我们有一个Office 365租户,用于组织的基本AD功能(加入台式机,身份验证等)。
我们还在构建一个独立的移动和Web应用程序。我们已将Azure订阅绑定到我们的主要AAD租户。而且我们可能会有单独的开发/测试订阅。
出于管理目的,我们希望将应用程序资源加入AAD,但我的问题是我们应该将这些资源加入常规AAD吗?我不认为这是明智的。那么还有哪些选择呢?创建另一个AAD?我们计划将Azure B2C用于Web和移动身份验证。
我们是否创建另一个租户?以某种方式(例如传统的AD森林和树木)划分我们的主要租户?
出于安全目的,我正在尝试将应用程序与我们的组织隔离。
仅供参考,我们没有任何本地旧版广告。
答案 0 :(得分:1)
这取决于您的应用程序的目的。如果您要出售应用程序并创建多租户应用程序等,则可能会有单独的租户(B2C)。 但总的来说,尽量避免创建过多的租户,这可能成为管理方面的噩梦。 现在回答您的一些特定问题。创建天蓝色b2c时,它实际上是一个具有不同域名的新AAD租户。
就开发/测试订阅而言,它应该是与同一AAD租户绑定的订阅。您不会为此创建单独的租户。除非您绝对需要使用完全独立的目录进行测试(例如,编辑您不想在主要租户中进行的随机Global Azure AD设置),但是再次声明,这将成为管理方面的噩梦:1:您没有想要为同一个人在不同租户中创建多个用户。这意味着您将需要使用azure b2b,联合用户并设置单独的权限等。
在azure广告中,您无法创建子域,该概念不同于本地AD。它只是不怎么工作。
这里有一些关于创建更多租户的罕见案例的很好的阅读: https://itconnect.uw.edu/wares/msinf/aad/new-aad-tenant/
答案 1 :(得分:1)
如果您打算使用B2C,则应该在此处进行app registration。您以后可以与主要的AD租户federate一起使用。