Microsoft Entra ID organizza oggetti come utenti e app in gruppi denominati tenant . I tenant consentono a un amministratore di impostare i criteri per gli utenti all'interno dell'organizzazione e le app di proprietà dell'organizzazione per soddisfare i criteri di sicurezza e operativi.
Chi può accedere all'app?
Quando si tratta di sviluppare app, gli sviluppatori possono scegliere di configurare l'app come applicazione singola o multitenant durante la registrazione dell'app.
Le app a tenant singolo sono disponibili solo nel tenant in cui sono state registrate, conosciuto anche come tenant principale.
Le app multi-tenant sono disponibili per gli utenti sia nel tenant principale che in altri tenant.
Quando si registra un'applicazione, è possibile configurarla in modo che sia a tenant singolo o multi-tenant impostando il gruppo di destinatari come indicato di seguito.
Pubblico
Tenant singolo/multi-tenant
Chi può accedere
Solo account in questa directory
Inquilino singolo
Tutti gli account degli utenti e dei guest nella directory possono utilizzare l'applicazione o l'API. Usare questa opzione se il gruppo di destinatari è interno all'organizzazione.
Gli account in qualsiasi directory di Microsoft Entra
Multi-tenant
Tutti gli utenti e gli ospiti con un account aziendale o scolastico di Microsoft possono usare l'applicazione o l'API. Sono inclusi istituti di istruzione e aziende che usano Microsoft 365. Usare questa opzione se il pubblico di destinazione è un cliente aziendale o didattico.
Gli account in qualsiasi directory di Microsoft Entra e gli account Microsoft personali (ad esempio, Skype, Xbox, Outlook.com)
Multi-tenant
Tutti gli utenti con un account Microsoft aziendale o dell'istituto di istruzione o personale possono usare l'applicazione o l'API. Include istituti di istruzione e aziende che usano Microsoft 365, nonché account personali usati per accedere a servizi come Xbox e Skype. Usare questa opzione per definire come destinazione il set più ampio di account Microsoft.
Procedure consigliate per le app multi-tenant
La creazione di app multi-tenant di grandi dimensioni può risultare complessa a causa del numero di criteri diversi che gli amministratori IT possono impostare nei tenant. Se si sceglie di creare un'app multi-tenant, seguire queste procedure consigliate:
Seguire il principio di accesso minimo dell'utente per assicurarsi che l'app richieda solo le autorizzazioni effettivamente necessarie.
Specificare nomi e descrizioni appropriati per le autorizzazioni esposte come parte dell'app. In questo modo gli utenti e gli amministratori sanno cosa stanno accettando quando tentano di usare le API dell'app. Per altre informazioni, vedere la sezione procedure consigliate nella guida alle autorizzazioni .
Nota
Le applicazioni multi-tenant possono essere distribuite nelle stesse istanze cloud nazionali, ma non in cloud nazionali di Azure.
Esempi:
Un'applicazione multi-tenant creata in un'entità commerciale può essere aggiunta ad altre entità commerciali.
Un'applicazione multi-tenant creata in un tenant di Azure per enti pubblici può essere aggiunta ad altri tenant di Azure per enti pubblici.
Passaggi successivi
Per altre informazioni sulla tenancy in Microsoft Entra ID, vedere:
In questo modulo viene illustrato il processo di creazione di una registrazione dell'app in Microsoft Entra ID. Quindi esplorare le impostazioni e le opzioni di configurazione. Si crea un'app a pagina singola, si registra un'app multi-tenant e altre opzioni. Nell'ambito di questo processo viene illustrato come concedere all'utente l'accesso alle app e configurare come e quando possono usare l'app e i relativi dati.
Illustrare le funzionalità di Microsoft Entra ID per modernizzare le soluzioni di identità, implementare soluzioni ibride e implementare la governance delle identità.
Illustra come convertire un'app a tenant singolo esistente in un'app multi-tenant in grado di accedere a un utente da qualsiasi tenant di Microsoft Entra.
In questo articolo viene illustrato come gli sviluppatori possono determinare, durante la registrazione dell'app, quali utenti consentono l'app da singoli e multitenenti.
Informazioni su come aggiungere ruoli dell'app a un'applicazione registrata in Microsoft Entra ID. Assegnare utenti e gruppi a questi ruoli e riceverli nell'attestazione "ruoli" nel token.
Questo articolo presenta gli sviluppatori al processo di registrazione dell'applicazione e ai relativi requisiti. Consente di garantire che le app soddisfino i principi Zero Trust di usare l'accesso con privilegi minimi e presupporre violazioni.