有关 Entra 外部 ID 和部署资源的问题

您创建和配置 Microsoft Entra 外部 ID 实例所执行的所有步骤都是正确的。仅当您想要访问身份保护时才需要订阅。在this链接下，您还可以找到有关配置和免费试用的详细信息。

使用订阅链接是因为将来将会有“每月活跃用户（又名 MAU）”定价模式，您将为超过特定阈值的活跃用户付费。

但是，您的 Azure 订阅仍位于您的主要 Microsoft Entra ID 租户下，而不是 Microsoft Entra 外部 ID 租户下。您仅将 Entra 外部 ID 链接到现有订阅以用于计费目的。 您应该使用与 Azure 订阅连接的主 Microsoft Entra ID 租户来部署所有资源。您无法在 Microsoft Entra 外部 ID 租户下部署 Azure 资源。这就是您在门户中看到错误的原因。

现在，谈到应用程序注册、访问 Microsoft Graph API、托管身份。 当您将应用程序部署到 Azure Web App 时，您可以为此服务启用系统分配的托管标识。然后，您可以拥有 Azure Key Vault，在其中存储在 CIAM（MS Entra 外部 ID）租户中注册的应用程序的客户端 ID 和客户端密钥。在这种情况下，无法直接使用托管身份来调用其他租户的资源。典型的方法是在 MS Entra 外部 ID 租户中创建应用程序注册，并使用带有证书的客户端 ID。使用这些凭据，您可以使用 MS Graph API 进行身份验证，然后调用负责返回有关存储在 MS Entra 外部 ID 租户中的用户信息的端点。

总结一下。要在连接到主 Microsoft Entra ID 租户（劳动力一，而不是客户一）的订阅下部署的 Azure 资源之间进行通信，您可以配置管理身份并使用 RBAC（基于角色的访问控制）来授予访问权限。例如，您可以授予 Azure Web App 权限以从 Azure Key Vault 获取机密。 另一方面，如果您需要对访问 Azure Web App 上托管的应用程序的用户进行身份验证，则必须使用客户租户中的应用程序详细信息（例如客户端 ID）。如果您需要从 MS Entra 外部 ID 访问用户数据，则必须首先使用 Microsoft Graph API 进行身份验证。这是您通常在后端执行的操作（例如在 ASP .NET Core API 中）。您可以在此处安全地存储后端应用程序注册详细信息（例如客户端 ID 和客户端密钥），并在客户租户的 MS Entra 的“权限”部分下向您的应用程序授予特定的 MS Graph 权限。

您还提到您看不到其他租户。在 MS Entra 管理中心，请使用“齿轮”图标查看所有租户的列表。您应该看到两个租户 - 标准租户和客户租户。我附上图片以使其更容易。

如果问题得到澄清，请告诉我。我很乐意提供更多详细信息以提供帮助。