Nota
O acesso a esta página requer autorização. Podes tentar iniciar sessão ou mudar de diretório.
O acesso a esta página requer autorização. Podes tentar mudar de diretório.
Este artigo explica como você, como desenvolvedor, pode escolher se seu aplicativo permite apenas usuários do locatário do Microsoft Entra, qualquer locatário do Microsoft Entra ou usuários com contas pessoais da Microsoft. Você pode configurar seu aplicativo para ser locatário único ou multilocatário durante o registro do aplicativo no Microsoft Entra. Certifique-se do princípio Zero Trust de acesso com privilégios mínimos para que seu aplicativo solicite apenas as permissões necessárias.
A plataforma de identidade da Microsoft fornece suporte para tipos de identidade específicos:
- Contas profissionais ou de estudante quando a entidade tem uma conta no Microsoft Entra ID.
- Contas pessoais da Microsoft (MSA) para qualquer pessoa que tenha conta no Outlook.com, Hotmail, Live, Skype, Xbox, etc.
- Identidades externas no Microsoft Entra ID para parceiros (usuários fora da sua organização).
Uma parte necessária do registro do aplicativo no Microsoft Entra ID é sua seleção de tipos de conta suportados. Enquanto os profissionais de TI em funções de administrador decidem quem pode consentir com aplicativos em seu locatário, você, como desenvolvedor, especifica quem pode usar seu aplicativo com base no tipo de conta. Quando um locatário não permite que você registre seu aplicativo no Microsoft Entra ID, os administradores fornecem uma maneira de comunicar esses detalhes a eles por meio de outro mecanismo.
Você escolhe entre as seguintes opções de tipo de conta suportadas ao registrar seu aplicativo.
Accounts in this organizational directory only (O365 only - Single tenant)Accounts in any organizational directory (Any Azure AD directory - Multitenant)Accounts in any organizational directory (Any Azure AD directory - Multitenant) and personal Microsoft accounts (e.g. Skype, Xbox)Personal Microsoft accounts only
Contas apenas neste diretório organizacional - locatário único
Ao selecionar Contas somente neste diretório organizacional (somente O365 - Locatário único), você permite apenas usuários e convidados do locatário onde o desenvolvedor registrou seu aplicativo. Essa opção é a mais comum para aplicativos de linha de negócios (LOB).
Contas apenas em qualquer diretório organizacional - multilocatário
Ao selecionar Contas em qualquer diretório organizacional (Qualquer diretório do Microsoft Entra - Multilocatário), você permite que qualquer usuário de qualquer diretório do Microsoft Entra entre em seu aplicativo multilocatário. Se quiser permitir apenas usuários de locatários específicos, filtre esses usuários em seu código verificando se a declaração de tid no id_token está na sua lista de locatários permitidos. Seu aplicativo pode usar o ponto de extremidade da organização ou o ponto de extremidade comum para entrar usuários no locatário doméstico do usuário. Para dar suporte a usuários convidados que entram em seu aplicativo multilocatário, use o ponto de extremidade de locatário específico para o locatário em que o usuário é um convidado para entrar no usuário.
Contas em qualquer conta organizacional e contas pessoais da Microsoft
Ao selecionar Contas em qualquer conta organizacional e contas pessoais da Microsoft (Qualquer diretório do Microsoft Entra - Multilocatário) e contas pessoais da Microsoft (por exemplo, Skype, Xbox), permite que um utilizador entre na sua aplicação com a sua identidade nativa de qualquer inquilino ou conta de consumidor do Microsoft Entra. A mesma filtragem de locatário e uso de ponto de extremidade se aplicam a esses aplicativos como aos aplicativos multilocatário, conforme descrito anteriormente.
Apenas contas pessoais da Microsoft
Ao selecionar Somente contas pessoais da Microsoft, você permite que apenas usuários com contas de consumidor usem seu aplicativo.
Não depende apenas do desenvolvedor
Embora você defina no registro do aplicativo quem pode entrar no aplicativo, a palavra final vem do usuário individual ou dos administradores do locatário doméstico do usuário. Os administradores de locatários geralmente querem ter mais controle sobre um aplicativo do que apenas quem pode entrar. Por exemplo, eles podem querer aplicar uma política de Acesso Condicional ao aplicativo ou controlar qual grupo eles permitem usar o aplicativo. Para permitir que os administradores de locatários tenham esse controle, há um segundo objeto na plataforma de identidade da Microsoft: o aplicativo Enterprise. Os aplicativos corporativos também são conhecidos como Service Principals.
Aplicações com utilizadores noutros inquilinos ou outras contas de consumidor
Os tipos de conta suportados incluem a opção Contas em qualquer diretório organizacional para um aplicativo multilocatário para que você possa permitir usuários do diretório organizacional. Em outras palavras, você permite que um usuário entre em seu aplicativo com sua identidade nativa de qualquer ID do Microsoft Entra. Uma entidade de serviço é criada automaticamente no locatário quando o primeiro usuário de um locatário se autentica no aplicativo.
Há apenas um registro de aplicativo ou objeto de aplicativo. No entanto, há um aplicativo Enterprise, ou Service Principal (SP), em cada locatário que permite que os usuários entrem no aplicativo. O administrador do locatário pode controlar como o aplicativo funciona em seu locatário.
Considerações sobre aplicativos multilocatários
Os aplicativos multilocatários entram usuários do locatário doméstico do usuário quando o aplicativo usa o ponto de extremidade comum ou da organização. O aplicativo tem um registro de aplicativo, conforme mostrado no diagrama a seguir. Neste exemplo, o aplicativo é registrado no locatário Adatum. O Usuário A da Adatum e o Usuário B da Contoso podem entrar no aplicativo com a expectativa de que o Usuário A da Adatum acesse os dados da Adatum e que o Usuário B da Contoso acesse os dados da Contoso.
Título do diagrama: Aplicativo Multilocatário vs. Identidades Externas, também conhecido como B 2 B.
Como desenvolvedor, é sua responsabilidade manter as informações do locatário separadas. Por exemplo, se os dados da Contoso forem do Microsoft Graph, o Usuário B da Contoso verá apenas os dados do Microsoft Graph da Contoso. Não há possibilidade de o Usuário B da Contoso acessar dados do Microsoft Graph no locatário do Adatum porque o Microsoft 365 tem separação de dados verdadeira.
No diagrama, o Usuário B da Contoso pode entrar no aplicativo e acessar os dados da Contoso em seu aplicativo. Seu aplicativo pode usar os pontos de extremidade comuns (ou da organização) para que o usuário entre nativamente em seu locatário, não exigindo nenhum processo de convite. Um usuário pode executar e entrar em seu aplicativo e ele funciona depois que o usuário ou administrador do locatário concede consentimento.
Próximos passos
- Como e por que os aplicativos são adicionados ao Microsoft Entra ID explica como os objetos de aplicativo descrevem um aplicativo para o Microsoft Entra ID.
- As práticas recomendadas de segurança para propriedades de aplicativos no Microsoft Entra ID abrangem propriedades como URI de redirecionamento, tokens de acesso, certificados e segredos, URI de ID de aplicativo e propriedade do aplicativo.
- A criação de aplicativos com uma abordagem Zero Trust para identidade fornece uma visão geral das permissões e das práticas recomendadas de acesso.
- Adquirir autorização para acessar recursos ajuda você a entender a melhor forma de garantir o Zero Trust ao adquirir permissões de acesso a recursos para seu aplicativo.
- Desenvolver a estratégia de permissões delegadas ajuda você a implementar a melhor abordagem para gerenciar permissões em seu aplicativo e desenvolver usando os princípios Zero Trust.
- Desenvolver a estratégia de permissões de aplicativo ajuda você a decidir sobre a abordagem de permissões de aplicativo para o gerenciamento de credenciais.