Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Este artigo explica como você, como desenvolvedor, pode escolher se o seu aplicativo permite apenas usuários do seu locatário do Microsoft Entra, usuários de qualquer locatário do Microsoft Entra ou usuários com contas Microsoft pessoais. Você pode configurar seu aplicativo para ser de locatário único ou multilocatário durante o registro do aplicativo no Microsoft Entra. Garanta o princípio de Confiança Zero de acesso com privilégios mínimos para que seu aplicativo solicite apenas as permissões necessárias.
A plataforma de identidade da Microsoft fornece suporte para tipos de identidade específicos:
- Contas de trabalho ou de estudante quando a entidade tem uma conta no Microsoft Entra ID.
- Contas pessoais da Microsoft (MSA) para qualquer pessoa que tenha conta no Outlook.com, Hotmail, Live, Skype, Xbox, etc.
- Identidades externas na ID do Microsoft Entra para parceiros (usuários fora da sua organização).
Uma parte necessária do registro do aplicativo na ID do Microsoft Entra é a seleção dos tipos de conta com suporte. Enquanto os profissionais de TI em funções de administrador decidem quem pode consentir com aplicativos no seu locatário, você, como desenvolvedor, especifica quem pode usar seu aplicativo com base no tipo de conta. Quando um locatário não permite que você registre seu aplicativo no Microsoft Entra ID, os administradores fornecem uma maneira de comunicar esses detalhes a eles por meio de outro mecanismo.
Você escolhe entre as seguintes opções de tipo de conta com suporte ao registrar o seu aplicativo.
Accounts in this organizational directory only (O365 only - Single tenant)Accounts in any organizational directory (Any Azure AD directory - Multitenant)Accounts in any organizational directory (Any Azure AD directory - Multitenant) and personal Microsoft accounts (e.g. Skype, Xbox)Personal Microsoft accounts only
Somente as contas deste diretório organizacional - locatário único
Quando você seleciona Somente contas neste diretório organizacional (somente O365 – locatário único), você permite apenas usuários e convidados do locatário em que o desenvolvedor registrou seu aplicativo. Essa opção é a mais comum para aplicativos de linha de negócios (LOB).
Somente contas em qualquer diretório organizacional - multilocatário
Ao selecionar Contas em qualquer diretório organizacional (qualquer diretório do Microsoft Entra – multilocatário), você permite que qualquer usuário de qualquer diretório do Microsoft Entra entre em seu aplicativo multilocatário. Se você quiser permitir apenas usuários de locatários específicos, filtre esses usuários em seu código verificando se a declaração tid no id_token está na sua lista de locatários permitidos. Seu aplicativo pode utilizar o ponto de extremidade da organização ou o ponto de extremidade comum para entrar usuários no locatário inicial do usuário. Para dar suporte aos usuários convidados que entrarem em seu aplicativo multilocatário, use o ponto de extremidade de locatário específico para o locatário em que o usuário é um convidado para conectar o usuário.
Contas em qualquer conta institucional e contas pessoais da Microsoft
Quando você seleciona Contas em qualquer conta institucional e contas Microsoft pessoais (Qualquer diretório do Microsoft Entra - Multilocatário) e contas Microsoft pessoais (por exemplo, Skype, Xbox), você permite que um usuário entre no seu aplicativo com sua identidade nativa de qualquer locatário ou conta de consumidor do Microsoft Entra. A mesma filtragem de locatário e uso de ponto de extremidade se aplicam a esses aplicativos, assim como fazem com aplicativos multilocatário, conforme descrito anteriormente.
Somente contas Microsoft pessoais
Ao selecionar Somente contas Microsoft pessoais, você permite que apenas usuários com contas de consumidor usem seu aplicativo.
Não depende apenas do desenvolvedor
Embora você defina no registro do aplicativo quem pode entrar no aplicativo, a palavra final vem do usuário individual ou dos administradores do locatário inicial do usuário. Os administradores de locatários geralmente querem ter mais controle sobre um aplicativo do que apenas quem pode entrar. Por exemplo, talvez eles queiram aplicar uma política de acesso condicional ao aplicativo ou controlar qual grupo eles permitem que use o aplicativo. Para permitir que os administradores de locatários tenham esse controle, há um segundo objeto na plataforma de identidade da Microsoft: o aplicativo Enterprise. Aplicativos corporativos também são conhecidos como Entidades de Serviço.
Aplicativos com usuários em outros locatários ou outras contas de consumidor
Os tipos de conta compatíveis incluem a opção Contas em qualquer diretório organizacional para um aplicativo multilocatário, para que você possa permitir usuários do diretório organizacional. Em outras palavras, você permite que um usuário entre em seu aplicativo com sua identidade nativa de qualquer Microsoft Entra ID. Uma entidade de serviço é criada automaticamente no locatário quando o primeiro usuário de um locatário se autentica no aplicativo.
Há apenas um registro de aplicativo ou objeto de aplicativo. No entanto, há um aplicativo Enterprise ou entidade de serviço (SP) em cada locatário que permite que os usuários entrem no aplicativo. O administrador do locatário pode controlar como o aplicativo funciona no seu locatário.
Considerações sobre aplicativos multilocatário
Os aplicativos multilocatários entram em usuários do locatário inicial do usuário quando o aplicativo utiliza o ponto de extremidade comum ou da organização. O aplicativo tem um registro de aplicativo, conforme mostrado no diagrama a seguir. Neste exemplo, o aplicativo está registrado no locatário Adatum. O usuário A da Adatum e do Usuário B da Contoso podem entrar no aplicativo com a expectativa de que o usuário A da Adatum acesse dados da Adatum e que o usuário B da Contoso acesse dados da Contoso.
Como desenvolvedor, é sua responsabilidade manter as informações do locatário separadas. Por exemplo, se os dados da Contoso forem do Microsoft Graph, o usuário B da Contoso verá apenas os dados do Microsoft Graph da Contoso. Não há possibilidade para o Usuário B da Contoso acessar dados do Microsoft Graph no locatário Adatum porque o Microsoft 365 tem separação de dados verdadeira.
No diagrama, o usuário B da Contoso pode entrar no aplicativo e pode acessar os dados da Contoso em seu aplicativo. Seu aplicativo pode usar os pontos de extremidade comuns (ou da organização) para que o usuário entre nativamente no locatário, não exigindo nenhum processo de convite. Um usuário pode executar e entrar em seu aplicativo e ele funciona depois que o usuário ou administrador do locatário concede consentimento.
Próximas etapas
- O artigo Como e por que aplicativos são adicionados ao Microsoft Entra ID explica como objetos de aplicativo descrevem um aplicativo para o Microsoft Entra ID.
- O artigo Práticas recomendadas de segurança para propriedades de aplicativos no Microsoft Entra ID abrange propriedades como URI de redirecionamento, tokens de acesso, certificados e segredos, URI de ID de aplicativo e propriedade de aplicativos.
- O artigo Criar aplicativos com uma abordagem de identidade de Confiança Zero fornece uma visão geral das permissões e das práticas recomendadas de acesso.
- Adquirir autorização para acessar recursos ajuda você a entender melhor como garantir a Confiança Zero ao adquirir permissões de acesso a recursos para o seu aplicativo.
- O artigo Desenvolver uma estratégia de permissões delegadas ajuda você a implementar a melhor abordagem para gerenciar permissões no seu aplicativo e desenvolvê-lo usando princípios de Confiança Zero.
- Desenvolver a estratégia de permissões de aplicativo ajuda você a decidir sobre sua abordagem de permissões de aplicativo para o gerenciamento de credenciais.