發行者驗證

發行者驗證可讓應用程式使用者和組織系統管理員瞭解開發人員組織的真實性,而開發人員會發佈與 Microsoft 身分識別平台整合的應用程式。

當應用程式具有已驗證的發行者時,這表示發佈應用程式的組織已由 Microsoft 驗證為正宗。 驗證應用程式包括使用 Microsoft Cloud Partner Program (CPP),先前稱為 Microsoft 合作夥伴網路 (MPN),已驗證的帳戶 ,並將已驗證 的 PartnerID 與應用程式註冊產生關聯。

當應用程式發行者經過驗證時,Microsoft Entra 同意提示中會顯示一個藍色 已驗證徽章,提示應用程式和其他網頁上:

Screenshot that shows an example of a Microsoft app consent prompt.

下列影片說明此程式:

發行者驗證主要是針對使用 OAuth 2.0 和 OpenID 連線 搭配 Microsoft 身分識別平台 建置多租使用者應用程式的開發人員。 這些類型的應用程式可以使用 OpenID 連線 來登入使用者,或者他們可以使用 OAuth 2.0 來要求使用 Microsoft GraphAPI 來要求存取數據。

福利

應用程式的發行者驗證具有下列優點:

  • 提高客戶的透明度和風險降低。 發行者驗證可協助客戶識別開發人員所發行的應用程式,以降低組織中的風險。

  • 改善商標。 藍色 已驗證徽章 會出現在 Microsoft Entra 應用程式 同意提示、企業應用程式頁面上,以及使用者和系統管理員看到的其他應用程式元素中。

  • 更順暢的企業採用。 組織管理員可以設定 使用者同意原則 ,包括發行者驗證狀態作為主要原則準則。

注意

從 2020 年 11 月開始,如果已啟用以風險為基礎的逐步同意,使用者就無法同意未經過發行者驗證的大多數新註冊多租用戶應用程式。 此原則適用於在 2020 年 11 月 8 日之後註冊的應用程式,這些應用程式會使用 OAuth 2.0 來要求超出基本登入和讀取使用者配置檔的許可權,以及向未註冊應用程式之租使用者中的使用者要求同意。 在此案例中,同意畫面上會出現警告。 警告會通知使用者應用程式是由未經驗證的發行者所建立,而且應用程式有下載或安裝的風險。

需求

應用程式開發人員必須符合一些需求,才能完成發行者驗證程式。 許多 Microsoft 合作夥伴已經滿足這些需求。

  • 開發人員必須具有有效的 Microsoft Cloud Partner 計劃 帳戶的合作夥伴 One 識別碼,且該帳戶已完成 驗證 程式。 CPP 帳戶必須是開發人員組織的合作夥伴全局帳戶 (PGA)。

    注意

    您用於發行者驗證的 CPP 帳戶不能是合作夥伴位置合作夥伴 One 識別碼。 目前,發行者驗證程序不支援位置合作夥伴 One 識別符。

  • 要驗證發行者的應用程式必須使用 Microsoft Entra 公司或學校帳戶進行註冊。 使用 Microsoft 帳戶註冊的應用程式無法進行發行者驗證。

  • 註冊應用程式的 Microsoft Entra 租用戶必須與 PGA 相關聯。 如果註冊應用程式的租使用者不是與 PGA 相關聯的主要租使用者,請完成將 CPP PGA 設定為多租用戶帳戶並建立 Microsoft Entra 租使用者關聯的步驟

  • 應用程式必須在 Microsoft Entra 租用戶中註冊,並設定 發行者網域 。 Azure AD B2C 租用戶不支援此功能。

  • 在 CPP 帳戶驗證期間使用的電子郵件位址網域必須符合為應用程式設定的發行者網域,或是新增至 Microsoft Entra 租使用者的 DNS 驗證 自定義網域 。 (注意__:應用程式的發行者網域不能是 *.onmicrosoft.com 為發行者驗證)

  • 起始驗證的用戶必須獲得授權,才能對 Microsoft Entra 識別碼中的應用程式註冊和合作夥伴中心的 CPP 帳戶進行變更。 起始驗證的用戶必須在 Microsoft Entra ID 和合作夥伴中心擁有其中一個必要角色。

    • 在 Microsoft Entra ID 中,此用戶必須是下列其中一個角色的成員:應用程式 管理員、雲端應用程式 管理員 或全域 管理員 istrator。

    • 在合作夥伴中心,此用戶必須具有下列其中一個角色:CPP 合作夥伴 管理員、帳戶 管理員 或全域 管理員 istrator(在 Microsoft Entra ID 中主控的共用角色)。

  • 起始驗證的用戶必須使用 Microsoft Entra 多重要素驗證登入

  • 發行者必須同意 適用於開發人員的 Microsoft 身分識別平台 使用規定。

已符合這些需求的開發人員可以在幾分鐘內進行驗證。 不需要任何費用,都與完成發行者驗證的必要條件有關。

國家雲端中的發行者驗證

國家雲端目前不支持發行者驗證。 目前在國家雲端租用戶中註冊的應用程式無法發行者驗證。

常見問題集

檢閱發行者驗證計劃的常見問題。 如需需求和程式的常見問題,請參閱 將應用程式標示為發行者已驗證。

  • 發行者驗證 不會 告訴我關於應用程式或其發行者的資訊為何? 藍色 已驗證的 徽章並不表示或指出您可能在應用程式中尋找的品質準則。 例如,您可能想要知道應用程式或其發行者是否有特定認證、符合業界標準,或遵守最佳做法。 發行者驗證不會為您提供這項資訊。 其他 Microsoft 計畫,例如 Microsoft 365 應用程式認證,請提供這項資訊。 已驗證的發行者狀態只是評估應用程式的安全性和 OAuth 同意要求 時要考慮的數個準則之一。

  • 應用程式開發人員的發行者驗證成本是多少? 是否需要授權? Microsoft 不會向開發人員收取發行者驗證的費用。 不需要任何授權,才能成為已驗證的發行者。

  • 發行者驗證與 Microsoft 365 發行者證明和 Microsoft 365 應用程式認證有何關聯?Microsoft 365 發行者證明Microsoft 365 應用程式認證 是補充計劃,可協助開發人員發佈客戶可以自信採用的可信任應用程式。 發行者驗證是此程式中的第一個步驟。 建立符合完成 Microsoft 365 發行者證明或 Microsoft 365 應用程式認證準則的應用程式的所有開發人員都應該完成發行者驗證。 結合的程式可讓整合其應用程式與 Microsoft 365 的開發人員提供更多優點。

  • 發行者驗證是否與 Microsoft Entra 應用連結庫相同? 否。 發行者驗證可 補充 Microsoft Entra 應用連結庫,但它是個別的程式。 符合發行者驗證準則的開發人員應該獨立於參與 Microsoft Entra 應用連結庫或其他程式之外完成發行者驗證。

下一步