是否可以允许特定AAD租户中的所有用户访问某个应用程序？

Question

是否可以允许特定AAD租户中的所有用户访问某个应用程序？

就像租户信托一样。租户1信任租户2，我可以将“tenant2\AllUsers”添加到权限。

我希望允许合作伙伴租户的所有用户(当前和将来)能够访问SharePoint站点和其他一些应用程序。

我看过B2B，但它需要邀请，这很难规模化管理。授权管理看起来不错，但需要P2许可证，并且有很多我们不需要的功能。有没有人有一个简单的方法来做一个“租户信托”？我是不是遗漏了什么？

Answer 1

首先，你对“租户信托”有误解。

当我们说租户信任时，这意味着租户信任一个应用程序，然后该应用程序可以访问该租户的数据。没有办法让一个租户信任另一个租户。

无论如何，使用官方管理员同意URL，您可以授予整个租户对应用程序的管理员同意。

参见Construct the URL for granting tenant-wide admin consent。

https://login.microsoftonline.com/{tenant-id of partner tenant}/adminconsent?client_id={client-id}

使用合作伙伴租户的管理员帐户登录并执行管理员同意。然后，来自合作伙伴租户的所有用户都可以登录此应用程序。

对于SharePoint用户案例，您可以利用自助注册服务。请参考Use SharePoint as a business-to-business (B2B) extranet solution和Create a B2B extranet with managed guests。