設定應用程式的發行者網域
應用程式的發行者網域會通知使用者正在傳送其資訊的位置。 發行者網域也會作為 發行者驗證的輸入或必要條件。 視應用程式註冊的時機和發行者驗證的狀態而定,它會在 應用程式的同意提示提示直接顯示給使用者。 應用程式發行者的網域名稱會(視發行者驗證的狀態而定)在同意介面上顯示給使用者,以便讓使用者知道其資訊將傳送到何處以確保其可靠性。
在應用程式的同意提示中,發行者網域或發行者驗證狀態隨即出現。 顯示哪些資訊取決於應用程式是否為 多租使用者應用程式、註冊應用程式時,以及應用程式的發行者驗證狀態。
瞭解多租戶應用程式
多租戶應用程式 是指支援不受限於單一組織目錄的用戶帳戶的應用程式。 例如,多租戶應用程式可能支援所有 Microsoft Entra 工作或學校帳戶,或者它可能同時支援 Microsoft Entra 工作或學校帳戶和個人 Microsoft 帳戶。
瞭解預設發行者定義域值
有數個因素決定為應用程式發行者網域設定的預設值:
- 應用程式是否在租戶中註冊。
- 該租戶是否具備租戶驗證的網域。
- 應用程式註冊日期。
承租者註冊和經承租者驗證的網域
當您註冊新的應用程式時,應用程式的發行者網域可能會設定為預設值。 默認值取決於應用程式註冊的位置。 發行者網域值尤其取決於應用程式是否在租用戶中註冊,以及租使用者是否有租用戶驗證的網域。
如果應用程式具有租使用者驗證的網域,則應用程式的發行者網域預設為租使用者的主要已驗證網域。 如果應用程式沒有租使用者驗證的網域,且應用程式未在租用戶中註冊,則應用程式的默認發行者網域為 Null。
下表使用範例案例來描述發行者網域的預設值:
| 租用戶驗證的網域 | 發行者網域的預設值 |
|---|---|
| 零 | 零 |
*.onmicrosoft.com |
*.onmicrosoft.com |
- *.onmicrosoft.com- domain1.com- domain2.com (主要) |
domain2.com |
應用程式註冊日期
應用程式的註冊日期也會決定應用程式的預設發行者網域值。
如果您的多租戶應用程式已在 2019 年 5 月 21 日至 2020 年 11 月 30 日期間註冊 :
- 如果未設定應用程式的發行者網域,或設定為以
.onmicrosoft.com結尾的網域,則應用程式的同意提示會顯示該發行者網域值為「未驗證」。 - 如果應用程式具有已驗證的應用程式網域,同意提示會顯示已驗證的網域。
- 如果應用程式已驗證發行者,發行者網域會顯示 藍色 已驗證的 徽章,以顯示其狀態。
如果您的多租戶是在 2020 年 11 月 30 日之後已註冊 ,:
- 如果應用程式未透過發行者驗證,則應用程式的同意提示會顯示 未經驗證。 未顯示發行者網域相關信息。
- 如果應用程式經過發行者驗證,應用程式同意提示會顯示藍色已驗證的徽章。
在 2019 年 5 月 21 日之前建立的應用程式
如果您的應用程式已在 2019 年 5 月 21 日 之前註冊,即使您尚未設定發行者網域,您的應用程式的同意提示仍會顯示 未經驗證。 建議您設定發行者網域值,讓使用者可以在應用程式的同意提示中看到此資訊。
在 Microsoft Entra 系統管理中心設定發行者網域
若要使用 Microsoft Entra 系統管理中心為您的應用程式設定發行者網域:
如果您有多個租使用者的存取權,請使用右上方的 [設定] 圖示
,然後從 [目錄 + 訂用帳戶] 功能選取應用程式註冊所在的租使用者。在 Microsoft Entra 系統管理中心,瀏覽至 身分識別>應用程式>應用程式註冊。
搜尋並選取您想要設定的應用程式。
在 概觀中,於 [管理 ]底下的 [資源] 功能表中,選取 [商標]。
在 Publisher 網域中,選取下列其中一個選項:
- 如果您尚未設定網域,請選擇 [設定網域。
- 如果您已設定網域,請選擇 [更新網域]。
如果您的應用程式已在租用戶中註冊,接下來,請從兩個選項中選取:
- 選取已驗證的網域
- 確認新的網域
如果您的網域未在租用戶中註冊,則只會顯示驗證應用程式新網域的選項。
驗證應用程式的新網域
若要驗證應用程式的新發行者網域:
建立名為 microsoft-identity-association.json的檔案。 複製下列 JSON,並將它貼到 microsoft-identity-association.json 檔案中:
{ "associatedApplications": [ { "applicationId": "<your-app-id>" }, { "applicationId": "<another-app-id>" } ] }將
<your-app-id>取代為應用程式的用戶端標識碼。 如果您要驗證多個應用程式的新網域,請使用所有相關的應用程式識別碼。在
https://<your-domain>.com/.well-known/microsoft-identity-association.json裝載檔案。 將<your-domain>取代為已驗證網域的名稱。選擇 [驗證並儲存網域。
在驗證網域之後,您不需要維護用於驗證的資源。 驗證完成時,您可以移除裝載的檔案。
選取已驗證的網域
如果您的租使用者已驗證網域,請在 [選取已驗證的網域 下拉式清單中,選取其中一個網域。
注意
內容將會解譯為UTF-8 JSON以進行還原串行化。 系統應該傳回的支援 Content-Type 標頭是 application/json、application/json; charset=utf-8或 。 如果您使用任何其他標頭,您可能會看到此錯誤訊息:
Verification of publisher domain failed. Error getting JSON file from https:///.well-known/microsoft-identity-association. The server returned an unexpected content type header value.
發行者網域和應用程式同意提示
設定發行者網域會影響使用者在應用程式同意提示中看到的內容。 如需同意提示元件的詳細資訊,請參閱 瞭解應用程式同意體驗。
下圖顯示發行者網域在 2019 年 5 月 21 日之前建立的應用程式的同意提示中出現的方式:
對於在 2019 年 5 月 21 日至 2020 年 11 月 30 日之間建立的應用程式,發行者網域在應用程式的同意提示中顯示的方式取決於發行者網域和應用程式類型。 下圖說明在同意提示中針對不同組態組合顯示的內容:
針對在 2020 年 11 月 30 日之後建立的多租使用者應用程式,只會在應用程式的同意提示中顯示發行者驗證狀態。 下表說明同意提示中顯示的內容,視應用程式是否經過驗證而定。 單一租用戶應用程式的同意提示會維持不變。
發行者網域和重新導向URI
使用任何公司或學校帳戶或者使用Microsoft帳戶(多租戶)登入用戶的應用程式,會受限於重新導向 URI 中的一些限制。
單一根域限制
當多租戶應用程式的發行者網域值設定為 null 時,應用程式將會被限制只能共用一個重新導向 URI 的根域。 例如,不允許下列值組合,因為根域 contoso.com 不符合根域 fabrikam.com。
"https://contoso.com",
"https://fabrikam.com",
子域限制
允許子域,但您必須明確註冊根域。 例如,雖然下列 URI 共用單一根域,但不允許組合:
"https://app1.contoso.com",
"https://app2.contoso.com",
但是,如果開發人員明確新增根域,則允許組合:
"https://contoso.com",
"https://app1.contoso.com",
"https://app2.contoso.com",
限制例外狀況
下列案例不受單一根域限制:
- 以單一目錄中帳戶為目標的單一租使用者應用程式或應用程式。
- 使用 localhost 作為重新導向 URI。
- 具有自訂方案(非 HTTP 或 HTTPS)的重定向 URI。
以程式設計方式設定發行者網域
目前,您無法使用 REST API 或 PowerShell 以程式設計方式設定發行者網域。
後續步驟
- 瞭解如何 將應用程式標示為已驗證的發行者。
- 發行者驗證 疑難解答。