Tenantská architektura v Microsoft Entra ID

Id Microsoft Entra uspořádá objekty, jako jsou uživatelé a aplikace, do skupin označovaných jako tenanti. Tenanti umožňují správci nastavit zásady pro uživatele v organizaci a aplikace, které organizace vlastní, aby splňovaly své zásady zabezpečení a provozu.

Kdo se můžete přihlásit k aplikaci?

Pokud jde o vývoj aplikací, můžou se vývojáři rozhodnout, že aplikaci nakonfigurují tak, aby byla během registrace aplikace buď jednoklientová, nebo víceklientová.

  • Aplikace s jedním tenantem jsou dostupné jenom v tenantovi, ve kterému byly zaregistrované, označované také jako jejich domácí tenant.
  • Víceklientní aplikace jsou dostupné uživatelům ve svém domovském tenantovi i v jiných tenantech.

Když zaregistrujete aplikaci, můžete ji nakonfigurovat tak, aby byla jednoklientová nebo víceklientová, a to nastavením cílové skupiny následujícím způsobem.

Cílová skupina Jeden nebo více tenantů Kdo se může přihlásit
Pouze účty v tomto adresáři Jeden tenant Všechny účty uživatelů a hostů ve vašem adresáři můžou používat vaši aplikaci nebo rozhraní API.
Tuto možnost použijte, pokud je cílová cílová skupina interní pro vaši organizaci.
Účty v libovolném adresáři Microsoft Entra Více tenantů Vaši aplikaci nebo rozhraní API můžou používat všichni uživatelé a hosté s pracovním nebo školním účtem od Microsoftu. To zahrnuje školy a firmy, které používají Microsoft 365.
Tuto možnost použijte v případě, že cílová skupina je firemní nebo vzdělávací zákazník.
Účty v libovolném adresáři Microsoft Entra a osobních účtech Microsoft (například Skype, Xbox, Outlook.com) Více tenantů Vaši aplikaci nebo rozhraní API můžou používat všichni uživatelé s pracovním nebo školním nebo osobním účtem Microsoft. Zahrnuje školy a firmy, které používají Microsoft 365, i osobní účty, které se používají k přihlášení ke službám, jako je Xbox a Skype.
Pomocí této možnosti můžete cílit na nejširší sadu účtů Microsoft.

Osvědčené postupy pro víceklientských aplikací

Vytváření skvělých víceklientských aplikací může být náročné kvůli počtu různých zásad, které můžou správci IT nastavit ve svých tenantech. Pokud se rozhodnete vytvořit víceklientovou aplikaci, postupujte podle těchto osvědčených postupů:

  • Otestujte aplikaci v tenantovi, který nakonfiguroval zásady podmíněného přístupu.
  • Postupujte podle principu nejmenšího přístupu uživatelů, abyste zajistili, že vaše aplikace požaduje jenom oprávnění, která skutečně potřebuje.
  • Zadejte odpovídající názvy a popisy všech oprávnění, která zveřejníte jako součást aplikace. To pomáhá uživatelům a správcům zjistit, k čemu souhlasí, když se pokusí použít rozhraní API vaší aplikace. Další informace najdete v části s osvědčenými postupy v průvodci oprávněními.

Další kroky

Další informace o tenantech v Microsoft Entra ID naleznete v tématu: