設定應用程式的發行者網域
應用程式的發行者網域會通知使用者正在傳送其資訊的位置。 發行者網域也會作為發行者驗證的輸入或必要條件。 根據應用程式註冊的時機和發行者驗證的狀態而定,應用程式同意提示會直接向用戶顯示。 應用程式的發行者網域會顯示給使用者(視發行者驗證的狀態而定)同意 UX,讓使用者知道其資訊傳送到何處以供信任。
在應用程式的同意提示中,發行者網域或發行者驗證狀態隨即出現。 顯示哪些資訊取決於應用程式是否為 多租使用者應用程式、註冊應用程式時,以及應用程式的發行者驗證狀態。
瞭解多租用戶應用程式
多租使用者應用程式是一個應用程式,可支援單一組織目錄外的用戶帳戶。 例如,多租使用者應用程式可能支援所有 Microsoft Entra 公司或學校帳戶,或者它可能同時支援 Microsoft Entra 公司或學校帳戶和個人 Microsoft 帳戶。
瞭解預設發行者定義域值
有數個因素決定為應用程式發行者網域設定的預設值:
- 應用程式是否在租用戶中註冊。
- 租使用者是否有租用戶驗證的網域。
- 應用程式註冊日期。
租用戶註冊和租用戶驗證的網域
當您註冊新的應用程式時,應用程式的發行者網域可能會設定為預設值。 默認值取決於應用程式註冊的位置。 發行者網域值尤其取決於應用程式是否在租用戶中註冊,以及租使用者是否有租用戶驗證的網域。
如果應用程式具有租使用者驗證的網域,則應用程式的發行者網域預設為租使用者的主要已驗證網域。 如果應用程式沒有租使用者驗證的網域,且應用程式未在租用戶中註冊,則應用程式的默認發行者網域為 Null。
下表使用範例案例來描述發行者網域的預設值:
| 租用戶驗證的網域 | 發行者網域的預設值 |
|---|---|
| null | null |
*.onmicrosoft.com |
*.onmicrosoft.com |
- *.onmicrosoft.com- domain1.com- domain2.com (主要) |
domain2.com |
應用程式註冊日期
應用程式的註冊日期也會決定應用程式的預設發行者網域值。
如果您的多租用戶應用程式已在 2019 年 5 月 21 日至 2020 年 11 月 30 日期間註冊:
- 如果未設定應用程式的發行者網域,或設定為結尾
.onmicrosoft.com的網域,則應用程式的同意提示會針對發行者網域值顯示 未驗證 。 - 如果應用程式具有已驗證的應用程式網域,同意提示會顯示已驗證的網域。
- 如果應用程式經過發行者驗證,發行者網域會顯示 藍色 已 驗證的徽章 ,指出狀態。
如果您的多租使用者已在 2020 年 11 月 30 日之後註冊:
- 如果應用程式未經過發行者驗證,應用程式的同意提示會顯示 未驗證。 未顯示發行者網域相關信息。
- 如果應用程式經過發行者驗證,應用程式同意提示會顯示 藍色 已驗證的 徽章。
在 2019 年 5 月 21 日之前建立的應用程式
如果您的應用程式已在 2019 年 5 月 21 日之前註冊,即使尚未設定發行者網域,您的應用程式同意提示仍會顯示未驗證。 建議您設定發行者網域值,讓使用者可以在應用程式的同意提示中看到此資訊。
在 Microsoft Entra 系統管理中心設定發行者網域
提示
本文中的步驟可能會根據您從開始的入口網站稍有不同。
若要使用 Microsoft Entra 系統管理中心為您的應用程式設定發行者網域:
如果您有多個租使用者的存取權,請使用右上方的 [設定] 圖示
,然後從 [目錄 + 訂用帳戶] 功能選取應用程式註冊所在的租使用者。在 Microsoft Entra 系統管理中心,流覽至 [身分>識別應用程式> 應用程式註冊。
搜尋並選取您想要設定的應用程式。
在 [概觀],於 [管理] 底下的 [資源] 功能表中,選取 [商標]。
在 發行者網域中,選取下列其中一個選項:
- 如果您尚未設定網域,請選取 [ 設定網域]。
- 如果您已設定網域,請選取 [ 更新網域]。
如果您的應用程式已在租用戶中註冊,接下來,請從兩個選項中選取:
- 選取已驗證的網域
- 確認新的網域
如果您的網域未在租用戶中註冊,則只會顯示驗證應用程式新網域的選項。
驗證應用程式的新網域
若要驗證應用程式的新發行者網域:
建立名為 microsoft-identity-association.json 的檔案。 複製下列 JSON,並將它貼到 microsoft-identity-association.json 檔案中:
{ "associatedApplications": [ { "applicationId": "<your-app-id>" }, { "applicationId": "<another-app-id>" } ] }將取代
<your-app-id>為應用程式的應用程式(用戶端)標識碼。 如果您要驗證多個應用程式的新網域,請使用所有相關的應用程式識別碼。將檔案載入在
https://<your-domain>.com/.well-known/microsoft-identity-association.json。 將取代<your-domain>為已驗證網域的名稱。選取 [ 驗證並儲存網域]。
在驗證網域之後,您不需要維護用於驗證的資源。 驗證完成後,您可以移除裝載的檔案。
選取已驗證的網域
如果您的租用戶已驗證網域,請在 [ 選取已驗證的網域 ] 下拉式清單中,選取其中一個網域。
注意
內容將會解譯為UTF-8 JSON以進行還原串行化。 應該傳回的支持 Content-Type 標頭為 application/json、 application/json; charset=utf-8或 。 如果您使用任何其他標頭,您可能會看到此錯誤訊息:
Verification of publisher domain failed. Error getting JSON file from https:///.well-known/microsoft-identity-association. The server returned an unexpected content type header value.
發行者網域和應用程式同意提示
設定發行者網域會影響使用者在應用程式同意提示中看到的內容。 如需同意提示元件的詳細資訊,請參閱 瞭解應用程式同意體驗。
下圖顯示發行者網域在應用程式同意提示中顯示於 2019 年 5 月 21 日之前建立的應用程式:
對於在 2019 年 5 月 21 日至 2020 年 11 月 30 日之間建立的應用程式,發行者網域在應用程式的同意提示中顯示的方式取決於發行者網域和應用程式類型。 下圖說明在同意提示中針對不同組態組合顯示的內容:
針對在 2020 年 11 月 30 日之後建立的多租使用者應用程式,只會在應用程式的同意提示中顯示發行者驗證狀態。 下表說明同意提示中顯示的內容,視應用程式是否經過驗證而定。 單一租用戶應用程式的同意提示會維持不變。
發行者網域和重新導向URI
使用任何公司或學校帳戶或使用 Microsoft 帳戶來登入使用者的應用程式(多租使用者)受限於重新導向 URI 中的一些限制。
單一根域限制
當多租使用者應用程式的發行者網域值設定為 null 時,應用程式會限制共用重新導向 URI 的單一根域。 例如,不允許下列值組合,因為根域 contoso.com 不符合根域 fabrikam.com。
"https://contoso.com",
"https://fabrikam.com",
子域限制
允許子域,但您必須明確註冊根域。 例如,雖然下列 URI 共用單一根域,但不允許組合:
"https://app1.contoso.com",
"https://app2.contoso.com",
但是,如果開發人員明確新增根域,則允許組合:
"https://contoso.com",
"https://app1.contoso.com",
"https://app2.contoso.com",
限制例外狀況
下列案例不受單一根域限制:
- 以單一目錄中帳戶為目標的單一租使用者應用程式或應用程式。
- 使用 localhost 作為重新導向 URI。
- 具有自訂配置 (非 HTTP 或 HTTPS) 的重新導向 URI。
以程式設計方式設定發行者網域
目前,您無法使用 REST API 或 PowerShell 以程式設計方式設定發行者網域。
下一步
- 瞭解如何 將應用程式標示為已驗證發行者。
- 針對發行者驗證進行疑難解答 。