針對發行者驗證進行疑難排解
如果您無法完成程式或遇到發行者驗證的非預期行為,您應該從收到錯誤或看到非預期的行為開始:
- 檢閱 需求,並確定已符合這些需求 。
- 檢閱指示,將 應用程式標示為已驗證 發行者,並確定所有步驟都已順利執行。
- 檢閱常見問題清單。
- 使用 Graph 總 管重現要求,以收集更多資訊並排除 UI 中的任何問題。
常見的問題
以下是程式期間可能發生的一些常見問題。
我不知道我的雲端合作夥伴計劃標識碼(合作夥伴一個標識符),或我不知道帳戶的主要聯繫人是誰。
- 流覽至 Cloud Partner 方案註冊頁面。
- 使用組織主要 Microsoft Entra 租使用者中的用戶帳戶登入。
- 如果雲端合作夥伴計劃帳戶已存在,則會辨識此帳戶,且您已新增至帳戶。
- 流覽至 合作夥伴配置檔頁面 ,其中將會列出合作夥伴 One 識別碼和主要帳戶連絡人。
我不知道我的 Microsoft Entra Global 管理員 istrator (也稱為公司系統管理員或租使用者管理員) 是誰,如何找到它們? Application 管理員 istrator 或 Cloud Application 管理員 istrator 呢?
- 以至少雲端應用程式 管理員 strator 身分登入 Microsoft Entra 系統管理中心。
- 流覽至 [身分>識別角色] 和 [系統管理員>角色] 和 [系統管理員]。
- 選取所需的系統管理員角色。
- 指派該角色的使用者清單隨即顯示。
我不知道我的 CPP 帳戶的管理員是誰[ 移至 CPP 使用者管理] 頁面 ,並篩選使用者清單以查看哪些使用者位於各種系統管理員角色中。
我收到錯誤,指出我的合作夥伴一個標識碼無效,或我無法存取它。 請遵循補救指引。
當我登入 Microsoft Entra 系統管理中心時,我看不到任何已註冊的應用程式。 為什麼? 您的應用程式註冊可能已使用此租用戶、個人/取用者帳戶或不同租使用者中的不同用戶帳戶來建立。 請確定您已使用建立應用程式註冊的租用戶中正確的帳戶登入。
我收到與多重要素驗證相關的錯誤。 我該怎麼做? 請確定 已啟用多重要素驗證 ,而且 對於您在此案例中登入的使用者而言是必要的 。 例如,MFA 可能是:
- 您登入的使用者一律為必要專案。
- Azure 管理的必要專案。
- 您要登入之系統管理員 類型的必要專案。
進行 Microsoft Graph API 呼叫
如果您遇到問題,但無法瞭解為何根據您在UI中看到的內容,使用 Microsoft Graph 呼叫來執行您可以在應用程式註冊入口網站中執行的相同作業,執行進一步的疑難解答可能很有説明。
提出這些要求最簡單的方式是使用 Graph 總管。 您也可以考慮其他選項,例如使用 Postman,或使用PowerShell來 叫用Web要求。
您可以使用 Microsoft Graph 來設定和取消設定應用程式已驗證的發行者,並在執行其中一項作業之後檢查結果。 您可以在對應至應用程式註冊的應用程式物件和從該應用程式具現化的任何服務主體上看到結果。 如需這些對象之間關聯性的詳細資訊,請參閱: Microsoft Entra ID 中的應用程式和服務主體物件。
以下是一些實用要求的範例:
設定已驗證的發行者
要求
POST /applications/00001111-aaaa-2222-bbbb-3333cccc4444/setVerifiedPublisher
{
"verifiedPublisherId": "12345678"
}
回應
204 No Content
注意
verifiedPublisherID 是您的合作夥伴 One 識別符。
未設定已驗證的發行者
要求:
POST /applications/00001111-aaaa-2222-bbbb-3333cccc4444/unsetVerifiedPublisher
回應
204 No Content
從應用程式取得已驗證的發行者資訊
GET https://graph.microsoft.com/v1.0/applications/00001111-aaaa-2222-bbbb-3333cccc4444
HTTP/1.1 200 OK
{
"id": "00001111-aaaa-2222-bbbb-3333cccc4444",
...
"verifiedPublisher" : {
"displayName": "myexamplePublisher",
"verifiedPublisherId": "12345678",
"addedDateTime": "2019-12-10T00:00:00"
}
}
從服務主體取得已驗證的發行者資訊
GET https://graph.microsoft.com/v1.0/servicePrincipals/11112222-bbbb-3333-cccc-4444dddd5555
HTTP/1.1 200 OK
{
"id": "11112222-bbbb-3333-cccc-4444dddd5555",
...
"verifiedPublisher" : {
"displayName": "myexamplePublisher",
"verifiedPublisherId": "12345678",
"addedDateTime": "2019-12-10T00:00:00"
}
}
錯誤參考
以下是您在使用 Microsoft Graph 進行疑難解答或在應用程式註冊入口網站中進行程式時,可能會收到的潛在錯誤碼清單。
MPNAccountNotFoundOrNoAccess
您提供的MPNID
合作夥伴 One 識別碼不存在,或您沒有該識別碼的存取權。 提供有效的合作夥伴 One 識別碼,然後再試一次。
最常見的原因是登入的使用者不是合作夥伴中心中 CPP 帳戶適當角色的成員,請參閱 合格角色清單的需求 ,並查看 常見問題 以取得詳細資訊。 也可能是因為應用程式註冊的租使用者未新增至 CPP 帳戶,或無效的合作夥伴 One 識別碼所造成。
補救步驟
移至您的 合作夥伴設定檔 ,並確認:
- 合作夥伴 One 識別碼正確。
- 未顯示任何錯誤或「擱置動作」,且法律商務配置檔和合作夥伴資訊下的驗證狀態都表示「已授權」或「成功」。
移至 [CPP 租使用者管理] 頁面 ,並確認應用程式已註冊的租使用者,而且您以用戶帳戶登入的租用戶位於相關聯的租用戶清單中。 若要新增另一個租使用者,請遵循 多租用戶帳戶指示。 您新增之任何租使用者的所有全域 管理員 都會獲得合作夥伴中心帳戶的全域 管理員 istrator 許可權。
移至 [CPP 使用者管理] 頁面,確認您以全域 管理員 istrator、MPN 管理員 或帳戶 管理員 身分登入的使用者。若要將使用者新增至合作夥伴中心的角色,請遵循建立使用者帳戶和設定許可權的指示。
MPNGlobalAccountNotFound
您提供的MPNID
合作夥伴 One 識別碼無效。 提供有效的合作夥伴 One 識別碼,然後再試一次。
最常見的原因是提供對應至合作夥伴位置帳戶 (PLA) 的合作夥伴 One 識別碼。 僅支持合作夥伴全局帳戶。 如需詳細資訊,請參閱 合作夥伴中心帳戶結構 。
補救步驟
- 瀏覽至您的合作夥伴配置檔>[標識符] 刀鋒視窗>[Microsoft 雲端合作夥伴計劃] 索引標籤。
- 使用合作夥伴標識碼,輸入 PartnerGlobal。
MPNAccountInvalid
您提供的MPNID
合作夥伴 One 識別碼無效。 提供有效的合作夥伴 One 識別碼,然後再試一次。
最常見的原因是提供錯誤的合作夥伴 One 識別碼。
補救步驟
- 瀏覽至您的合作夥伴配置檔>[標識符] 刀鋒視窗>[Microsoft 雲端合作夥伴計劃] 索引標籤。
- 使用合作夥伴標識碼,輸入 PartnerGlobal。
MPNAccountNotVetted
您提供的合作夥伴 One 識別碼 (MPNID
) 尚未完成審查程式。 在合作夥伴中心完成此程式,然後再試一次。
最常見的原因是 CPP 帳戶尚未完成 驗證 程式。
補救步驟
- 流覽至您的 合作夥伴配置檔 ,並確認未顯示任何錯誤或 擱置動作 ,且 [法律商務配置檔] 和 [合作夥伴] 資訊下的驗證狀態都表示 已 授權或 成功。
- 如果沒有,請在合作夥伴中心檢視擱置中的動作專案,並在這裏進行疑難解答。
NoPublisherIdOnAssociatedMPNAccount
您提供的MPNID
合作夥伴 One 識別碼無效。 提供有效的合作夥伴 One 識別碼,然後再試一次。
最常見的原因是提供錯誤的合作夥伴 One 識別碼。
補救步驟
- 瀏覽至您的合作夥伴配置檔>[標識符] 刀鋒視窗>[Microsoft 雲端合作夥伴計劃] 索引標籤。
- 使用合作夥伴標識碼,輸入 PartnerGlobal。
MPNIdDoesNotMatchAssociatedMPNAccount
您提供的MPNID
合作夥伴 One 識別碼無效。 提供有效的合作夥伴 One 識別碼,然後再試一次。
最常見的原因是提供錯誤的合作夥伴 One 識別碼。
補救步驟
- 瀏覽至您的合作夥伴配置檔>[標識符] 刀鋒視窗>[Microsoft 雲端合作夥伴計劃] 索引標籤。
- 使用合作夥伴標識碼,輸入 PartnerGlobal。
ApplicationNotFound
找不到目標應用程式 (AppId
)。 提供有效的應用程式識別碼,然後再試一次。
最常見的原因是透過圖形 API 執行驗證,而所提供的應用程式識別碼不正確。
補救步驟
- 必須提供應用程式的物件識別碼,而不是 AppId/ClientId。 請參閱這裡的應用程式屬性清單標識碼。
- 以至少雲端應用程式 管理員 istrator 身分登入 Microsoft Entra 系統管理中心。
- 流覽至 [身分>識別應用程式應用程式>註冊]。
- 尋找應用程式的註冊以檢視物件標識碼。
ApplicationObjectisInvalid
目標應用程式的物件識別碼無效。 提供有效的標識碼,然後再試一次。
最常見的原因是驗證是透過圖形 API 執行,且所提供的應用程式識別碼不存在。
補救步驟
- 必須提供應用程式的物件識別碼,而不是 AppId/ClientId。 請參閱這裡的應用程式屬性清單標識碼。
- 以至少雲端應用程式 管理員 istrator 身分登入 Microsoft Entra 系統管理中心。
- 流覽至 [身分>識別應用程式應用程式>註冊]。
- 尋找應用程式的註冊以檢視物件標識碼。
B2CTenantNotAllowed
Azure AD B2C 租用戶不支援此功能。
EmailVerifiedTenantNotAllowed
電子郵件驗證的租用戶不支援此功能。
NoPublisherDomainOnApplication
目標應用程式 (AppId
) 必須設定發行者網域。 設定發行者網域,然後再試一次。
在應用程式上未設定發行者網域時發生。
補救步驟遵循這裡的指示來設定發行者網域。
PublisherDomainMismatch
目標應用程式的發行者網域 () 不符合用來在合作夥伴中心執行publisherDomain
電子郵件驗證的網域 (pcDomain
) 或尚未驗證。 請確定這些網域相符,並經過驗證,然後再試一次。
當應用程式發行 者網域 或新增至 Microsoft Entra 租使用者的其中一個 自定義網域都不符合合作夥伴中心用來在合作夥伴中心執行電子郵件驗證的網域 或尚未驗證時發生。
如需允許的網域或子域相符專案清單,請參閱 需求 。
補救步驟
- 流覽至您的 合作夥伴配置檔,並檢視列為主要聯繫人的電子郵件
- 用來在合作夥伴中心執行電子郵件驗證的網域是主要聯繫人電子郵件中 「@」 之後的部分
- 以至少雲端應用程式 管理員 istrator 身分登入 Microsoft Entra 系統管理中心。
- 流覽至 [身分>識別應用程式應用程式>註冊>商標和屬性]。
- 選取 [ 更新發行者網域 ],然後遵循指示來 驗證新的網域。
- 將用來在合作夥伴中心執行電子郵件驗證的網域新增為新網域。
NotAuthorizedToVerifyPublisher
您無權在應用程式 (<AppId
) 上設定已驗證的發行者屬性。
最常見的原因是登入使用者不是 Microsoft Entra ID 中 CPP 帳戶適當角色的成員 , 請參閱 合格角色清單的需求 ,並查看 常見問題 以取得詳細資訊。
補救步驟
- 以至少雲端應用程式 管理員 istrator 身分登入 Microsoft Entra 系統管理中心。
- 流覽至 [身分>識別應用程式>角色] 和 [系統管理員>角色] 和 [系統管理員]。
- 選取所需的系統管理員角色,並選取 [新增指派 ],如果您有足夠的許可權。
- 如果您沒有足夠的許可權,請連絡管理員角色以尋求協助。
MPNIdWasNotProvided
要求本文中未提供合作夥伴 One 識別符,或要求內容類型不是 “application/json”。
最常見的原因是驗證是透過圖形 API 執行,且要求中未提供合作夥伴 One 識別碼。
補救步驟
- 瀏覽至您的合作夥伴配置檔>[標識符] 刀鋒視窗>[Microsoft 雲端合作夥伴計劃] 索引標籤。
- 在要求中使用合作夥伴標識碼,並輸入 PartnerGlobal。
MSANotSupported
Microsoft 取用者帳戶不支援此功能。 僅支援 Microsoft Entra 使用者以 Microsoft Entra 識別元註冊的應用程式。
當取用者帳戶用於應用程式註冊時發生(Hotmail、Messenger、OneDrive、MSN、Xbox Live 或 Microsoft 365)。
InteractionRequired
在嘗試將已驗證的發行者新增至應用程式之前,未啟用並執行多重要素驗證時發生。 如需詳細資訊,請參閱 常見問題 。 注意:嘗試新增已驗證的發行者時,必須在相同的會話中執行 MFA。 如果已啟用 MFA,但不需要在工作階段中執行,要求就會失敗。
顯示的錯誤訊息為:「由於系統管理員所做的設定變更,或因為您移至新位置,您必須使用多重要素驗證繼續進行。」
補救步驟
- 請確定已啟用多重要素驗證,且需要您用來登入的使用者,以及針對此案例
- 重試發行者驗證
UserUnableToAddPublisher
錯誤:「您無法將已驗證的發行者新增至此應用程式。 請連絡您的系統管理員以取得協助。」
當您新增已驗證之發行者的要求時,會使用許多信號來進行安全性風險評估。 如果用戶風險狀態判斷為 『AtRisk』,則會傳回上述錯誤。 調查用戶風險,並採取適當步驟來補救風險(指引如下):
補救步驟
自助式密碼重設 (SSPR):如果組織允許 SSPR,請使用 aka.ms/sspr 重設密碼以進行補救。 請選擇強密碼;選擇弱式密碼可能不會重設風險狀態。
注意
請在補救風險狀態之後提供一些時間進行更新,然後再試一次。
UnableToAddPublisher
錯誤:「無法將已驗證的發行者新增至此應用程式。 請連絡您的系統管理員以取得協助。
當您新增已驗證之發行者的要求時,會使用許多信號來進行安全性風險評估。 如果判斷要求有風險,則會傳回上述錯誤。 基於安全性理由,Microsoft 不會公開用來判斷要求是否具風險的特定準則。
補救步驟
如果您認為「有風險」的評定不正確,請嘗試第二天重新提交驗證要求。 風險狀態可能需要一些時間才能更新。
下一步
如果您已檢閱所有先前的資訊,但仍收到來自 Microsoft Graph 的錯誤,請盡可能收集下列與失敗要求相關的資訊,並 連絡 Microsoft 支援服務。
- 時間戳記
- CorrelationId
- 已登入使用者的 ObjectID 或 UserPrincipalName
- 目標應用程式的 ObjectId
- 目標應用程式的AppId
- 註冊應用程式的 TenantId
- 合作夥伴一個識別碼
- 正在進行 REST 要求
- 正在傳回的錯誤碼和訊息