Арендочность в идентификаторе Microsoft Entra
Идентификатор Microsoft Entra упорядочивает такие объекты, как пользователи и приложения, в группы, называемые клиентами. Клиенты дают возможность администратору задавать политики на всех пользователей в организации и для всех приложений, которыми владеет организация, для обеспечения их безопасности и действующих политик.
Доступ к приложению
Когда речь идет о разработке приложений, разработчики могут настроить свое приложение как однотенантным, так и мультитенантным во время регистрации приложения.
- Однотенантные приложения доступны только в клиенте, для которого они были зарегистрированы, который также называется "домашний клиент".
- Мультитенантные приложения доступны пользователям как в своих домашних, так и в других клиентах.
При регистрации приложения его можно настроить для одного клиента или нескольких клиентов, задав аудиторию следующим образом.
| Аудитория | Одно- или мультитенантное | Каким учетным записям разрешен вход |
|---|---|---|
| Только учетные записи в этом каталоге | Однотенантное приложение | Все учетные записи пользователей и гостевые учетные записи в вашем каталоге могут использовать ваше приложение или API. Используйте этот вариант, если целевой аудиторией являются сотрудники вашей организации. |
| Учетные записи в любом каталоге Microsoft Entra | Несколько клиентов | Все пользователи и гости с рабочей или учебной учетной записью Майкрософт могут использовать ваше приложение или API. Сюда входят школы и компании, использующие Microsoft 365. Используйте этот вариант, если целевой аудиторией являются предприятия или учебные заведения. |
| Учетные записи в любом каталоге Microsoft Entra и личных учетных записях Майкрософт (например, Skype, Xbox, Outlook.com) | Несколько клиентов | Все пользователи с рабочей, учебной или личной учетной записью Майкрософт могут использовать ваше приложение или API. Сюда входят школы и компании, использующие Microsoft 365, а также личные учетные записи, которые используются для входа в Xbox, Скайп и другие службы. Используйте этот параметр для широкого круга учетных записей Майкрософт. |
Рекомендации для мультитенантных приложений
Создавать отличные приложения для нескольких клиентов может оказаться сложной задачей из-за количества различных политик, которые ИТ-администраторы могут задавать в своих клиентах. Если вы решили создать мультитенантное приложение, придерживайтесь следующих рекомендаций.
- Тестируйте приложение в клиенте с настроенной политикой условного доступа.
- Следуйте принципу наименьшего доступа для пользователей, чтобы убедиться, что ваше приложение запрашивает только те разрешения, которые ему действительно нужны.
- Укажите соответствующие имена и описания для всех разрешений, предоставляемых в рамках приложения. Это поможет пользователям и администраторам понять, на что они дают свое согласие, когда используют API вашего приложения. Дополнительные сведения см. в разделе рекомендаций в руководстве по разрешениям.
Следующие шаги
Дополнительные сведения о аренде в идентификаторе Microsoft Entra см. в следующих сведениях: