Бөлісу құралы:


Арендочность в идентификаторе Microsoft Entra

Идентификатор Microsoft Entra упорядочивает такие объекты, как пользователи и приложения, в группы, называемые клиентами. Клиенты дают возможность администратору задавать политики на всех пользователей в организации и для всех приложений, которыми владеет организация, для обеспечения их безопасности и действующих политик.

Доступ к приложению

Когда речь идет о разработке приложений, разработчики могут настроить свое приложение как однотенантным, так и мультитенантным во время регистрации приложения.

  • Однотенантные приложения доступны только в клиенте, для которого они были зарегистрированы, который также называется "домашний клиент".
  • Мультитенантные приложения доступны пользователям как в домашнем клиенте, так и в других клиентах.

При регистрации приложения его можно настроить для одного клиента или мультитенантного, задав аудиторию следующим образом.

Аудитория Одно- или мультитенантное Каким учетным записям разрешен вход
Только учетные записи в этом каталоге Однотенантное приложение Все учетные записи пользователей и гостевые учетные записи в вашем каталоге могут использовать ваше приложение или API.
Используйте этот вариант, если целевой аудиторией являются сотрудники вашей организации.
Учетные записи в любом каталоге Microsoft Entra Мультитенантные Все пользователи и гости с рабочей или учебной учетной записью Майкрософт могут использовать ваше приложение или API. Сюда входят школы и компании, использующие Microsoft 365.
Используйте этот вариант, если целевой аудиторией являются предприятия или учебные заведения.
Учетные записи в любом каталоге Microsoft Entra и личных учетных записях Майкрософт (например, Skype, Xbox, Outlook.com) Мультитенантные Все пользователи с рабочей, учебной или личной учетной записью Майкрософт могут использовать ваше приложение или API. Сюда входят школы и компании, использующие Microsoft 365, а также личные учетные записи, которые используются для входа в Xbox, Скайп и другие службы.
Используйте этот параметр для широкого круга учетных записей Майкрософт.

Рекомендации по мультитенантным приложениям

Создание больших мультитенантных приложений может быть сложным из-за количества различных политик, которые ИТ-администраторы могут задать в своих клиентах. Если вы решили создать мультитенантное приложение, выполните следующие рекомендации.

  • Тестируйте приложение в клиенте с настроенной политикой условного доступа.
  • Следуйте принципу наименьшего доступа для пользователей, чтобы убедиться, что ваше приложение запрашивает только те разрешения, которые ему действительно нужны.
  • Укажите соответствующие имена и описания для всех разрешений, предоставляемых в рамках приложения. Это поможет пользователям и администраторам понять, на что они дают свое согласие, когда используют API вашего приложения. Дополнительные сведения см. в разделе рекомендаций в руководстве по разрешениям.

Следующие шаги

Дополнительные сведения о аренде в идентификаторе Microsoft Entra см. в следующих сведениях: