快速入門：在 Microsoft Entra 識別符中註冊應用程式

在本快速入門中，您將瞭解如何在 Microsoft Entra 識別子中註冊應用程式。 此程式對於建立應用程式與Microsoft身分識別平臺之間的信任關係至關重要。 藉由完成本快速入門，您可以啟用應用程式的身分識別和存取管理（IAM），讓它安全地與Microsoft服務和 API 互動。

必要條件

• 具有有效訂用帳戶的 Azure 帳戶。 免費建立帳戶。
• Azure 帳戶至少必須是 應用程式開發者。
• 人力資源或外部承租者。 在進行本快速入門時，您可以使用 預設目錄。 如果您需要設定一個外部租戶，請完成 設定外部租戶。

註冊應用程式

在 Microsoft Entra 中註冊您的應用程式，會在您的應用程式與Microsoft身分識別平台之間建立信任關係。 信任是單向的。 您的應用程式信任 Microsoft 身分識別平臺，而不是相反。 建立之後，就無法在不同的租用戶之間移動應用程式物件。

請依照這些步驟建立應用程式註冊：

1. 至少以應用程式開發人員的身分登入 Microsoft Entra 系統管理中心。

2. 如果您有多個租使用者的存取權，請使用頂端功能表中的 [設定] 圖示 ，切換至您要在其中註冊應用程式的租使用者。

3. 瀏覽至 [身分識別] > [應用程式] > [應用程式註冊]，然後選取 [新增註冊]。

4. 輸入有意義的 名稱，例如，identity-client-app。 應用程式使用者可以看到此名稱，而且可以隨時加以變更。 您可以有多個具有相同名稱的應用程式註冊。

5. 在 [支援的帳戶類型下，指定誰可以使用應用程式。 我們建議您在此組織目錄中選取 [帳戶]，只針對大部分的應用程式。 如需每個選項的詳細資訊，請參閱下表。

   支援的帳戶類型	描述
   僅限於本組織目錄的帳戶	針對 單一租戶 應用程式，僅限於 租戶中的使用者（或來賓）使用。
   任何組織目錄中的帳戶	針對 多租戶 應用程式，您希望來自 任何 Microsoft Entra 租戶的用戶能夠使用您的應用程式。 適合用於您想要提供給多個組織的軟體即服務 （SaaS） 應用程式。
   任何組織目錄中的帳戶及個人的 Microsoft 帳戶	針對支持組織和個人 Microsoft 帳戶的多租戶 應用程式（例如 Skype、Xbox、Live、Hotmail）。
   個人 Microsoft 帳戶	僅適用於個人Microsoft帳戶使用的應用程式（例如 Skype、Xbox、Live、Hotmail）。

6. 選取 [註冊] 以完成應用程式註冊。

   

7. 應用程式的 概觀 頁面隨即顯示。 記錄 應用程式（用戶端）標識碼，它會唯一識別您的應用程式，並用於應用程式的程式代碼中，作為驗證其從Microsoft身分識別平臺接收的安全性令牌的一部分。

   

重要

預設會對使用者隱藏新的應用程式註冊。 當您準備好讓使用者在 「我的應用程式」頁面上看到應用程式時， 您可以啟用它。 若要啟用應用程式，請在 Microsoft Entra 系統管理中心內導覽至 [身分識別] > [應用程式] > [企業應用程式]，然後選取應用程式。 然後在 [屬性] 頁面上，將 [是否可見給使用者] 設定為 是。

授與管理員同意（僅限外部租戶）

註冊應用程式之後，就會獲指派 User.Read 許可權。 不過，對於外部租用戶，客戶使用者本身無法同意此許可權。 作為系統管理員，您必須代表租戶中的所有使用者同意此權限：

1. 從應用程式註冊的 [概觀] 頁面，在 [管理] 下，選擇 [API 權限]。
2. 選取 [授與 < 租用戶 >系統管理員同意]，然後選取 [是]。
3. 選取 重新整理，然後確認 為 < 租用戶名稱授予的 > 是否出現在許可權狀態 底下。

新增重新導向 URI

重新導向 URI 是 Microsoft 身分識別平臺在驗證後傳送安全性令牌的位置。 您可以在 Microsoft Entra 系統管理中心的 平台組態 中設定重新導向 URI。 針對 Web 和 單頁應用程式，您必須手動指定重新導向 URI。 針對 行動裝置和桌面 平臺，您可以從產生的重新導向 URI 中選取。 請遵循下列步驟，根據您的目標平臺或裝置來設定設定：

1. 在 Microsoft Entra 系統管理中心的 [應用程式註冊] 中，選取您的應用程式。

2. 在 [管理] 底下，選取 [驗證]。

3. 在 [平台設定] 底下，選取 [新增平台]。

4. 在 [設定平台] 底下，選取應用程式類型 (平台) 的圖格來設定其設定。

   

   平台	組態設定	範例
   Web	針對在伺服器上執行的 Web 應用程式，輸入 重新導向 URI。 您也可以新增前端通道註銷 URL	Node.js： • http://localhost:3000/auth/redirect ASP.NET Core： • https://localhost:7274/signin-oidc • https://localhost:7274/signout-callback-oidc （前端頻道註銷 URL） 蟒： • http://localhost:3000/getAToken
   單一頁面應用程式	輸入用於 JavaScript、Angular、React.js或 Blazor WebAssembly 用戶端應用的 重新導向 URI。 您也可以新增前端通道註銷 URL	JavaScript、React： • http://localhost:3000 角： • http://localhost:4200/
   iOS / macOS	輸入應用程式 套件組合標識碼，這會為您產生重新導向 URI。 在 [組建設定] 或是 Info.plist 的 Xcode 中找到它。	員工承租者： • com.<yourname>.identitysample.MSALMacOS 外部租戶： • com.microsoft.identitysample.ciam.MSALiOS
   Android	輸入應用程式 套件名稱，這會為您產生重新導向 URI。 在 AndroidManifest.xml 檔案中找到它。 也請產生並輸入簽章雜湊值。	Kotlin： • com.azuresamples.msaldelegatedandroidkotlinsampleapp .NET MAUI： • msal{CLIENT_ID}://auth 爪哇島： • com.azuresamples.msalandroidapp
   行動應用程式與傳統型應用程式	針對未使用 MSAL 或訊息代理程式之傳統型應用程式或行動應用程式選取此平臺。 請選取建議的 重新導向 URI，或指定一個或多個 自訂的重新導向 URI	內嵌瀏覽器桌面應用程式： • https://login.microsoftonline.com/common/oauth2/nativeclient 系統瀏覽器桌面應用程式 • http://localhost

5. 選取 [設定] 以完成平台設定。

重新導向 URI 的限制

新增至應用程式註冊的重新導向 URI 有一些格式限制。 如需這些限制的詳細資料，請參閱重新導向 URI (回覆 URL) 限制。

新增認證

註冊應用程式之後，您可以將憑證、用戶端密碼（字串）或同盟身分識別認證新增為機密用戶端應用程式註冊的認證。 認證可讓應用程式以本身身分進行驗證，不需要在運行時間與用戶互動，而且 存取 Web API 的機密用戶端應用程式 使用。

新增憑證

有時稱為「公開金鑰」，這是建議的認證類型，因為它們被視為比用戶端祕密更安全。

1. 在 Microsoft Entra 系統管理中心的 [應用程式註冊] 中，選取您的應用程式。
2. 選取 [憑證和祕密]>[憑證]>[上傳憑證]。
3. 選取您要上傳的檔案。 它必須是下列其中一種檔案類型：.cer、.pem、.crt。
4. 選取 [新增]。

在生產環境中，您應該使用由已知證書頒發機構單位 （CA） 簽署的憑證，例如 Azure Key Vault。 如需使用憑證作為應用程式中驗證方法的詳細資訊，請參閱 Microsoft 身分識別平台應用程式驗證憑證認證。

新增用戶端密碼

有時稱為 應用程式密碼，用戶端密碼是應用程式可用來取代憑證來識別本身的字串值。

客戶端密碼比憑證或同盟認證不安全，因此在生產環境中不應 使用。 雖然它們對於本機應用程式開發而言可能很方便，但請務必針對生產環境中執行的任何應用程式使用憑證或同盟認證，以確保更高的安全性。

1. 在 Microsoft Entra 系統管理中心的 [應用程式註冊] 中，選取您的應用程式。
2. 選取 [憑證和祕密]>[用戶端密碼]>[新增用戶端密碼]。
3. 為你的用戶端機密新增描述。
4. 選取祕密的到期日，或指定自訂存留期。
   • 用戶端祕密存留期限制為兩年 (24 個月) 或更少。 您無法指定超過 24 個月的自訂存留期。
   • Microsoft 建議您將到期值設定為少於 12 個月。
5. 選取 [新增]。
6. 「記錄祕密的值」，以在用戶端應用程式的程式碼中使用。 離開此頁面後，就「不會再次顯示」此祕密值。

若要深入瞭解客戶端密碼弱點，請參閱 將應用程式移出秘密型驗證。

若使用會自動建立服務主體的 Azure DevOps 服務連線，則需要從 Azure DevOps 入口網站來更新用戶端密碼，而不是直接更新用戶端密碼。 請參閱本文件，以了解如何從 Azure DevOps 入口網站來更新用戶端密碼：針對 Azure Resource Manager 服務連線進行疑難排解。

新增同盟認證

同盟身分識別認證是一種認證，可允許工作負載 (例如 GitHub Actions)、在 Kubernetes 上執行的工作負載或在 Azure 外部的計算平台執行的工作負載存取 Microsoft Entra 受保護資源，而不需要使用工作負載身分識別同盟來管理祕密。

若要新增同盟認證，請遵循下列步驟：

1. 在 Microsoft Entra 系統管理中心的 [應用程式註冊] 中，選取您的應用程式。

2. 選取 [認證和祕密] > [同盟認證] > [新增認證]。

3. 在 [同盟認證案例] 下拉式方塊中，選取支援的其中一個案例，並遵循對應的指引來完成設定。

   • 客戶管理的金鑰用於在另一個租用戶中使用 Azure Key Vault 來加密您租用戶的資料。
   • 使用GitHub Actions 部署 Azure 資源，並設定 GitHub 工作流程以獲取應用程式的權杖，並將資產部署到 Azure。
   • Kubernetes 存取 Azure 資源以設定Kubernetes 服務帳戶取得應用程式的權杖，並存取 Azure 資源。
   • 其他簽發者 將應用程式設定為 信任受控識別 或由外部 OpenID Connect 提供者所管理的身分識別， 以取得您應用程式的權杖並存取 Azure 資源。

如需如何使用同盟認證取得存取令牌的詳細資訊，請參閱 Microsoft身分識別平臺和 OAuth 2.0 用戶端認證流程。

後續步驟

公开網頁 API

註冊應用程式之後，您可以將其設定為公開 Web API。 若要瞭解如何，請參閱;

設定應用程式以公開 Web API

探索範例程式代碼

Microsoft身分識別平臺提供各種針對不同應用程式類型和平臺量身打造的程式代碼範例。 若要探索這些範例，請參閱;

Microsoft 身分識別平台程式碼範例

將應用程式新增至使用者流程

對於外部租使用者中的應用程式，您可以將應用程式新增至使用者流程，讓客戶有簡化的體驗。 若要瞭解如何，請參閱;

將應用程式新增至使用者流程