Dzierżawa w usłudze Azure Active Directory

Usługa Azure Active Directory (Azure AD) organizuje obiekty, takie jak użytkownicy i aplikacje, w grupy nazywane dzierżawami. Dzierżawy umożliwiają administratorowi ustawianie zasad dla użytkowników w organizacji i aplikacji należących do organizacji w celu spełnienia ich zasad zabezpieczeń i operacyjnych.

Kto może zalogować się do aplikacji?

Jeśli chodzi o tworzenie aplikacji, deweloperzy mogą zdecydować się na skonfigurowanie aplikacji tak, aby była jednodostępna lub wielodostępna podczas rejestracji aplikacji w witrynie Azure Portal.

  • Aplikacje z jedną dzierżawą są dostępne tylko w dzierżawie, w której zostały zarejestrowane, znane również jako ich dzierżawa domowa.
  • Aplikacje wielodostępne są dostępne dla użytkowników zarówno w dzierżawie macierzystej, jak i w innych dzierżawach.

W witrynie Azure Portal możesz skonfigurować aplikację tak, aby mogła być jednodostępna lub wielodostępna, ustawiając odbiorców w następujący sposób.

Grupy odbiorców Pojedyncza/wielodostępna Kto może się zalogować
Tylko konta w tym katalogu Pojedyncza dzierżawa Wszystkie konta użytkowników i gości w katalogu mogą używać aplikacji lub interfejsu API.
Użyj tej opcji, jeśli docelowi odbiorcy są wewnętrzni w twojej organizacji.
Konta w dowolnym katalogu usługi Azure AD Wiele dzierżaw Wszyscy użytkownicy i goście z kontem służbowym firmy Microsoft mogą używać aplikacji lub interfejsu API. Obejmuje to szkoły i firmy korzystające z platformy Microsoft 365.
Użyj tej opcji, jeśli docelowi odbiorcy są klientami biznesowymi lub edukacyjnymi.
Konta w dowolnym katalogu usługi Azure AD i osobistych kontach Microsoft (takich jak Skype, Xbox, Outlook.com) Wiele dzierżaw Wszyscy użytkownicy z kontem służbowym lub osobistym Microsoft mogą używać aplikacji lub interfejsu API. Obejmuje ona szkoły i firmy korzystające z platformy Microsoft 365, a także konta osobiste używane do logowania się do usług, takich jak Xbox i Skype.
Użyj tej opcji, aby określić najszerszy zestaw kont Microsoft.

Najlepsze rozwiązania dotyczące aplikacji wielodostępnych

Tworzenie wspaniałych aplikacji wielodostępnych może być trudne ze względu na liczbę różnych zasad, które administratorzy IT mogą ustawić w swoich dzierżawach. Jeśli zdecydujesz się utworzyć aplikację z wieloma dzierżawami, postępuj zgodnie z następującymi najlepszymi rozwiązaniami:

  • Przetestuj aplikację w dzierżawie, która skonfigurowała zasady dostępu warunkowego.
  • Postępuj zgodnie z zasadą najmniejszego dostępu użytkowników, aby upewnić się, że aplikacja żąda uprawnień, których faktycznie potrzebuje.
  • Podaj odpowiednie nazwy i opisy wszelkich uprawnień, które uwidaczniasz w ramach aplikacji. Dzięki temu użytkownicy i administratorzy wiedzą, co zgadzają się, gdy próbują korzystać z interfejsów API aplikacji. Aby uzyskać więcej informacji, zobacz sekcję najlepszych rozwiązań w przewodniku dotyczącym uprawnień.

Następne kroki

Aby uzyskać więcej informacji na temat dzierżawy w usłudze Azure AD, zobacz: