tenant/multi-tenant | Chi può accedere |
---|---|---|
Account solo in questa directory | Tenant singolo | Tutti gli account utente e guest nella directory possono usare l'applicazione o l'API. Usare questa opzione se il gruppo di destinatari è interno all'organizzazione. |
Account in qualsiasi directory di Microsoft Entra | Multitenant | Tutti gli utenti e gli utenti guest con un account Microsoft aziendale o dell'istituto di istruzione possono usare l'applicazione o l'API. Ciò include gli istituti di istruzione e le aziende che usano Microsoft 365. Usare questa opzione se i destinatari sono clienti aziendali o di istituti di istruzione. |
Account in qualsiasi directory di Microsoft Entra e account Microsoft personali (ad esempio Skype, Xbox, Outlook.com) | Multitenant | Tutti gli utenti con un account aziendale o dell'istituto di istruzione o con un account Microsoft personale possono usare l'applicazione o l'API. Sono inclusi gli istituti di istruzione e le aziende che usano Microsoft 365, nonché gli account personali usati per accedere a servizi come Xbox e Skype. Usare questa opzione per rivolgersi alla gamma più ampia di account Microsoft. |
Procedure consigliate per le app multi-tenant
Creare app multi-tenant ottimali può essere difficile a causa del numero di criteri diversi che gli amministratori possono impostare nei loro tenant. Se si sceglie di creare un'app multi-tenant, seguire queste best practice:
- Testare l'app in un tenant con criteri di accesso condizionale configurati.
- Seguire il principio dell'accesso utente con privilegi minimi per assicurarsi che l'app richieda solo le autorizzazioni effettivamente necessarie.
- Specificare nomi e descrizioni appropriati per tutte le autorizzazioni esposte come parte dell'app. In questo modo, utenti e amministratori sanno esattamente quello che stanno accettando quando tentano di usare le API dell'app. Per altre informazioni, vedere la sezione delle procedure consigliate nella guida alle autorizzazioni.
Passaggi successivi
Per altre informazioni sulla tenancy in Microsoft Entra ID, vedere: