Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Идентификатор Microsoft Entra упорядочивает такие объекты, как пользователи и приложения, в группы, называемые арендаторами. Клиенты позволяют администратору задавать политики для пользователей в организации и приложениях, принадлежащих организации, для удовлетворения их политик безопасности и эксплуатации.
Кто может войти в приложение?
Когда речь идет о разработке приложений, разработчики могут настроить свое приложение как однотенантным, так и мультитенантным во время регистрации приложения.
- Однотенантные приложения доступны только в клиенте, в который они были зарегистрированы, также известные как их домашний клиент.
- Мультитенантные приложения доступны пользователям как в домашнем клиенте, так и в других клиентах.
При регистрации приложения его можно настроить как одноарендное или многопользовательское, указав аудиторию следующим образом.
| Публика | Одноарендаторный или мультитенантный | Кто может войти в систему |
|---|---|---|
| Учетные записи только в этом каталоге | Один клиент | Все учетные записи пользователей и гостевых учетных записей в каталоге могут использовать приложение или API. Используйте этот параметр, если целевая аудитория является внутренней для вашей организации. Используйте при создании регистрации приложения для стороннего производителя, который указывает вам создать собственную регистрацию приложения для своего приложения. |
| Учетные записи в любом каталоге Microsoft Entra | Мультитенантная | Все пользователи и гости с рабочей или учебной учетной записью корпорации Майкрософт могут использовать свое приложение или API. К ним относятся школы и предприятия, использующие Microsoft 365. Используйте этот параметр, если целевая аудитория — бизнес или образовательные клиенты. |
| Учетные записи в любом каталоге Microsoft Entra и личных учетных записях Майкрософт (например, Skype, Xbox, Outlook.com) | Мультитенантная | Все пользователи с рабочей или учебной или личной учетной записью Майкрософт могут использовать свое приложение или API. Он включает школы и предприятия, использующие Microsoft 365, а также личные учетные записи, которые используются для входа в такие службы, как Xbox и Skype. Используйте этот параметр, чтобы использовать самый широкий набор учетных записей Майкрософт. |
Рекомендации по мультитенантным приложениям
Создание качественных многопользовательских приложений может быть сложным из-за количества различных политик, которые ИТ-администраторы могут установить для своих тенантов. Если вы решили создать мультитенантное приложение, выполните следующие рекомендации.
- Протестируйте приложение в клиенте, в котором настроены политики условного доступа .
- Следуйте принципу минимального доступа пользователей, чтобы убедиться, что приложение запрашивает только необходимые разрешения.
- Укажите соответствующие имена и описания для любых разрешений, предоставляемых в рамках приложения. Это помогает пользователям и администраторам знать, что они согласны при попытке использовать API вашего приложения. Для получения дополнительной информации см. раздел «Лучшие практики» в руководстве по разрешениям .
Заметка
Мультитенантные приложения можно развертывать в одних и тех же национальных облачных экземплярах, но не в национальных облаках Azure. Примеры:
- Мультитенантное приложение, созданное в коммерческом клиенте, можно добавить в другие коммерческие клиенты.
- Мультитенантное приложение, созданное в клиенте Azure для государственных организаций, можно добавить в другие клиенты Azure для государственных организаций.
Дальнейшие действия
Дополнительные сведения о аренде в идентификаторе Microsoft Entra см. в следующих сведениях: