分享方式:


設定應用程式的 Microsoft Entra 測試環境

若要協助將應用程式移至開發、測試和生產生命週期,請設定Microsoft Entra 測試環境。 您可以在應用程式開發初期階段使用 Microsoft Entra 測試環境,並長期作為永久測試環境。

專用測試租用戶或生產 Microsoft Entra 租用戶?

您的第一項工作是決定使用專用於測試或生產租用戶作為測試環境的 Microsoft Entra 租使用者。

使用實際執行租用戶可讓應用程式測試的某些層面更容易,但測試與實際執行資源之間需要有適當的隔離等級。 針對高權限的情節,隔離更是重要。

如果下列狀況,請勿使用生產Microsoft Entra 租使用者:

  • 您的應用程式會使用需要全租用戶唯一性的設定。 例如,您的應用程式可能需要透過使用僅限應用程式的權限,以自己的身份存取租用戶資源,而不是代表用戶。 僅限應用程式存取需要系統管理員同意,此同意適用於整個租使用者。 在租用戶界限內,這類權限很難安全地縮小範圍。
  • 您對於租用戶成員可能未經授權存取測試資源的風險容錯很低。
  • 設定變更可能會對生產環境的重要作業造成負面影響。
  • 您無法在生產租用戶中建立使用者或其他測試資料。
  • 原則會在生產租用戶中啟用,且需要在驗證期間進行使用者互動。 例如,如果所有用戶都需要多重身份驗證,則無法使用自動登入進行整合測試。
  • 將非生產資源和/或工作負載新增至您的生產租使用者將會 超過租用戶的服務或節流限制

如果適用上述任何限制,請在個別租用戶中設定測試環境。

如果這些限制都不適用,您可以在生產租用戶中設定測試環境。 請注意,生產租使用者中具有特殊許可權角色的使用者(例如雲端應用程式管理員)可以隨時存取其資源並變更其設定。 若要防止存取任何測試資源或設定,請將該資料放在不同的租用戶中。

在個別的租用戶中設定測試環境

如果您無法在實際執行租用戶中安全限制測試應用程式,請建立個別的租用戶以供開發和測試使用。

取得測試租用戶

如果您還沒有專用的測試租使用者,您可以使用 Microsoft 365 開發人員計劃免費建立一個,或自行手動建立一個。

Microsoft 365 開發人員計劃是免費的,而且可以自動將測試用戶帳戶和範例數據套件新增至租使用者。

  1. 按兩下畫面上的 [ 立即 加入] 按鈕。
  2. 使用新的 Microsoft 帳戶登入,或使用您已擁有的現有 (公司) 帳戶登入。
  3. 在註冊頁面上,選取您的區域,輸入公司名稱,並在您按 [下一步] 之前接受計劃的條款及條件。
  4. 按兩下 [ 設定訂用帳戶]。 指定您要建立新租用戶的區域、建立使用者名稱、網域,然後輸入密碼。 這將建立新的租用戶,以及租用戶的第一位系統管理員。
  5. 輸入保護新租用戶的系統管理員帳戶所需的安全性資訊。 這樣將會針對帳戶設定多重要素驗證。

手動建立租使用者

您可以 手動建立租使用者,這會在建立時是空的,而且必須使用測試數據進行設定。

將使用者填入您的租用戶

提示

根據您開始的入口網站,本文中的步驟可能略有不同。

為了方便起見,您可以邀請自己和開發小組的其他成員成為租用戶中的來賓使用者。 這將在測試租用戶中建立不同的來賓物件,但這表示您只需針對公司帳戶與測試帳戶管理一組認證。

  1. 至少以應用程式開發人員的身分登入 Microsoft Entra 系統管理中心
  2. 瀏覽至 [身分識別]>[使用者]>[所有使用者]。
  3. 選取 [新增使用者邀請外部使用者>],然後邀請您的工作帳戶電子郵件位址。
  4. 針對應用程式的開發和/或測試小組的其他成員重複。

您也可以在測試租用戶中建立測試使用者。 如果您使用其中一個 Microsoft 365 範例套件,則您的租用戶中可能已經有一些測試使用者。 如果沒有,您應該能夠自行建立一些租用戶系統管理員。

  1. 瀏覽至 [身分識別]>[使用者]>[所有使用者]。
  2. 選取 [新增使用者建立新使用者>],然後在您的目錄中建立一些新的測試使用者。

取得 Microsoft Entra 訂用帳戶 (選擇性)

如果您想要在應用程式中完整測試Microsoft Entra ID P1 或 P2 功能,您必須註冊租使用者以取得 Premium P1 或 Premium P2 授權

如果您使用 Microsoft 365 開發人員計畫註冊,則您的測試租用戶將隨附 Microsoft Entra ID P2 授權。 如果沒有,您仍然可以啟用一個月的 免費試用Microsoft Entra ID P1 或 P2

建立並設定應用程式註冊

您必須建立應用程式註冊,才能在測試環境中使用。 這應該是來自您最終實際執行應用程式註冊的個別註冊,以在您的測試環境與實際執行環境之間維持安全性隔離。 設定應用程式的方式取決於您正在建置的應用程式類型。 如需詳細資訊,請參閱左側瀏覽窗格中應用程式案例的應用程式註冊步驟,如本文中的 Web 應用程式註冊

使用原則填入您的租使用者

如果您的應用程式主要是由單一組織使用 (通常稱為單一租用戶),而且您有權存取該實際執行租用戶,則您應該嘗試複寫實際執行租用戶的設定,這可能會影響您的應用程式行為。 那樣將會降低在實際執行環境中進行操作時,發生非預期錯誤的機會。

條件式存取原則

復寫條件式存取原則可確保移至生產環境時,您不會遇到非預期的封鎖存取,而且您的應用程式可以適當地處理可能收到的錯誤。

檢視生產租用戶條件式存取原則可能需要由 條件式存取管理員執行。

  1. 移至 [身分>識別應用程式企業應用程式>>條件式存取]。
  2. 檢視租用戶中的原則清單。 按兩下第一個。
  3. 瀏覽至 [雲端應用程式或動作]
  4. 如果原則僅適用於選取的應用程式群組,請移至下一個原則。 如果沒有,當您移至生產環境時,它很可能會套用至您的應用程式。 您應該將原則複製到測試租使用者。

在新的索引標籤或瀏覽器會話中,以至少條件式存取系統管理員身分登入 Microsoft Entra 系統管理中心,以存取您的測試租使用者。

  1. 瀏覽至 [保護]>[條件式存取]
  2. 選取 [建立新原則]
  3. 從生產租用戶原則複製設定,透過先前的步驟識別。

權限授與原則

複寫權限授與原則可確保您在移至實際執行環境時,不會遇到需要管理員同意的非預期提示。

瀏覽至 [身分識別]>[應用程式]>[企業應用程式]>[同意和權限]>[使用者同意設定]。 將設定複製到您的測試租使用者。

令牌存留期原則

複寫令牌存留期原則可確保發行給應用程式的令牌不會在生產環境中意外過期。

令牌存留期原則目前只能透過PowerShell進行管理。 閱讀 可設定的 令牌存留期,以瞭解如何識別套用至整個生產組織的任何令牌存留期原則。 將這些原則複製到您的測試租使用者。

在您的生產租用戶中設定測試環境

如果您可以在生產租使用者中安全地限制測試應用程式,請繼續設定您的租使用者以供測試之用。

建立並設定應用程式註冊

您必須建立應用程式註冊,才能在測試環境中使用。 這應該是來自您最終實際執行應用程式註冊的個別註冊,以在您的測試環境與實際執行環境之間維持安全性隔離。 設定應用程式的方式取決於您正在建置的應用程式類型。 如需詳細資訊,請參閱 左側瀏覽窗格中應用程式案例 的應用程式註冊步驟。

建立一些測試使用者

您必須建立一些測試使用者與相關聯的測試數據,以在測試案例時使用。 此步驟可能需要由系統管理員執行。

  1. 瀏覽至 [身分識別]>[使用者]>[所有使用者]。
  2. 選取 [新增使用者建立新使用者>],然後在您的目錄中建立一些新的測試使用者。

將測試使用者新增至群組(選擇性)

為了方便起見,您可以將所有這些使用者指派給群組,讓其他指派作業更容易。

  1. 瀏覽至 [身分識別]> [群組]> [所有群組]
  2. 選取新增群組
  3. 針對群組類型選取 [安全性] 或 [Microsoft 365]。
  4. 為您的群組命名。
  5. 新增在上一個步驟中建立的測試使用者。

將測試應用程式限制為特定使用者

您可以透過使用者指派,限制租用戶中允許使用者將測試應用程式用於特定使用者或群組的使用者。 當您透過 應用程式註冊 建立應用程式時,也會在企業應用程式中建立應用程式的表示法。 使用企業應用程式設定來限制誰可以在租使用者中使用應用程式。

重要

如果您的應用程式是 多租使用者應用程式,此作業將不會限制其他租使用者中的使用者登入和使用您的應用程式。 它只會限制租使用者中已設定使用者指派的使用者。

如需將應用程式限制為租使用者中特定使用者的詳細指示,請移至 將應用程式限制為一組使用者

下一步

瞭解Microsoft Entra 使用條件約束和服務限制,您可能會在這裡點擊。 您可以在這裡找到一般 Azure 訂用帳戶和服務限制、配額和條件約束。

如需測試環境的詳細資訊,請參閱 使用 Microsoft Entra ID 保護 Azure 環境。