Устранение неполадок с проверкой издателя

Если вам не удается завершить процесс или вы столкнулись с непредвиденным поведением при проверке подлинности издателя, при получении ошибок или обнаружении непредвиденного поведения, следует начать со следующих действий:

  1. Проверьте требования и убедитесь, что они выполнены.
  2. Просмотрите инструкции, чтобы отметить приложение как проверенное издателем, и убедитесь, что все шаги были выполнены успешно.
  3. Ознакомьтесь со списком типичных проблем.
  4. Воспроизведите запрос с помощью обозревателя Graph, чтобы собрать дополнительную информацию и исключить любые проблемы в пользовательском интерфейсе.

Распространенные проблемы

Ниже приведены некоторые распространенные проблемы, которые могут возникнуть в процессе.

  • Я не знаю идентификатор программы Cloud Partner (Идентификатор партнера one) или я не знаю, кто основной контакт для учетной записи.

    1. Перейдите на страницу регистрации Cloud Partner Program.
    2. Войдите с помощью учетной записи пользователя в основном клиенте Microsoft Entra организации.
    3. Если учетная запись Cloud Partner Program уже существует, она распознается и добавляется в учетную запись.
    4. Перейдите на страницу профиля партнера, где будет указан идентификатор партнера и контакт с основной учетной записью.
  • Я не знаю, кто мой Microsoft Entra Global Администратор istrator (также известный как администратор компании или администратор клиента), как найти их? Как насчет администратора приложений или администратора облачных приложений?

    1. Войдите в Центр администрирования Microsoft Entra как минимум облачные приложения Администратор strator.
    2. Перейдите к ролям удостоверений>и администраторам.>
    3. Выберите нужную роль администратора.
    4. Отобразится список пользователей, назначенных этой роли.
  • Я не знаю, кто администраторы для моей учетной записи CPP перейдите на страницу управления пользователями CPP и отфильтруйте список пользователей, чтобы узнать, какие пользователи находятся в различных ролях администратора.

  • Я получаю ошибку с сообщением о том, что мой идентификатор партнера one является недопустимым или что у меня нет доступа к нему. Следуйте инструкциям по исправлению.

  • При входе в Центр администрирования Microsoft Entra я не вижу зарегистрированных приложений. Почему? Регистрация приложений могла быть создана с использованием другой учетной записи пользователя в этом клиенте, или личной/потребительской учетной записи, или учетной записи в другом клиенте. Убедитесь, что вы вошли с использованием правильной учетной записи в клиент, в котором были созданы регистрации приложений.

  • Я получаю сообщение об ошибке, связанное с многофакторной проверкой подлинности. Что делать? Убедитесь, что включена многофакторная проверка подлинности и требуется для входа пользователя и для этого сценария. Например, MFA может:

Выполнение вызовов API Microsoft Graph

Если вы столкнулись с проблемой, но не можете понять, что вы видите в пользовательском интерфейсе, может быть полезно выполнить устранение неполадок с помощью вызовов Microsoft Graph, чтобы выполнить те же операции, которые можно выполнить на портале регистрации приложений.

Самый простой способ выполнить эти запросы — использовать песочницу Graph. Вы также можете рассмотреть другие варианты, например использовать POST или вызвать веб-запросы с помощью PowerShell.

Вы можете использовать Microsoft Graph, чтобы установить и отменить проверенного издателя приложения и проверить результат после выполнения одной из этих операций. Результат можно увидеть в объекте приложения, соответствующем регистрации приложения, а также в любых субъектах-службах, которые были созданы из этого приложения. Дополнительные сведения о связи между этими объектами см. в разделе " Объекты приложения и субъекта-службы" в идентификаторе Microsoft Entra ID.

Ниже приведены примеры некоторых полезных запросов.

Указание проверенного издателя

Запросить

POST /applications/0cd04273-0d11-4e62-9eb3-5c3971a7cbec/setVerifiedPublisher 

{ 

    "verifiedPublisherId": "12345678" 

} 

Отклик

204 No Content 

Примечание.

verifiedPublisherID — это идентификатор партнера One.

Удаление проверенного издателя

Запрос:

POST /applications/0cd04273-0d11-4e62-9eb3-5c3971a7cbec/unsetVerifiedPublisher 

Response

204 No Content 

Получение сведений о проверенном издателе из приложения

GET https://graph.microsoft.com/v1.0/applications/0cd04273-0d11-4e62-9eb3-5c3971a7cbec 

HTTP/1.1 200 OK 

{ 
    "id": "0cd04273-0d11-4e62-9eb3-5c3971a7cbec", 

    ... 

    "verifiedPublisher" : { 
        "displayName": "myexamplePublisher", 
        "verifiedPublisherId": "12345678", 
        "addedDateTime": "2019-12-10T00:00:00" 
    } 
} 

Получение сведений о проверенном издателе из субъекта-службы

GET https://graph.microsoft.com/v1.0/servicePrincipals/010422a7-4d77-4f40-9335-b81ef5c23dd4 

HTTP/1.1 200 OK 

{ 
    "id": "010422a7-4d77-4f40-9335-b81ef5c22dd4", 

    ... 

    "verifiedPublisher" : { 
        "displayName": "myexamplePublisher", 
        "verifiedPublisherId": "12345678", 
        "addedDateTime": "2019-12-10T00:00:00" 
    } 
} 

Справочник по ошибкам

Ниже приведен список возможных кодов ошибок, которые могут быть получены при устранении неполадок в Microsoft Graph или в процессе регистрации приложений на портале.

MPNAccountNotFoundOrNoAccess

Предоставленный вами идентификатор партнера (MPNID) не существует или у вас нет доступа к нему. Укажите допустимый идентификатор партнера One и повторите попытку.

Чаще всего пользователь, вошедшего в систему, не является членом соответствующей роли для учетной записи CPP в Центре партнеров, см . требования к списку соответствующих ролей и см . общие сведения о распространенных проблемах . Также может быть вызвано тем, что клиент, который приложение регистрируется, не добавляется в учетную запись CPP или недопустимый идентификатор партнера One.

Действия по исправлению

  1. Перейдите к профилю партнера и убедитесь в том, что:

    • Правильный идентификатор партнера One.
    • Ошибки или "ожидающие действия" не отображаются, а состояние проверки в разделе юридического бизнес-профиля и сведений о партнере имеют значения "авторизирован" или "успешно".
  2. Перейдите на страницу управления клиентами CPP и убедитесь, что клиент, в который зарегистрировано приложение, и что вы подписываетесь с учетной записью пользователя, находится в списке связанных клиентов. Чтобы добавить другой клиент, следуйте инструкциям по многотенантной учетной записи. Все глобальные Администратор любого добавляемого клиента будут предоставлены права глобального Администратор istrator в учетной записи Центра партнеров.

  3. Перейдите на страницу управления пользователями CPP и подтвердите, что пользователь входит в систему, как глобальный Администратор istrator, MPN Администратор или учетные записи Администратор. Чтобы добавить пользователя в роль в Центре партнеров, следуйте инструкциям по созданию учетных записей пользователей и настройке разрешений.

MPNGlobalAccountNotFound

Предоставленный вами идентификатор партнера (MPNID) недействителен. Укажите допустимый идентификатор партнера One и повторите попытку.

Чаще всего вызывается при предоставлении идентификатора партнера one, соответствующего учетной записи расположения партнера (PLA). Поддерживаются только глобальные учетные записи партнеров. Дополнительные сведения см. в разделе Структура учетных записей Центра партнеров.

Действия по исправлению

  1. Перейдите на вкладку >"Идентификаторы профиля>партнера" Microsoft Cloud Partner Program Tab.
  2. Используйте идентификатор партнера с типом PartnerGlobal.

MPNAccountInvalid

Предоставленный вами идентификатор партнера (MPNID) недействителен. Укажите допустимый идентификатор партнера One и повторите попытку.

Чаще всего это вызвано неправильным идентификатором партнера One.

Действия по исправлению

  1. Перейдите на вкладку >"Идентификаторы профиля>партнера" Microsoft Cloud Partner Program Tab.
  2. Используйте идентификатор партнера с типом PartnerGlobal.

MPNAccountNotVetted

Предоставленный идентификатор партнера (MPNID) не завершил процесс проверки. Завершите этот процесс в Центре партнеров и повторите попытку.

Чаще всего это вызвано тем, что учетная запись CPP не завершила процесс проверки .

Действия по исправлению

  1. Перейдите к профилею партнера и убедитесь, что отсутствуют ошибки или ожидающие действия, и что состояние проверки в разделе "Юридический бизнес-профиль" и сведения о партнере говорят авторизовано или успешно.
  2. Если нет, просмотрите ожидающие элементы действия в Центре партнеров и устраните ее здесь.

NoPublisherIdOnAssociatedMPNAccount

Предоставленный вами идентификатор партнера (MPNID) недействителен. Укажите допустимый идентификатор партнера One и повторите попытку.

Чаще всего это вызвано неправильным идентификатором партнера One.

Действия по исправлению

  1. Перейдите на вкладку >"Идентификаторы профиля>партнера" Microsoft Cloud Partner Program Tab.
  2. Используйте идентификатор партнера с типом PartnerGlobal.

MPNIdDoesNotMatchAssociatedMPNAccount

Предоставленный вами идентификатор партнера (MPNID) недействителен. Укажите допустимый идентификатор партнера One и повторите попытку.

Чаще всего это вызвано неправильным идентификатором партнера One.

Действия по исправлению

  1. Перейдите на вкладку >"Идентификаторы профиля>партнера" Microsoft Cloud Partner Program Tab.
  2. Используйте идентификатор партнера с типом PartnerGlobal.

ApplicationNotFound

Целевое приложение (AppId) не удается найти. Укажите допустимый идентификатор приложения и повторите попытку.

Чаще всего возникает при выполнении проверки с помощью API Graph, когда предоставлен неправильный идентификатор приложения.

Действия по исправлению

  1. Идентификатор объекта приложения должен быть предоставлен, а не AppId/ClientId. См. идентификатор в списке свойств приложения.
  2. Войдите в Центр администрирования Microsoft Entra как минимум облачные приложения Администратор istrator.
  3. Перейдите к регистрации приложений>удостоверений>.
  4. Найдите регистрацию приложения для просмотра идентификатора объекта.

ApplicationObjectisInvalid

Недопустимый идентификатор объекта целевого приложения. Укажите допустимый идентификатор и повторите попытку.

Чаще всего вызывается при выполнении проверки с помощью API Graph, а идентификатор предоставленного приложения не существует.

Действия по исправлению

  1. Идентификатор объекта приложения должен быть предоставлен, а не AppId/ClientId. См. идентификатор в списке свойств приложения.
  2. Войдите в Центр администрирования Microsoft Entra как минимум облачные приложения Администратор istrator.
  3. Перейдите к регистрации приложений>удостоверений>.
  4. Найдите регистрацию приложения для просмотра идентификатора объекта.

B2CTenantNotAllowed

Эта функция не поддерживается в клиенте Azure AD B2C.

EmailVerifiedTenantNotAllowed

Эта функция не поддерживается в клиенте, проверенном по электронной почте.

NoPublisherDomainOnApplication

В целевом приложении (AppId) должен быть задан домен издателя. Укажите домен издателя и повторите попытку.

Происходит, когда в приложении не настроен домен издателя.

Действия по исправлению выполните инструкции , описанные здесь , чтобы задать домен издателя.

PublisherDomainMismatch

Домен издателя целевого приложения (publisherDomain) либо не соответствует домену, используемому для проверки электронной почты в Центре партнеров () илиpcDomain не проверен. Убедитесь, что эти домены соответствуют и были проверены, а затем повторите попытку.

Происходит, если ни домен издателя приложения, ни один из пользовательских доменов, добавленных в клиент Microsoft Entra, не соответствует домену, используемому для проверки электронной почты в Центре партнеров или не проверен.

См . требования к списку разрешенных доменов или поддоменного домена.

Действия по исправлению

  1. Перейдите в профиль партнера и просмотрите электронную почту, указанную как основной контакт
  2. Домен, используемый для проверки электронной почты в Центре партнеров, является частью после "@" в сообщении электронной почты основного контакта
  3. Войдите в Центр администрирования Microsoft Entra как минимум облачные приложения Администратор istrator.
  4. Перейдите к регистрации>приложений>удостоверений>и свойств фирменной символики и свойств.
  5. Выберите "Обновить домен издателя" и следуйте инструкциям по проверке нового домена.
  6. Добавьте домен, используемый для проверки электронной почты в Центре партнеров в качестве нового домена.

NotAuthorizedToVerifyPublisher

Вы не авторизованы для задания проверенного свойства издателя в приложении (<AppId).

Чаще всего это вызвано тем, что пользователь, выполнившего вход, не является членом соответствующей роли для учетной записи CPP в идентификаторе Microsoft Entra ID, см . требования к списку соответствующих ролей и ознакомьтесь с общими проблемами .

Действия по исправлению

  1. Войдите в Центр администрирования Microsoft Entra как минимум облачные приложения Администратор istrator.
  2. Перейдите к ролям приложений>удостоверений>и администраторам.>
  3. Выберите нужную роль администратора и выберите "Добавить назначение ", если у вас есть достаточные разрешения.
  4. Если у вас недостаточно разрешений, обратитесь к роли администратора за помощью.

MPNIdWasNotProvided

Идентификатор Партнера One не был указан в тексте запроса или тип контента запроса не был "application/json".

Чаще всего вызывается при выполнении проверки с помощью API Graph, а идентификатор партнера One не указан в запросе.

Действия по исправлению

  1. Перейдите на вкладку >"Идентификаторы профиля>партнера" Microsoft Cloud Partner Program Tab.
  2. Используйте идентификатор партнера с типом PartnerGlobal в запросе.

MSANotSupported

Эта функция не поддерживается для учетных записей потребителей Майкрософт. Поддерживаются только приложения, зарегистрированные в идентификаторе Microsoft Entra.

Происходит, когда учетная запись потребителя используется для регистрации приложений (Hotmail, Messenger, OneDrive, MSN, Xbox Live или Microsoft 365).

InteractionRequired

Происходит, когда многофакторная проверка подлинности (MFA) не была включена и выполнена перед попыткой добавить проверенного издателя в приложение. Дополнительные сведения см. в описании распространенных проблем. Примечание. MFA должна выполняться в том же сеансе, в котором предпринимается попытка добавления проверенного издателя. Если многофакторная проверка подлинности включена, но не требуется выполняться в сеансе, запрос завершается ошибкой.

Отображается следующее сообщение об ошибке: "Из-за изменения конфигурации, внесенного администратором, или перемещения в новое расположение для продолжения необходимо использовать многофакторную проверку подлинности".

Действия по исправлению

  1. Убедитесь, что включена многофакторная проверка подлинности и требуется для входа пользователя и для этого сценария.
  2. Проверка повтора издателя

UserUnableToAddPublisher

Ошибка: "Вы не можете добавить проверенного издателя в это приложение. "Для этого обратитесь к администратору базы данных".

Когда выполняется запрос на добавление проверенного издателя, для оценки рисков безопасности используется много сигналов. Если состояние риска пользователя определено как AtRisk, будет возвращена указанная выше ошибка. Изучите риск пользователя и выполните соответствующие действия по исправлению риска (приведенные ниже рекомендации).

Действия по исправлению

Исследование риска

Устранение рисков и разблокировки пользователей

Руководство по самостоятельному исправлению

Самостоятельный сброс пароля (SSPR): если организация разрешает SSPR, используйте aka.ms/sspr для сброса пароля для исправления. Выберите надежный пароль; Выбор слабого пароля может не сбрасывать состояние риска.

Примечание.

Предоставьте некоторое время после исправления состояния риска для обновления, а затем повторите попытку.

UnableToAddPublisher

Ошибка: "Проверяемый издатель не может быть добавлен в это приложение. Обратитесь за помощью к своему администратору."

Когда выполняется запрос на добавление проверенного издателя, для оценки рисков безопасности используется много сигналов. Если запрос определен как рискованный, будет возвращена указанная выше ошибка. По соображениям безопасности Майкрософт не раскрывает конкретные критерии, используемые для определения того, является ли запрос рискованным.

Действия по исправлению

Если вы считаете, что оценка рискованно неправильная, попробуйте повторно отправить запрос проверки на следующий день. Для обновления состояния риска может потребоваться некоторое время.

Следующие шаги

Если вы проверили все предыдущие сведения и по-прежнему получаете сообщение об ошибке от Microsoft Graph, соберите как можно больше указанных ниже сведений, связанных с неудачным запросом, и обратитесь в службу поддержки Майкрософт.

  • Метка времени
  • CorrelationId
  • ObjectID или UserPrincipalName пользователя, выполнившего вход;
  • ObjectId целевого приложения;
  • AppId целевого приложения;
  • TenantId, где зарегистрировано приложение;
  • Идентификатор партнера One
  • выполненный запрос REST;
  • возвращаемый код ошибки и сообщение.