分享方式:

發行者驗證

  • 文章

發行者驗證可為應用程式使用者和組織管理員提供有關開發人員組織 (其發佈與 Microsoft 身分識別平台整合的應用程式) 的真確性的資訊。

當應用程式具有已驗證的發行者時,這表示發佈該應用程式的組織已被 Microsoft 驗證為真實的。 驗證應用程式包括使用 Microsoft AI Cloud Partner Program (CPP) (以前稱為 Microsoft 合作夥伴網路 (MPN))、已驗證的帳戶,以及將已驗證的 PartnerID 與應用程式註冊相關聯。

驗證應用程式的發行者時,藍色「已驗證」徽章會出現在應用程式的 Microsoft Entra 同意提示中和其他網頁上:

螢幕擷取畫面顯示 Microsoft 應用程式同意提示的範例。

下列影片說明此程序:

發行者驗證主要適用於開發人員,而開發人員建置可搭配使用 OAuth 2.0 和 OpenID ConnectMicrosoft 身分識別平台的多租用戶應用程式。 這些應用程式類型可以使用 OpenID Connect 以將使用者登入,或使用 OAuth 2.0 以使用 API (例如 Microsoft Graph) 來要求存取資料。

福利

應用程式的發行者驗證具有下列優點:

  • 提高客戶的透明度和降低風險。 發行者驗證可協助客戶識別他們所信任開發人員所發佈的應用程式,以降低組織中的風險。

  • 改善商標。 藍色「已驗證」徽章會出現在 Microsoft Entra 應用程式同意提示中、企業應用程式頁面上,以及使用者和管理員看到的其他應用程式元素中。

  • 改善企業採用程序。 組織管理員可以設定使用者同意原則,而此原則包括發行者驗證狀態作為主要原則準則。

注意

從 2020 年 11 月開始,如果已啟用風險型升級同意,則使用者無法同意「未」進行發行者驗證的大部分新註冊多租用戶應用程式。 此原則適用於在 2020 年 11 月 8 日之後註冊的應用程式,而這些應用程式會使用 OAuth 2.0 來要求超出基本登入和讀取使用者設定檔的權限,以及要求租用戶中使用者的同意,而這些租用戶不是應用程式註冊所在的租用戶。 在此案例中,同意畫面上會出現警告。 警告會通知使用者有關未驗證發行者已建立應用程式,以及應用程式有下載或安裝風險。

需求

應用程式開發人員必須符合幾個需求,才能完成發行者驗證程序。 許多 Microsoft 合作夥伴都已滿意這些需求。

  • 開發人員必須擁有已完成驗證流程的有效 Microsoft AI Cloud Partner Program 帳戶的 Partner One ID。 CPP 帳戶必須是開發人員組織的合作夥伴全域帳戶 (PGA)

    注意

    您用於發行者驗證的 CPP 帳戶不可以是您的合作夥伴位置 Partner One ID。 目前,發行者驗證流程不支援位置 Partner One ID。

  • 必須使用 Microsoft Entra 公司或學校帳戶來註冊要進行發行者驗證的應用程式。 使用 Microsoft 帳戶所註冊的應用程式無法進行發行者驗證。

  • 應用程式註冊所在的 Microsoft Entra 租用戶必須與 PGA 相關聯。 如果應用程式註冊所在的租用戶不是與 PGA 相關聯的主要租用戶,則請完成將 CPP PGA 設定為多租用戶帳戶並關聯 Microsoft Entra 租用戶的步驟。

  • 應用程式必須在 Microsoft Entra 租用戶中註冊,並且已設定發行者網域。 Azure AD B2C 租用戶不支援此功能。

  • 在 CPP 帳戶驗證期間使用的電子郵件地址網域必須符合針對應用程式所設定的發行者網域,或是新增至 Microsoft Entra 租用戶的已驗證 DNS 的自訂網域注意:應用程式的發行者網域不能是 *.onmicrosoft.com 才能進行發行者驗證)

  • 可起始驗證的使用者必須獲得授權,才能對 Microsoft Entra ID 中的應用程式註冊以及合作夥伴中心內的 CPP 帳戶進行變更。 起始驗證的使用者必須在 Microsoft Entra ID 和合作夥伴中心擁有其中一個必要角色。

    • 在 Microsoft Entra ID 中,此使用者必須是下列其中一個角色的成員:應用程式系統管理員或雲端應用程式管理員。

    • 在合作夥伴中心,此使用者必須具備下列其中一個角色:CPP 合作夥伴系統管理員或帳戶管理員。

  • 可起始驗證的使用者必須使用 Microsoft Entra 多重要素驗證登入。

  • 發行者必須同意適用於開發人員的 Microsoft 身分識別平台使用規定

已符合這些需求的開發人員,可以在幾分鐘內完成驗證。 沒有費用與完成發行者驗證必要條件相關聯。

國家雲端中的發行者驗證

國家雲端中目前不支援發行者驗證。 在國家雲端租用戶中註冊的應用程式,目前無法進行發行者驗證。

常見問題集

檢閱發行者驗證計畫的常見問題集。 如需需求和程序的常見問題,請參閱將應用程式標示為已進行發行者驗證

  • 發行者驗證「不」會告訴我有關應用程式或其發行者的什麼資訊? 藍色「已驗證」徽章不表示或指出您可能會在應用程式中尋找的品質準則。 例如,您可能想要知道應用程式或其發行者是否有特定認證、符合業界標準,或遵守最佳做法。 發行者驗證不會為您提供這項資訊。 其他 Microsoft 程式 (例如 Microsoft 365 應用程式認證) 確實會提供此資訊。 已驗證的發行者狀態只是評估應用程式的安全性和 OAuth 同意要求時要考慮的幾個準則之一。

  • 應用程式開發人員的發行者驗證成本是多少? 其是否需要授權? Microsoft 不會向開發人員收取發行者驗證費用。 不需要授權,即可成為已驗證的發行者。

  • 發行者驗證與 Microsoft 365 發行者證明和 Microsoft 365 應用程式認證有何關聯? Microsoft 365 發行者證明Microsoft 365 應用程式認證是互補計畫,可協助開發人員發佈客戶可放心採用的可信任應用程式。 發行者驗證是此程序的第一個步驟。 所有建立應用程式的開發人員都應該完成發行者驗證,而應用程式符合完成 Microsoft 365 發行者證明或 Microsoft 365 應用程式認證的準則。 合併的程式甚至可以為整合其應用程式與 Microsoft 365 的開發人員提供更多優點。

  • 發行者驗證是否與 Microsoft Entra 應用程式資源庫相同? 否。 發行者驗證是 Microsoft Entra 應用程式資源庫的互補程式,但是是個別的程式。 符合發行者驗證準則的開發人員應該完成發行者驗證,而且不需要參與 Microsoft Entra 應用程式資源庫或其他程式。

後續步驟