在将AAD用于组织时，如何为独立的web应用程序配置我的AAD？

Question

我们有一个Office 365租户，用于我们的基本AD功能(加入桌面PC、身份验证等)。为我们的组织。

我们还在构建一个独立的移动和web应用程序。我们有一个Azure订阅，我们已经绑定到我们的主要AAD租户。而且我们可能会有一个单独的开发/测试订阅。

出于管理目的，我们希望将我们的应用程序资源加入到AAD中，但我的问题是，我们是否应该将这些资源加入我们常规的AAD中？我不认为这是明智的。那么，还有什么替代方案呢？创建另一个AAD？我们计划将Azure B2C用于web和移动身份验证。

我们要创建另一个租户吗？以某种方式划分我们的主要租户(比如传统的AD森林和树)？

出于安全考虑，我尽量将应用程序与我们组织的使用隔离开来。

仅供参考，我们没有任何本地传统广告。

Answer 1

这取决于应用程序的用途。如果您正在销售您的应用程序并创建多租户应用程序等，则可能需要单独的租户(B2C)。但一般来说，尽量避免创建太多的租户，这可能会成为管理的噩梦。现在来回答你的一些具体问题。当您创建azure b2c时，它实际上是一个新的AAD租户，具有不同的域名。

就dev/test订阅而言，它应该是绑定到同一AAD租户的订阅。您不会为此创建单独的租户。除非你绝对需要用一个完全独立的目录进行测试(例如，编辑你不想在主租户中做的随机全局Azure AD设置)，但这再次意味着它变成了一个管理噩梦:你不想在不同的租户中为同一个人创建多个用户。这意味着你需要使用azure b2b来联合用户和设置单独的权限，等等。

在azure广告中，您不能创建子域，这一概念与本地AD不同。这不是它的工作方式。

这里有一些关于创建更多租户的罕见场景的很好的读物：https://itconnect.uw.edu/wares/msinf/aad/new-aad-tenant/

Answer 2

如果您计划使用B2C，那么app registration应该在那里完成。您可以稍后与您的主要AD租户进行federate。