Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Questo articolo spiega in che modo, in qualità di sviluppatore, può scegliere se l'app consente solo agli utenti del tenant di Microsoft Entra, a qualsiasi tenant di Microsoft Entra o agli utenti con account Microsoft personali. È possibile configurare l'app come tenant singolo o multi-tenant durante la registrazione dell'app in Microsoft Entra. Verificare il principio Zero Trust dell'accesso con privilegi minimi in modo che l'app richieda solo le autorizzazioni necessarie.
Microsoft Identity Platform offre supporto per tipi di identità specifici:
- Account di lavoro o scolastici quando l'entità dispone di un account nell'ID Microsoft Entra.
- Account personali Microsoft (MSA) per chiunque abbia account in Outlook.com, Hotmail, Live, Skype, Xbox e così via.
- Identità esterne nell'ID Microsoft Entra per i partner (utenti esterni all'organizzazione).
Una parte richiesta della registrazione dell'applicazione in Microsoft Entra ID è la selezione dei tipi di account supportati. Mentre i professionisti IT nei ruoli di amministratore decidono chi può fornire il consenso alle app nel tenant, l'utente, in qualità di sviluppatore, specifica chi può usare l'app in base al tipo di account. Quando un tenant non consente di registrare l'applicazione in Microsoft Entra ID, gli amministratori forniscono un modo per comunicare tali dettagli tramite un altro meccanismo.
È possibile scegliere tra le opzioni seguenti per il tipo di account supportato durante la registrazione dell'applicazione.
Accounts in this organizational directory only (O365 only - Single tenant)Accounts in any organizational directory (Any Azure AD directory - Multitenant)Accounts in any organizational directory (Any Azure AD directory - Multitenant) and personal Microsoft accounts (e.g. Skype, Xbox)Personal Microsoft accounts only
Solo account in questo elenco organizzativo - tenant singolo
Quando si seleziona Account solo in questa directory organizzativa (solo O365 - Tenant singolo), è possibile consentire solo gli utenti e gli utenti guest dal tenant in cui lo sviluppatore ha registrato l'app. Questa opzione è la più comune per le applicazioni Line of Business (LOB).
Account solo in qualsiasi directory organizzativa - multi-tenant
Quando si seleziona Account in una qualsiasi directory organizzativa (qualsiasi directory Microsoft Entra - Multitenant), si permette a qualsiasi utente di una directory Microsoft Entra di accedere all'applicazione multitenant. Se si desidera consentire solo agli utenti di specifici tenant, è necessario filtrare questi utenti nel codice verificando che l'attestazione tid nell'id_token sia nell'elenco dei tenant consentiti. L'applicazione può usare l'endpoint delle organizzazioni o l'endpoint comune per consentire agli utenti di accedere al tenant principale dell'utente. Per supportare gli utenti guest nell'accesso alla tua app multi-tenant, usa il punto di accesso specifico del tenant dove l'utente è ospite per effettuare l'accesso.
Account in qualsiasi account organizzativo e negli account personali di Microsoft
Quando si seleziona Account in qualsiasi account aziendale e account Microsoft personali (qualsiasi directory Microsoft Entra - Multi-tenant) e account Microsoft personali (ad esempio Skype, Xbox), si permette a un utente di effettuare l'accesso all'applicazione con la propria identità nativa su qualsiasi account di Microsoft Entra tenant o consumer. Lo stesso filtro del tenant e l'utilizzo degli endpoint si applicano a queste app come fanno alle app multi-tenant descritte in precedenza.
Solo gli account Microsoft personali
Quando si seleziona Solo account Microsoft personali, si consente solo agli utenti con account consumer di usare l'app.
Non spetta solo allo sviluppatore
Mentre definisci nella registrazione dell'applicazione chi può accedere all'app, la parola finale proviene dal singolo utente o dagli amministratori del tenant principale dell'utente. Gli amministratori tenant spesso vogliono avere un maggiore controllo su un'app rispetto a chi può accedere. Ad esempio, potrebbero voler applicare criteri di accesso condizionale all'app o controllare il gruppo che consentono di usare l'applicazione. Per consentire agli amministratori tenant di avere questo controllo, è presente un secondo oggetto in Microsoft Identity Platform: l'app Enterprise. Le app aziendali sono anche conosciute come Principali del Servizio.
App con utenti in altri tenant o altri account dei consumatori
I tipi di account supportati includono l'opzione Account in qualsiasi directory organizzativa per un'applicazione multitenant, consentendo così l'accesso agli utenti della directory organizzativa. In altre parole, si consente a un utente di accedere all'applicazione con la propria identità nativa da qualsiasi ID Microsoft Entra. Una Principal del servizio viene creata automaticamente nel locatario quando il primo utente di un locatario si autentica all'app.
Esiste solo una registrazione dell'applicazione o un oggetto di applicazione. Tuttavia, è presente un'app aziendale o un'entità servizio (SP), in ogni tenant che consente agli utenti di accedere all'app. L'amministratore tenant può controllare il funzionamento dell'app nel tenant.
Considerazioni sulle app multi-tenant
Le app multi-tenant consentono agli utenti di accedere dal tenant principale dell'utente quando l'app usa l'endpoint comune o dell'organizzazione. L'app ha una registrazione dell'app, come illustrato nel diagramma seguente. In questo esempio l'applicazione viene registrata nel tenant Adatum. L'utente A di Adatum e l'utente B di Contoso possono accedere all'app con l'aspettativa che l'utente A di Adatum acceda ai dati Adatum e che l'utente B di Contoso acceda ai dati Contoso.
Gli sviluppatori hanno la responsabilità di mantenere separate le informazioni sul tenant. Ad esempio, se i dati contoso provengono da Microsoft Graph, l'utente B di Contoso visualizza solo i dati di Microsoft Graph di Contoso. Non è possibile consentire all'utente B da Contoso di accedere ai dati di Microsoft Graph nel tenant di Adatum perché Microsoft 365 ha una vera separazione dei dati.
Nel diagramma, l'utente B di Contoso può accedere all'applicazione e ai dati di Contoso nell'applicazione. L'applicazione può usare gli endpoint comuni (o dell'organizzazione) in modo che l'utente acceda in modo nativo al tenant, senza richiedere alcun processo di invito. Un utente può eseguire e accedere all'applicazione e funziona dopo che l'utente o l'amministratore tenant concede il consenso.
Passaggi successivi
- Come e perché le app vengono aggiunte a Microsoft Entra ID spiega come gli oggetti dell'applicazione descrivono un'applicazione a Microsoft Entra ID.
- Le procedure consigliate per la sicurezza per le proprietà dell'applicazione in Microsoft Entra ID illustrano proprietà quali URI di reindirizzamento, token di accesso, certificati e segreti, URI ID applicazione e proprietà dell'applicazione.
- La creazione di app con un approccio Zero Trust all'identità offre una panoramica delle autorizzazioni e delle procedure consigliate per l'accesso.
- Acquisire l'autorizzazione per accedere alle risorse consente di comprendere come garantire al meglio Zero Trust durante l'acquisizione delle autorizzazioni di accesso alle risorse per l'applicazione.
- Sviluppare una strategia di autorizzazioni delegate consente di implementare l'approccio migliore per gestire le autorizzazioni nell'applicazione e sviluppare usando i principi Zero Trust.
- Sviluppare una strategia di autorizzazioni per le applicazioni consente di decidere l'approccio alle autorizzazioni dell'applicazione per la gestione delle credenziali.