Аренда в Azure Active Directory

Azure Active Directory (Azure AD) дает возможность организовать объекты, такие как пользователи и приложения, в группы, называемые клиентами. Клиенты дают возможность администратору задавать политики на всех пользователей в организации и для всех приложений, которыми владеет организация, для обеспечения их безопасности и действующих политик.

Доступ к приложению

Когда речь идет о разработке приложений, разработчики могут сконфигурировать свое приложение во время регистрации на портале Azure как однотенантное или мультитенантное.

  • Однотенантные приложения доступны только в клиенте, для которого они были зарегистрированы, который также называется "домашний клиент".
  • Мультитенантные приложения доступны пользователям как в своих домашних, так и в других клиентах.

На портале Azure приложение можно настроить однотенантным или мультитенантным, установив аудиторию следующим образом.

Аудитория Одно- или мультитенантное Каким учетным записям разрешен вход
Только учетные записи в этом каталоге Однотенантное приложение Все учетные записи пользователей и гостевые учетные записи в вашем каталоге могут использовать ваше приложение или API.
Используйте этот вариант, если целевой аудиторией являются сотрудники вашей организации.
Учетные записи из любого каталога Azure AD Поддержка нескольких клиентов Все пользователи и гости с рабочей или учебной учетной записью Майкрософт могут использовать ваше приложение или API. Сюда входят школы и компании, использующие Microsoft 365.
Используйте этот вариант, если целевой аудиторией являются предприятия или учебные заведения.
Учетные записи из любого каталога Azure AD и личные учетные записи Майкрософт (например, Скайп, Xbox, Outlook.com) Поддержка нескольких клиентов Все пользователи с рабочей, учебной или личной учетной записью Майкрософт могут использовать ваше приложение или API. Сюда входят школы и компании, использующие Microsoft 365, а также личные учетные записи, которые используются для входа в Xbox, Скайп и другие службы.
Используйте этот параметр для широкого круга учетных записей Майкрософт.

Рекомендации для мультитенантных приложений

Создавать отличные приложения для нескольких клиентов может оказаться сложной задачей из-за количества различных политик, которые ИТ-администраторы могут задавать в своих клиентах. Если вы решили создать мультитенантное приложение, придерживайтесь следующих рекомендаций.

  • Тестируйте приложение в клиенте с настроенной политикой условного доступа.
  • Следуйте принципу наименьшего доступа для пользователей, чтобы убедиться, что ваше приложение запрашивает только те разрешения, которые ему действительно нужны.
  • Укажите соответствующие имена и описания для всех разрешений, предоставляемых в рамках приложения. Это поможет пользователям и администраторам понять, на что они дают свое согласие, когда используют API вашего приложения. Дополнительные сведения см. в разделе рекомендаций в руководстве по разрешениям.

Дальнейшие действия

Дополнительные сведения об аренде в Azure AD см. в следующих статьях: