次の方法で共有

アプリの発行元ドメインを構成する

  • [アーティクル]

アプリの発行元ドメインは、情報が送信されている場所をユーザーに通知します。 パブリッシャー ドメインは、パブリッシャー検証 の入力または前提条件としても機能します。 アプリが登録された日時とパブリッシャー検証の状態に応じて、アプリケーションの同意プロンプトにユーザーに直接表示されます。 信頼のために情報が送信されている場所をユーザーに知らせるために、同意 UX のユーザーにアプリケーションの発行元ドメインが (発行元検証の状態に応じて) 表示されます。

アプリの同意プロンプトに、発行元ドメインまたは発行元の確認状態が表示されます。 表示される情報は、アプリが マルチテナント アプリかどうか、アプリが登録されたとき、アプリの発行元の確認状態によって異なります。

マルチテナント アプリについて

マルチテナント アプリ は、1 つの組織ディレクトリの外部にあるユーザー アカウントをサポートするアプリです。 たとえば、マルチテナント アプリでは、Microsoft Entra のすべての職場または学校アカウントがサポートされている場合や、Microsoft Entra の職場または学校アカウントと個人の Microsoft アカウントの両方をサポートしている場合があります。

既定の発行元ドメインの値を理解する

いくつかの要因によって、アプリの発行元ドメインに設定される既定値が決まります。

  • アプリがテナントに登録されているかどうか。
  • テナントにテナント検証済みドメインがあるかどうか。
  • アプリの登録日。

テナントの登録とテナント検証済みドメイン

新しいアプリを登録すると、アプリの発行元ドメインが既定値に設定される場合があります。 既定値は、アプリが登録されている場所によって異なります。 発行元ドメインの値は、アプリがテナントに登録されているかどうかと、テナントにテナント検証済みドメインがあるかどうかによって特に異なります。

アプリにテナント検証ドメインがある場合、アプリの発行元ドメインは既定でテナントのプライマリ検証済みドメインになります。 アプリにテナント検証ドメインが存在せず、アプリがテナントに登録されていない場合、アプリの既定の発行元ドメインは null になります。

次の表では、シナリオ例を使用して、パブリッシャー ドメインの既定値を説明します。

テナント検証済みドメイン パブリッシャー ドメインの既定値
無効 null
*.onmicrosoft.com *.onmicrosoft.com
- *.onmicrosoft.com
- domain1.com
- domain2.com (プライマリ)		 domain2.com

アプリの登録日

アプリの登録日によって、アプリの既定の発行元ドメインの値も決定されます。

マルチテナント アプリが 2019 年 5 月 21 日から 2020 年 11 月 30 日の間に 登録された場合:

  • アプリの発行元ドメインが設定されていない場合、または .onmicrosoft.comで終わるドメインに設定されている場合、アプリの同意プロンプトには、発行元ドメインの値 未確認の が表示されます。
  • アプリに検証済みのアプリ ドメインがある場合は、同意プロンプトに検証済みドメインが表示されます。
  • アプリが発行元の検証済みである場合、発行元ドメインには、状態を示す 青い 検証済みバッジ 表示されます。

2020年11月30日以降にマルチテナントがとして登録された場合:

  • アプリが発行元検証されていない場合は、アプリの同意プロンプトに未確認の 表示されます。 発行元ドメインに関連する情報は表示されません。
  • アプリが発行元の検証済みの場合、アプリの同意プロンプトに、青い 検証済みの バッジが表示されます。

2019 年 5 月 21 日より前に作成されたアプリ

2019 年 5 月 21 日 より前にアプリが登録されている場合、発行元ドメインを設定していない場合でも、アプリの同意プロンプトに未確認の 表示されます。 ユーザーがアプリの同意プロンプトでこの情報を表示できるように、発行元ドメインの値を設定することをお勧めします。

Microsoft Entra 管理センターで発行元ドメインを設定する

Microsoft Entra 管理センターを使用してアプリの発行元ドメインを設定するには:

  1. Microsoft Entra 管理センター にサインインします。

  2. 複数のテナントにアクセスできる場合は、右上にある [設定] アイコン を使用し、[ディレクトリとサブスクリプション] メニューからアプリが登録されているテナント 選択します。

  3. Microsoft Entra 管理センターで、ID>アプリケーション>アプリの登録を参照します。

  4. 構成するアプリを検索して選択します。

  5. 概要のリソース メニューの [管理]で、[ブランド化] 選択します。

  6. パブリッシャー ドメインで、次のいずれかのオプションを選択します。

    • ドメインをまだ構成していない場合は、[ ドメインの構成] を選択します。
    • ドメインを構成している場合は、[ドメイン 更新] を選択します。

  7. アプリがテナントに登録されている場合は、次の 2 つのオプションから選択します。

    • 検証済みドメインの を選択する
    • 新しいドメインの を確認する

    ドメインがテナントに登録されていない場合は、アプリの新しいドメインを確認するオプションのみが表示されます。

アプリの新しいドメインを確認する

アプリの新しい発行元ドメインを確認するには:

  1. microsoft-identity-association.jsonという名前のファイルを作成します。 次の JSON をコピーし、microsoft-identity-association.json ファイルに貼り付けます。

    {
   "associatedApplications": [
      {
         "applicationId": "<your-app-id>"
      },
      {
         "applicationId": "<another-app-id>"
      }
   ]
 }

  2. <your-app-id> をアプリのアプリケーション (クライアント) ID に置き換えます。 複数のアプリの新しいドメインを確認する場合は、関連するすべてのアプリ ID を使用します。

  3. https://<your-domain>.com/.well-known/microsoft-identity-association.jsonでファイルをホストします。 <your-domain> を検証済みドメインの名前に置き換えます。

  4. ドメイン を確認および保存し、を選択します。

ドメインを検証した後に検証に使用されるリソースを維持する必要はありません。 検証が完了したら、ホストされているファイルを削除できます。

確認済みドメインを選択する

テナントに確認済みドメインがある場合は、[確認済みドメインの選択] ドロップダウンで、いずれかのドメインを選択します。

手記

コンテンツは逆シリアル化のために UTF-8 JSON として解釈されます。 返される必要があるサポートされる Content-Type ヘッダーは、application/jsonapplication/json; charset=utf-8、または です。 他のヘッダーを使用すると、次のエラー メッセージが表示されることがあります。

Verification of publisher domain failed. Error getting JSON file from https:///.well-known/microsoft-identity-association. The server returned an unexpected content type header value.

発行元ドメインの構成は、ユーザーがアプリの同意プロンプトに表示する内容に影響します。 同意プロンプトのコンポーネントの詳細については、「アプリケーションの同意エクスペリエンスを理解する」を参照してください。

次の図は、2019 年 5 月 21 日より前に作成されたアプリのアプリ同意プロンプトに発行元ドメインがどのように表示されるかを示しています。

2019 年 5 月 21 日より前に作成されたアプリの同意プロンプトの動作を示す図。

2019 年 5 月 21 日から 2020 年 11 月 30 日までの間に作成されたアプリの場合、アプリの同意プロンプトで発行元ドメインがどのように表示されるかは、発行元ドメインとアプリの種類によって異なります。 次の図は、さまざまな構成の組み合わせに対する同意プロンプトに表示される内容を示しています。

2019 年 5 月 21 日から 2020 年 11 月 30 日までの間に作成されたアプリの同意プロンプトの動作を示す図。

2020 年 11 月 30 日以降に作成されたマルチテナント アプリの場合、アプリの同意プロンプトには発行元の確認状態のみが表示されます。 次の表では、アプリが検証されているかどうかに応じて、同意プロンプトに表示される内容について説明します。 シングルテナント アプリの同意プロンプトは変わりません。

2020 年 11 月 30 日以降に作成されたアプリの同意プロンプトの結果を示す図。

パブリッシャー ドメインとリダイレクト URI

職場または学校アカウントを使用するか、Microsoft アカウント (マルチテナント) を使用してユーザーをサインインさせるアプリには、リダイレクト URI でいくつかの制限があります。

単一のルート ドメインの制限

マルチテナント アプリの発行元ドメインの値が null に設定されている場合、アプリはリダイレクト URI の 1 つのルート ドメインの共有に制限されます。 たとえば、ルート ドメインの contoso.com がルート ドメインの fabrikam.comと一致しないため、次の値の組み合わせは許可されません。

"https://contoso.com",  
"https://fabrikam.com",

サブドメインの制限

サブドメインは許可されますが、ルート ドメインを明示的に登録する必要があります。 たとえば、次の URI は 1 つのルート ドメインを共有しますが、組み合わせは許可されません。

"https://app1.contoso.com",
"https://app2.contoso.com",

ただし、開発者がルート ドメインを明示的に追加した場合、組み合わせは許可されます。

"https://contoso.com",
"https://app1.contoso.com",
"https://app2.contoso.com",

制限の例外

次の場合は、単一ルート ドメインの制限の対象になりません。

  • 単一ディレクトリ内のアカウントを対象とするシングルテナント アプリまたはアプリ。
  • リダイレクト URI として localhost を使用します。
  • カスタム スキーム (HTTP または HTTPS 以外) を持つリダイレクト URI。

プログラムでパブリッシャー ドメインを構成する

現時点では、REST API または PowerShell を使用してパブリッシャー ドメインをプログラムで設定することはできません。

次の手順