Modificare gli account supportati da un'applicazione

Quando si registra un'applicazione con Microsoft Identity Platform, si specifica chi o quali tipi di account possono accedervi. Ad esempio, è possibile specificare gli account solo della propria organizzazione, per cui l'app è a tenant singolo. Oppure è possibile specificare gli account di qualsiasi organizzazione (inclusa la propria), per cui l'app è multi-tenant.

Nelle sezioni seguenti si apprenderà come modificare la registrazione dell'app per modificare chi, o quali tipi di account, possono accedere all'applicazione.

Prerequisiti

Modificare la registrazione dell'applicazione per supportare account diversi

Suggerimento

I passaggi descritti in questo articolo possono variare leggermente in base al portale da cui si inizia.

Per specificare un'impostazione diversa per i tipi di account supportati da una registrazione dell'app esistente:

  1. Accedere all'interfaccia di amministrazione di Microsoft Entra come almeno uno sviluppatore di applicazioni.

  2. Se si ha accesso a più tenant, usare l'icona Impostazioni nel menu in alto per passare al tenant contenente la registrazione dell'app dal menu Directory e sottoscrizioni.

  3. Passare a Applicazioni> di identità>Registrazioni app.

  4. Selezionare l'applicazione e quindi selezionare Manifesto per usare l'editor del manifesto.

  5. Scaricare il file JSON del manifesto in locale.

  6. Specificare ora chi può usare l'applicazione, ovvero i destinatari per l'accesso. Trovare la proprietà signInAudience nel file JSON del manifesto e impostarla su uno dei valori di proprietà seguenti:

    Valore proprietà Tipi di conto supportati Descrizione
    AzureADMyOrg Account solo in questa directory dell'organizzazione (Solo Microsoft - Tenant singolo) Tutti gli account utente e guest nella directory possono usare l'applicazione o l'API. Usare questa opzione se il gruppo di destinatari è interno all'organizzazione.
    AzureADMultipleOrgs Account in qualsiasi directory dell'organizzazione (qualsiasi directory Microsoft Entra - multi-tenant) Tutti gli utenti con un account aziendale o dell'istituto di istruzione di Microsoft possono usare l'applicazione o l'API. Sono inclusi gli istituti di istruzione e le aziende che usano Office 365. Usare questa opzione se il gruppo di destinatari è costituito da clienti aziendali o di istituti di istruzione e per abilitare il multi-tenancy.
    AzureADandPersonalMicrosoftAccount Account in qualsiasi directory organizzativa (qualsiasi directory Di Microsoft Entra - Multi-tenant) e account Microsoft personali (ad esempio Skype, Xbox) Tutti gli utenti con un account aziendale o dell'istituto di istruzione o con un account Microsoft personale possono usare l'applicazione o l'API. Sono inclusi gli istituiti di istruzione e le aziende che usano Office 365, nonché gli account personali usati per accedere a servizi come Xbox e Skype. Usare questa opzione per definire come destinazione il set più ampio di identità Microsoft e abilitare la multi-tenancy.
    PersonalMicrosoftAccount Solo account Microsoft personali Account personali usati per accedere a servizi come Xbox e Skype. Usare questa opzione per specificare come destinazione il set più ampio di identità Microsoft.
  7. Salvare le modifiche apportate al file JSON in locale, quindi selezionare Carica nell'editor del manifesto per caricare il file JSON del manifesto aggiornato.

Perché il passaggio al multi-tenant può non riuscire

Il passaggio di una registrazione dell'app da singolo a multi-tenant a volte può non riuscire a causa di conflitti di nomi nell'URI dell'ID applicazione. Un esempio di URI dell'ID app è https://contoso.onmicrosoft.com/myapp.

L'URI dell'ID App è uno dei modi in cui un'applicazione viene identificata nei messaggi di protocollo. Per un'applicazione a tenant singolo, è sufficiente che l'URI dell'ID app sia univoco all'interno del tenant. Per un'applicazione multi-tenant, deve essere univoca a livello globale, in modo che Microsoft Entra ID possa trovare l'app in tutti i tenant. L'univocità globale viene applicata richiedendo che il nome host dell'URI ID app corrisponda a uno dei domini di pubblicazione verificati del tenant di Microsoft Entra.

Se ad esempio il nome del tenant è contoso.onmicrosoft.com, https://contoso.onmicrosoft.com/myapp sarà un URI dell'ID app valido. Se il tenant ha il domini verificato contoso.com, un URI dell'ID app valido sarà anche https://contoso.com/myapp. Se l'URI dell'ID app non segue il secondo modello, https://contoso.com/myapp, la conversione della registrazione dell'app in multi-tenant non riesce.

Per altre informazioni sulla configurazione di un dominio dell'entità di pubblicazione verificato, vedere Configurare un dominio verificato.

Passaggi successivi

Altre informazioni sui requisiti per convertire un'app da tenant singolo a multitenant.