Устранение неполадок с проверкой издателя
Если вы не можете завершить процесс, просмотреть сообщения об ошибках или непредвиденное поведение с проверкой издателя, выполните следующие действия, чтобы устранить проблему:
- Проверьте требования и убедитесь, что они выполнены.
- Просмотрите инструкции, чтобы отметить приложение как проверенное издателем, и убедитесь, что все шаги были выполнены успешно.
- Ознакомьтесь со списком типичных проблем.
- Воспроизведите запрос с помощью обозревателя Graph, чтобы собрать дополнительную информацию и исключить любые проблемы в пользовательском интерфейсе.
Распространенные проблемы
Ниже приведены некоторые распространенные проблемы, которые могут возникнуть во время проверки издателя:
Я не знаю идентификатор программы Cloud Partner (Идентификатор партнера one) или я не знаю, кто основной контакт для учетной записи.
- Перейдите на страницу регистрации Cloud Partner Program.
- Войдите с помощью учетной записи пользователя в основном клиенте Microsoft Entra организации.
- Если учетная запись Cloud Partner Program уже существует, эта учетная запись распознается и добавляется в учетную запись.
- Перейдите на страницу профиля партнера, где перечислены идентификатор партнера и контакт основной учетной записи.
Я не знаю, кто мой глобальный администратор Microsoft Entra (также известный как администратор компании или администратор клиента), как найти их? Как насчет администратора приложений или администратора облачных приложений?
- Войдите в Центр администрирования Microsoft Entra как минимум администратор облачных приложений.
- Перейдите к ролям удостоверений>и администраторам.>
- Выберите нужную роль администратора.
- Отображается список пользователей, назначенных этой роли.
Я не знаю, кто администраторы для моей учетной записи CPP перейдите на страницу управления пользователями CPP и отфильтруйте список пользователей, чтобы узнать, какие пользователи находятся в различных ролях администратора.
Я получаю ошибку с сообщением о том, что мой идентификатор партнера one является недопустимым или что у меня нет доступа к нему. Следуйте инструкциям по исправлению.
При входе в Центр администрирования Microsoft Entra я не вижу зарегистрированных приложений. Почему? Регистрация приложений могла быть создана с использованием другой учетной записи пользователя в этом клиенте, или личной/потребительской учетной записи, или учетной записи в другом клиенте. Убедитесь, что вы вошли с использованием правильной учетной записи в клиент, в котором были созданы регистрации приложений.
Я получаю сообщение об ошибке, связанное с многофакторной проверкой подлинности. Что делать? Убедитесь, что включена многофакторная проверка подлинности и требуется для входа пользователя и для этого сценария. Например, MFA может:
- Всегда требуется для пользователя, с которым вы входите.
- требоваться для управления Azure;
- требоваться для типа администратора, с которым выполняется вход.
Выполнение вызовов API Microsoft Graph
Если вы столкнулись с проблемой, но не можете понять, что вы видите в пользовательском интерфейсе, может быть полезно выполнить устранение неполадок с помощью вызовов Microsoft Graph, чтобы выполнить те же операции, которые можно выполнить на портале регистрации приложений.
Самый простой способ выполнить эти запросы — использовать песочницу Graph. Вы также можете рассмотреть другие параметры, такие как PowerShell, чтобы вызвать веб-запрос.
Вы можете использовать Microsoft Graph, чтобы установить и отменить проверенного издателя приложения и проверить результат после выполнения одной из этих операций. Результат можно увидеть в объекте приложения, соответствующем регистрации приложения, а также в любых субъектах-службах, которые были созданы из этого приложения. Дополнительные сведения о связи между этими объектами см. в разделе " Объекты приложения и субъекта-службы" в идентификаторе Microsoft Entra ID.
Ниже приведены примеры некоторых полезных запросов.
Указание проверенного издателя
Запросить
POST /applications/00001111-aaaa-2222-bbbb-3333cccc4444/setVerifiedPublisher
{
"verifiedPublisherId": "12345678"
}
Отклик
204 No Content
Примечание.
verifiedPublisherID — это идентификатор партнера One.
Удаление проверенного издателя
Запрос:
POST /applications/00001111-aaaa-2222-bbbb-3333cccc4444/unsetVerifiedPublisher
Response
204 No Content
Получение сведений о проверенном издателе из приложения
GET https://graph.microsoft.com/v1.0/applications/00001111-aaaa-2222-bbbb-3333cccc4444
HTTP/1.1 200 OK
{
"id": "00001111-aaaa-2222-bbbb-3333cccc4444",
...
"verifiedPublisher" : {
"displayName": "myexamplePublisher",
"verifiedPublisherId": "12345678",
"addedDateTime": "2019-12-10T00:00:00"
}
}
Получение сведений о проверенном издателе из субъекта-службы
GET https://graph.microsoft.com/v1.0/servicePrincipals/11112222-bbbb-3333-cccc-4444dddd5555
HTTP/1.1 200 OK
{
"id": "11112222-bbbb-3333-cccc-4444dddd5555",
...
"verifiedPublisher" : {
"displayName": "myexamplePublisher",
"verifiedPublisherId": "12345678",
"addedDateTime": "2019-12-10T00:00:00"
}
}
Справочник по ошибкам
В приведенном ниже списке показаны возможные коды ошибок, которые могут возникнуть при устранении неполадок с помощью Microsoft Graph или прохождении процесса на портале регистрации приложений.
MPNAccountNotFoundOrNoAccess
Предоставленный вами идентификатор партнера (MPNID
) не существует или у вас нет доступа к нему. Укажите допустимый идентификатор партнера One и повторите попытку.
Чаще всего пользователь, вошедшего в систему, не является членом соответствующей роли для учетной записи CPP в Центре партнеров. Ознакомьтесь с требованиями к списку соответствующих ролей и ознакомьтесь с общими проблемами для получения дополнительных сведений. Эта ошибка также может быть вызвана клиентом (где приложение зарегистрировано в) не добавляется в учетную запись CPP или недопустимый идентификатор партнера One.
Действия по исправлению
Перейдите к профилю партнера и убедитесь в том, что:
- Правильный идентификатор партнера One.
- Ошибки или "ожидающие действия" не отображаются, а состояние проверки в разделе юридического бизнес-профиля и сведений о партнере имеют значения "авторизирован" или "успешно".
Перейдите на страницу управления клиентами CPP и убедитесь, что клиент, в который зарегистрировано приложение, и что вы подписываетесь с учетной записью пользователя, находится в списке связанных клиентов. Чтобы добавить другой клиент, следуйте инструкциям по многотенантной учетной записи. Все глобальные администраторы любого добавляемого клиента предоставляют права глобального администратора в учетной записи Центра партнеров.
Перейдите на страницу управления пользователями CPP и подтвердите, что пользователь входит в систему как глобальный администратор, администратор MPN или администратор учетных записей. Чтобы добавить пользователя в роль в Центре партнеров, следуйте инструкциям по созданию учетных записей пользователей и настройке разрешений.
MPNGlobalAccountNotFound
Предоставленный вами идентификатор партнера (MPNID
) недействителен. Укажите допустимый идентификатор партнера One и повторите попытку.
Чаще всего вызывается при предоставлении идентификатора партнера one, соответствующего учетной записи расположения партнера (PLA). Поддерживаются только глобальные учетные записи партнеров. Дополнительные сведения см. в разделе Структура учетных записей Центра партнеров.
Действия по исправлению
- Перейдите на вкладку >"Идентификаторы профиля>партнера" Microsoft Cloud Partner Program Tab.
- Используйте идентификатор партнера с типом PartnerGlobal.
MPNAccountInvalid
Предоставленный вами идентификатор партнера (MPNID
) недействителен. Укажите допустимый идентификатор партнера One и повторите попытку.
Чаще всего это вызвано неправильным идентификатором партнера One.
Действия по исправлению
- Перейдите на вкладку >"Идентификаторы профиля>партнера" Microsoft Cloud Partner Program Tab.
- Используйте идентификатор партнера с типом PartnerGlobal.
MPNAccountNotVetted
Предоставленный идентификатор партнера (MPNID
) не завершил процесс проверки. Завершите этот процесс в Центре партнеров и повторите попытку.
Чаще всего это вызвано тем, что учетная запись CPP не завершила процесс проверки .
Действия по исправлению
- Перейдите к профилею партнера и убедитесь, что отсутствуют ошибки или ожидающие действия, и что состояние проверки в разделе "Юридический бизнес-профиль" и сведения о партнере говорят авторизовано или успешно.
- Если нет, просмотрите ожидающие элементы действия в Центре партнеров и устраните ее здесь.
NoPublisherIdOnAssociatedMPNAccount
Предоставленный вами идентификатор партнера (MPNID
) недействителен. Укажите допустимый идентификатор партнера One и повторите попытку.
Чаще всего это вызвано неправильным идентификатором партнера One.
Действия по исправлению
- Перейдите на вкладку >"Идентификаторы профиля>партнера" Microsoft Cloud Partner Program Tab.
- Используйте идентификатор партнера с типом PartnerGlobal.
MPNIdDoesNotMatchAssociatedMPNAccount
Предоставленный вами идентификатор партнера (MPNID
) недействителен. Укажите допустимый идентификатор партнера One и повторите попытку.
Чаще всего это вызвано неправильным идентификатором партнера One.
Действия по исправлению
- Перейдите на вкладку >"Идентификаторы профиля>партнера" Microsoft Cloud Partner Program Tab.
- Используйте идентификатор партнера с типом PartnerGlobal.
ApplicationNotFound
Целевое приложение (AppId
) не удается найти. Укажите допустимый идентификатор приложения и повторите попытку.
Чаще всего возникает при выполнении проверки с помощью API Graph, когда предоставлен неправильный идентификатор приложения.
Действия по исправлению
- Идентификатор объекта приложения должен быть предоставлен, а не AppId/ClientId. См. идентификатор в списке свойств приложения.
- Войдите в Центр администрирования Microsoft Entra как минимум администратор облачных приложений.
- Перейдите к регистрации приложений>удостоверений>.
- Найдите регистрацию приложения для просмотра идентификатора объекта.
ApplicationObjectisInvalid
Недопустимый идентификатор объекта целевого приложения. Укажите допустимый идентификатор и повторите попытку.
Чаще всего вызывается при выполнении проверки с помощью API Graph, а идентификатор предоставленного приложения не существует.
Действия по исправлению
- Идентификатор объекта приложения должен быть предоставлен, а не AppId/ClientId. См. идентификатор в списке свойств приложения.
- Войдите в Центр администрирования Microsoft Entra как минимум администратор облачных приложений.
- Перейдите к регистрации приложений>удостоверений>.
- Найдите регистрацию приложения для просмотра идентификатора объекта.
B2CTenantNotAllowed
Эта функция не поддерживается в клиенте Azure AD B2C.
EmailVerifiedTenantNotAllowed
Эта функция не поддерживается в клиенте, проверенном по электронной почте.
NoPublisherDomainOnApplication
В целевом приложении (AppId
) должен быть задан домен издателя. Укажите домен издателя и повторите попытку.
Происходит, когда в приложении не настроен домен издателя.
Действия по исправлению выполните инструкции , описанные здесь , чтобы задать домен издателя.
PublisherDomainMismatch
Домен издателя целевого приложения (publisherDomain
) либо не соответствует домену, используемому для проверки электронной почты в Центре партнеров () илиpcDomain
не проверен. Убедитесь, что эти домены соответствуют и были проверены, а затем повторите попытку.
Происходит, если ни домен издателя приложения, ни один из пользовательских доменов, добавленных в клиент Microsoft Entra, не соответствует домену, используемому для проверки электронной почты в Центре партнеров или не проверен.
См . требования к списку разрешенных доменов или поддоменного домена.
Действия по исправлению
- Перейдите в профиль партнера и просмотрите электронную почту, указанную как основной контакт
- Домен, используемый для проверки электронной почты в Центре партнеров, является частью после "@" в сообщении электронной почты основного контакта
- Войдите в Центр администрирования Microsoft Entra как минимум администратор облачных приложений.
- Перейдите к регистрации>приложений>удостоверений>и свойств фирменной символики и свойств.
- Выберите "Обновить домен издателя" и следуйте инструкциям по проверке нового домена.
- Добавьте домен, используемый для проверки электронной почты в Центре партнеров в качестве нового домена.
NotAuthorizedToVerifyPublisher
Вы не авторизованы для задания проверенного свойства издателя в приложении (<AppId
).
Чаще всего это вызвано тем, что пользователь, выполнившего вход, не является членом соответствующей роли для учетной записи CPP в идентификаторе Microsoft Entra ID, см . требования к списку соответствующих ролей и ознакомьтесь с общими проблемами .
Действия по исправлению
- Войдите в Центр администрирования Microsoft Entra как минимум администратор облачных приложений.
- Перейдите к ролям приложений>удостоверений>и администраторам.>
- Выберите нужную роль администратора и выберите "Добавить назначение ", если у вас есть достаточные разрешения.
- Если у вас недостаточно разрешений, обратитесь к роли администратора за помощью.
MPNIdWasNotProvided
Идентификатор Партнера One не был указан в тексте запроса или тип контента запроса не был "application/json".
Чаще всего вызывается при выполнении проверки с помощью API Graph, а идентификатор партнера One не указан в запросе.
Действия по исправлению
- Перейдите на вкладку >"Идентификаторы профиля>партнера" Microsoft Cloud Partner Program Tab.
- Используйте идентификатор партнера с типом PartnerGlobal в запросе.
MSANotSupported
Эта функция не поддерживается для учетных записей потребителей Майкрософт. Поддерживаются только приложения, зарегистрированные в идентификаторе Microsoft Entra.
Происходит, когда учетная запись потребителя используется для регистрации приложений (Hotmail, Messenger, OneDrive, MSN, Xbox Live или Microsoft 365).
InteractionRequired
Происходит, когда многофакторная проверка подлинности (MFA) не была включена и выполнена перед попыткой добавить проверенного издателя в приложение. Дополнительные сведения см. в описании распространенных проблем. Примечание. MFA должна выполняться в том же сеансе, в котором предпринимается попытка добавления проверенного издателя. Если многофакторная проверка подлинности включена, но не требуется выполняться в сеансе, запрос завершается ошибкой.
Отображается сообщение об ошибке: "Из-за изменения конфигурации, сделанного администратором, или из-за того, что вы переехали в новое расположение, необходимо использовать многофакторную проверку подлинности для продолжения".
Действия по исправлению
- Убедитесь, что включена многофакторная проверка подлинности и требуется для входа пользователя и для этого сценария.
- Проверка повтора издателя
UserUnableToAddPublisher
Ошибка: "Вы не можете добавить проверенного издателя в это приложение. "Для этого обратитесь к администратору базы данных".
Когда выполняется запрос на добавление проверенного издателя, для оценки рисков безопасности используется много сигналов. Если состояние риска пользователя определено как AtRisk, возвращается указанная выше ошибка. Изучите риск пользователя и выполните соответствующие действия по исправлению риска (приведенные ниже рекомендации).
Действия по исправлению
Устранение рисков и разблокировки пользователей
Руководство по самостоятельному исправлению
Самостоятельный сброс пароля (SSPR): если организация разрешает SSPR, используйте aka.ms/sspr для сброса пароля для исправления. Выберите надежный пароль; Выбор слабого пароля может не сбрасывать состояние риска.
Примечание.
Предоставьте некоторое время после исправления состояния риска для обновления, а затем повторите попытку.
UnableToAddPublisher
Ошибка: "Проверяемый издатель не может быть добавлен в это приложение. Обратитесь за помощью к своему администратору."
Когда выполняется запрос на добавление проверенного издателя, для оценки рисков безопасности используется много сигналов. Если запрос определяется рискованным, возвращается указанная выше ошибка. По соображениям безопасности Майкрософт не раскрывает конкретные критерии, используемые для определения того, является ли запрос рискованным.
Действия по исправлению
Если вы считаете, что оценка рискованно неправильная, попробуйте повторно отправить запрос проверки на следующий день. Для обновления состояния риска может потребоваться некоторое время.
Следующие шаги
Если вы проверили все предыдущие сведения и по-прежнему получаете сообщение об ошибке от Microsoft Graph, соберите как можно больше указанных ниже сведений, связанных с неудачным запросом, и обратитесь в службу поддержки Майкрософт.
- Метка времени
- CorrelationId
- ObjectID или UserPrincipalName пользователя, выполнившего вход;
- ObjectId целевого приложения;
- AppId целевого приложения;
- TenantId, где зарегистрировано приложение;
- Идентификатор партнера One
- выполненный запрос REST;
- возвращаемый код ошибки и сообщение.