Microsoft Entra ID 将用户和应用等对象组织成称为 租户组。 租户允许管理员针对组织内的用户以及组织拥有的应用设置策略以满足其安全性和作策略。
在开发应用方面,开发人员可以选择在应用注册期间将其应用配置为单租户或多租户。
- 单租户应用仅可在它们在其中注册的租户(也称为宿主租户)中使用。
- 多租户应用可供其主租户和其他租户中的用户使用。
注册应用程序时,可按照如下所述设置受众来将应用配置为单租户或多租户。
| 观众 | 单租户/多租户 | 谁可以登录 |
|---|---|---|
| 仅此目录中的帐户 | 单租户 | 您的目录中的所有用户和来宾帐户都可以使用您的应用程序或 API。 如果目标受众在组织内部,请使用此选项。 |
| 任何 Microsoft Entra 目录中的帐户 | 多租户 | 所有使用微软工作或学校帐户的用户和来宾都可以使用您的应用程序或 API。 这包括使用Microsoft 365 的学校和企业。 如果你的目标受众是企业或教育客户,请使用此选项。 |
由于 IT 管理员可以在其租户中设置的不同策略数量,构建出色的多租户应用可能会很有挑战性。 如果选择生成多租户应用,请遵循以下最佳做法:
- 在已配置 条件访问策略的租户中测试应用。
- 遵循最低用户访问原则,确保应用仅请求实际需要的权限。
- 为应用程序所授予的任何权限提供适当的名称和说明。 这有助于用户和管理员知道他们尝试使用应用的 API 时同意的内容。 有关详细信息,请参阅 权限指南中的最佳做法部分。
有关 Microsoft Entra ID 中的租户的更多信息,请参阅: