Modificare gli account supportati da un'applicazione
Quando si registra un'applicazione con Microsoft Identity Platform, si specifica chi o quali tipi di account possono accedervi. Ad esempio, è possibile specificare gli account solo della propria organizzazione, per cui l'app è a tenant singolo. Oppure è possibile specificare gli account di qualsiasi organizzazione (inclusa la propria), per cui l'app è multi-tenant.
Le sezioni seguenti illustrano come modificare la registrazione dell'app per cambiare chi o quali tipi di account possono accedere all'applicazione.
Prerequisiti
Modificare la registrazione dell'applicazione per supportare account diversi
Suggerimento
I passaggi descritti in questo articolo possono variare leggermente in base al portale da cui si inizia.
Per specificare un'impostazione diversa per i tipi di account supportati da una registrazione dell'app esistente:
Accedere all'Interfaccia di amministrazione di Microsoft Entra almeno come sviluppatore di applicazioni.
Se si ha accesso a più tenant, usare l'icona Impostazioni nel menu in alto per passare al tenant contenente la registrazione dell'app dal menu Directory e sottoscrizioni.
Passare a Identità>Applicazioni>Registrazioni app.
Selezionare l'applicazione, quindi selezionare Manifesto per usare l'editor del manifesto.
Scaricare il file JSON del manifesto in locale.
Specificare ora chi può usare l'applicazione, ovvero i destinatari per l'accesso. Trovare la proprietà signInAudience nel file JSON del manifesto e impostarla su uno dei valori di proprietà seguenti:
Valore proprietà Tipi di conto supportati Descrizione AzureADMyOrg Account solo in questa directory dell'organizzazione (Solo Microsoft - Tenant singolo) Tutti gli account utente e guest nella directory possono usare l'applicazione o l'API. Usare questa opzione se il gruppo di destinatari è interno all'organizzazione. AzureADMultipleOrgs Account in qualsiasi directory dell'organizzazione (qualsiasi directory Microsoft Entra - multi-tenant) Tutti gli utenti con un account Microsoft aziendale o dell'istituto di istruzione possono usare l'applicazione o l'API. Sono inclusi gli istituti di istruzione e le aziende che usano Office 365. Usare questa opzione se il gruppo di destinatari è costituito da clienti aziendali o di istituti di istruzione e per abilitare il multi-tenancy. AzureADandPersonalMicrosoftAccount Gli account presenti in qualsiasi directory dell'organizzazione (qualsiasi directory Microsoft Entra - Multi-tenant) e gli account Microsoft personali (ad esempio, Skype, Xbox) Tutti gli utenti con un account aziendale o dell'istituto di istruzione o con un account Microsoft personale possono usare l'applicazione o l'API. Sono inclusi gli istituiti di istruzione e le aziende che usano Office 365, nonché gli account personali usati per accedere a servizi come Xbox e Skype. Usare questa opzione per includere il set più ampio possibile di identità Microsoft e per abilitare la multi-tenancy. PersonalMicrosoftAccount Solo account Microsoft personali Account personali usati per accedere a servizi quali Xbox e Skype. Usare questa opzione per includere il set più ampio possibile di identità Microsoft. Salvare le modifiche apportate al file JSON in locale, quindi selezionare Caricare nell'editor del manifesto per caricare il file JSON del manifesto aggiornato.
Perché il passaggio al multi-tenant può non riuscire
Il passaggio di una registrazione dell'app da singolo a multi-tenant a volte può non riuscire a causa di conflitti di nomi nell'URI dell'ID applicazione. Un esempio di URI dell'ID app è https://contoso.onmicrosoft.com/myapp
.
L'URI dell'ID App è uno dei modi in cui un'applicazione viene identificata nei messaggi di protocollo. Per un'applicazione a tenant singolo, è sufficiente che l'URI dell'ID app sia univoco all'interno del tenant. Per un'applicazione multi-tenant, è necessario che sia univoco a livello globale in modo che Microsoft Entra ID possa trovare l'app in tutti i tenant. L'univocità globale viene applicata richiedendo che il nome host dell'URI dell'ID app corrisponda a uno dei domini verificati dell'entità di pubblicazione del tenant di Microsoft Entra.
Se ad esempio il nome del tenant è contoso.onmicrosoft.com, https://contoso.onmicrosoft.com/myapp
sarà un URI dell'ID app valido. Se il tenant ha il domini verificato contoso.com, un URI dell'ID app valido sarà anche https://contoso.com/myapp
. Se l'URI dell'ID app non segue il secondo modello, https://contoso.com/myapp
, la conversione della registrazione dell'app in multi-tenant non riesce.
Per altre informazioni sulla configurazione di un dominio dell'entità di pubblicazione verificato, vedere Configurare un dominio verificato.
Passaggi successivi
Altre informazioni sui requisiti per convertire un'app da tenant singolo a multitenant.