Mandanten in Microsoft Entra ID
Microsoft Entra ID strukturiert Objekte wie Benutzer*innen und Apps in Gruppen, die als Mandanten bezeichnet werden. Mandanten erlauben einem Administrator, Richtlinien für Benutzer innerhalb des Unternehmens und die Apps festzulegen, die dem Unternehmen gehören, um die Sicherheits- und Betriebsrichtlinien einzuhalten.
Wer kann sich bei Ihrer App anmelden?
Wenn es um die Entwicklung von Apps geht, können Entwickler*innen bei der App-Registrierung auswählen, ob ihre App für einen einzelnen oder mehrere Mandanten konfiguriert werden soll.
- Einzelinstanzenfähige Apps sind nur in dem Mandanten verfügbar, in dem sie registriert wurden. Dieser wird auch als Basismandant bezeichnet.
- Mehrinstanzenfähige Apps sind für Benutzer in ihrem Basismandanten und in anderen Mandanten verfügbar.
Wenn Sie eine Anwendung registrieren, können Sie sie für die Verwendung durch einen oder mehrere Mandanten konfigurieren, indem Sie die Zielgruppe wie folgt festlegen.
| Zielgruppe | Einzel-/mehrinstanzenfähig | Wer kann sich anmelden? |
|---|---|---|
| Nur Konten in diesem Verzeichnis | Einzelner Mandant | Alle Benutzer- und Gastkonten in Ihrem Verzeichnis können Ihre Anwendung oder API verwenden. Verwenden Sie diese Option, wenn sich Ihre Zielgruppe innerhalb Ihrer Organisation befindet. |
| Konten in einem beliebigen Microsoft Entra-Verzeichnis | Mehrinstanzenfähig | Alle Benutzer und Gäste mit einem Geschäfts-, Schul- oder Unikonto von Microsoft können Ihre Anwendung oder API verwenden. Dazu gehören auch Bildungseinrichtungen und Unternehmen, die Microsoft 365 verwenden. Verwenden Sie diese Option, wenn Ihre Zielgruppe Kunden aus dem Unternehmens- oder Bildungsbereich sind. |
| Konten in beliebigen Microsoft Entra-Verzeichnissen und persönliche Microsoft-Konten (z. B. Skype, Xbox, Outlook.com) | Mehrinstanzenfähig | Alle Benutzer mit einem Geschäfts-, Schul- oder Unikonto bzw. einem persönlichen Microsoft-Konto können Ihre Anwendung oder API verwenden. Dazu gehören Bildungseinrichtungen und Unternehmen, die Microsoft 365 nutzen, sowie persönliche Konten, mit denen die Anmeldung bei Diensten wie Xbox und Skype erfolgt. Verwenden Sie diese Option, um die breiteste Auswahl an Microsoft-Konten als Zielgruppe zu verwenden. |
Bewährte Methoden für mehrinstanzenfähige Apps
Das Erstellen guter mehrinstanzenfähiger Apps kann aufgrund der Vielzahl unterschiedlicher Richtlinien, die IT-Administratoren in ihren Mandanten festlegen können, eine Herausforderung darstellen. Wenn Sie eine mehrinstanzenfähige App erstellen möchten, wenden Sie die folgenden bewährten Methoden an:
- Testen Sie Ihre App in einem Mandanten, für den Richtlinien für bedingten Zugriff konfiguriert sind.
- Befolgen Sie das Prinzip des geringstmöglichen Benutzerzugriffs, um sicherzustellen, dass Ihre App nur Berechtigungen anfordert, die sie tatsächlich benötigt.
- Geben Sie geeignete Namen und Beschreibungen für alle Berechtigungen an, die Sie als Teil Ihrer App bereitstellen. Auf diese Weise können sich Benutzer und Administratoren besser informieren, welchen Berechtigungen sie zustimmen, wenn sie versuchen, die APIs Ihrer App zu verwenden. Weitere Informationen finden Sie im Abschnitt zu den bewährten Methoden im Berechtigungsleitfaden.
Nächste Schritte
Weitere Informationen zu Mandanten in Microsoft Entra ID finden Sie hier: