Azure active directory Azure Active Directory和多租户应用程序授权

在AAD中注册应用程序后，似乎无法在Azure门户中管理租户访问控制

从我所读到的内容来看，在应用程序代码中，允许或拒绝特定租户的责任落在了开发人员身上。所有用户。默认情况下（授予权限后），任何AAD域都可以访问已注册的应用

---

如果是这样的话，这就是一个糟糕的模型。这意味着“allowed tenants”表可能会增长到数百万条记录，并且每次用户登录时，查询都需要对照该表检查其Tennanti。

AFAIK，目前没有针对多租户应用程序的此类功能make allow/deny list。我们可以在应用程序中控制，通过检查JWT令牌中的tid声明，您可以创建一个拒绝列表（记录将少于允许列表），并检查tid是否在拒绝列表中。并且是一个需要相同功能的反馈。

拒绝列表没有意义，因为默认情况下所有都是允许的。该列表实际上是我们在一个应用程序中所做的，该应用程序必须允许两个租户中的一个进行登录，即我们检查tid声明是否是其中之一。如果没有，则将用户发送到错误页面。在应用程序端实现并不难。