设置应用程序的 Microsoft Entra 测试环境
为了让应用完成开发、测试和生产生命周期,请设置 Microsoft Entra 测试环境。 可以在应用开发的早期阶段使用 Microsoft Entra 测试环境作为永久测试环境,也可以长期这样做。
是专用测试租户还是生产性 Microsoft Entra 租户?
第一项任务是确定是使用专用于测试的 Microsoft Entra 租户作为测试环境,还是使用生产租户作为测试环境。
使用生产租户可以简化应用程序测试的某些方面,但它需要在测试资源和生产资源之间进行适当级别的隔离。 隔离对于高特权方案尤其重要。
请勿在以下情况下使用 Microsoft Entra 生产租户:
- 应用程序使用那些需要租户范围的唯一性的设置。 例如,你的应用可能需要代表自身而不是代表某个用户使用仅限应用的权限来访问租户资源。 仅限应用的访问权限需要管理员同意,该同意适用于整个租户。 此类权限很难在租户边界内安全地缩小范围。
- 你很难容忍租户成员可能会未经授权就访问测试资源的风险。
- 配置更改可能会对生产环境的关键操作产生负面影响。
- 无法在生产租户中创建用户或其他测试数据。
- 策略在生产租户中启用,要求在身份验证期间进行用户交互。 例如,如果所有用户都需要完成多重身份验证,则你无法使用自动登录来进行集成测试。
- 将非生产资源和/或工作负荷添加到生产租户会超过租户的服务限制或请求限制。
如果其中有任何一个限制适用,则请在单独的租户中设置测试环境。
如果这些限制中没有任何一个适用,则可在生产租户中设置测试环境。 请注意,生产租户中具有特权角色的用户(例如云应用程序管理员)可以随时访问其资源并更改其配置。 若要防止访问任何测试资源或配置,请将该数据放入单独的租户中。
在单独的租户中设置测试环境
如果无法在生产租户中安全地约束测试应用,请创建一个单独的租户,用于开发和测试。
获取测试租户
如果还没有专用测试租户,可以使用 Microsoft 365 开发人员计划创建一个或自行手动创建一个。
加入 Microsoft 365 开发人员计划(建议)
Microsoft 365 开发人员计划是免费的,使用它可将测试用户帐户和示例数据包自动添加到租户。
- 单击屏幕上的“立即加入”按钮。
- 使用新的 Microsoft 帐户或现有(工作)帐户登录。
- 在登录页面,选择所在区域,输入公司名称并接受计划相关的条款和条件,然后单击“下一步”。
- 单击“设置订阅”。 指定要在其中创建新租户的区域,并创建用户名、域,然后输入密码。 这样即可创建一个新租户和该租户的第一个管理员。
- 输入保护新租户的管理员帐户所需的安全信息。 这将为帐户设置多重身份验证。
手动创建租户
可以手动创建一个租户,该租户最初是空的,必须使用测试数据对其进行配置。
在租户中填充用户
提示
本文中的步骤可能因开始使用的门户而略有不同。
为方便起见,你可能希望邀请自己和其他开发团队成员作为租户中的来宾用户。 这会在测试租户中创建单独的来宾对象,但也意味着,你只需为企业帐户和测试帐户管理一组凭据。
- 至少以应用程序开发人员的身份登录到 Microsoft Entra 管理中心。
- 浏览到“标识”>“用户”>“所有用户”。
- 选择“新建用户”>“邀请外部用户”并邀请你的工作帐户电子邮件地址。
- 对应用程序的开发和/或测试团队的其他成员重复此操作。
还可以在测试租户中创建测试用户。 如果你使用了 Microsoft 365 示例包之一,则租户中可能已有一些测试用户。 否则,你应该能够以租户管理员的身份自行创建一些测试用户。
- 浏览到“标识”>“用户”>“所有用户”。
- 选择“新建用户”>“创建新用户”并在目录中创建一些新的测试用户。
获取 Microsoft Entra 订阅(可选)
若要在应用程序上全面测试 Microsoft Entra ID P1 或 P2 功能,需要为租户注册高级 P1 或高级 P2 许可证。
如果你已使用 Microsoft 365 开发人员计划进行注册,则测试租户将会附带 Microsoft Entra ID P2 许可证。 如果没有,仍然可以启用为期一个月的 Microsoft Entra ID P1 或 P2 试用。
创建和配置应用注册
需要创建一个要在测试环境中使用的应用注册。 该注册应该不同于最终的生产应用注册,以便在测试环境和生产环境之间保持安全隔离。 配置应用程序的方式取决于所要生成的应用的类型。 有关详细信息,请在左侧导航窗格中查看适用于你的应用方案的应用注册步骤,如这篇有关 Web 应用程序注册的文章中所述。
在租户中填充策略
如果应用主要由单个组织(通常称为单租户)使用,并且你有权访问该生产租户,那么,应该尝试复制可能影响应用行为的生产租户设置。 这可以降低在生产环境中操作时出现意外错误的可能性。
条件访问策略
复制条件访问策略可确保在转移到生产环境时不会遇到意外的阻止访问错误,并且应用程序可以适当处理它可能会收到的错误。
查看生产租户条件访问策略的操作可能需要由条件访问管理员来执行。
- 转到“标识”>“应用程序”>“企业应用程序”>“条件访问”。
- 查看租户中的策略列表。 单击第一个策略。
- 导航到“云应用或操作”。
- 如果该策略仅应用于选定的一组应用,请转到下一个策略。 如果不是,在你转到生产环境时,该策略也可能会应用于你的应用。 应将该策略复制到测试租户。
在新选项卡或浏览器会话中,登录到 Azure 门户并访问测试租户。
- 浏览到“标识”>“应用程序”>“企业应用程序”>“条件访问”。
- 选择“创建新策略”
- 复制通过前面的步骤识别的生产租户策略中的设置。
权限授予策略
复制权限授予策略可确保在转移到生产环境时不会遇到意外的管理员同意提示。
浏览到“标识”>“应用程序”>“企业应用程序”>“同意和权限”>“用户同意设置”。 将其中的设置复制到测试租户。
令牌生存期策略
复制令牌生存期策略可确保颁发给应用程序的令牌不会在生产环境中意外过期。
目前只能通过 PowerShell 管理令牌生存期策略。 阅读可配置令牌生存期,了解如何识别应用于整个生产组织的任何令牌生存期策略。 将这些策略复制到测试租户。
在生产租户中设置测试环境
如果可以安全地在生产租户中约束测试应用,请继续设置租户以进行测试。
创建和配置应用注册
需要创建一个要在测试环境中使用的应用注册。 该注册应该不同于最终的生产应用注册,以便在测试环境和生产环境之间保持安全隔离。 配置应用程序的方式取决于所要生成的应用的类型。 有关详细信息,请在左侧导航窗格中查看适用于你的应用方案的应用注册步骤。
创建一些测试用户
需要创建一些具有关联测试数据的测试用户,以便在测试方案时使用。 此步骤可能需要由管理员执行。
- 浏览到“标识”>“用户”>“所有用户”。
- 选择“新建用户”>“创建新用户”并在目录中创建一些新的测试用户。
将测试用户添加到组中(可选)
为方便起见,可以将所有这些用户分配到某个组中,使其他分配操作变得更容易。
- 浏览到“标识”>“组”>“所有组”。
- 选择新建组。
- 选择“安全性”或“Microsoft 365”作为组类型 。
- 为该组命名。
- 添加在上一步骤中创建的测试用户。
仅限特定的用户使用测试应用程序
可以通过用户分配,将租户中有权使用测试应用程序的用户限制为特定的用户或组。 当你通过应用注册创建应用时,也已在“企业应用程序”中创建了该应用的表示形式。 使用“企业应用程序”设置来限制谁可以在租户中使用该应用程序。
重要
如果你的应用是多租户应用,则此操作不会限制其他租户中的用户登录和使用你的应用。 它只会限制在其中配置了用户分配的租户中的用户。
有关仅限租户中的特定用户使用应用的详细说明,请转到仅限一组用户使用你的应用。
后续步骤
在此处了解 Microsoft Entra 使用约束和可能遇到的服务限制。 可在此处找到常规 Azure 订阅和服务限制、配额与约束。
有关测试环境的更详细信息,请阅读使用 Microsoft Entra ID 保护 Azure 环境。