針對發行者驗證進行疑難排解

如果您無法完成此流程、看到錯誤訊息或在發行者驗證時遇到非預期的行為，請按照以下步驟來排解問題：

1. 檢閱需求並確保全都符合。
2. 檢閱將應用程式標示為發行者已驗證的指示，並確保已成功執行所有步驟。
3. 檢閱常見問題的清單。
4. 使用 Graph 總管來重現要求，以收集更多資訊並排除 UI 中的任何問題。

常見問題

以下是發行者驗證過程中可能會出現的一些常見問題：

• 我不知道我的雲端合作夥伴計畫識別碼 (合作夥伴 One 識別碼)，或我不知道該帳戶的主要連絡人是誰。

  1. 瀏覽至雲端合作夥伴方案註冊頁面。
  2. 使用組織主要 Microsoft Entra 租用戶中的使用者帳戶登入。
  3. 如果雲端合作夥伴計畫帳戶已存在，則會辨識此帳戶並將您新增至此帳戶中。
  4. 瀏覽至合作夥伴設定檔頁面，其中列出了合作夥伴 One 識別碼和主要帳戶連絡人。

• 我不知道誰是我的 Microsoft Entra 全域管理員 (也稱為公司系統管理員或租用戶系統管理員)，如何找出他們？ 誰是應用程式系統管理員或雲端應用程式系統管理員？

  1. 以至少 雲端應用程式系統管理員 的身分登入 Microsoft Entra 系統管理中心。
  2. 瀏覽至 [身分識別] > [角色與系統管理員] > [角色與系統管理員]。
  3. 選取所需的系統管理員角色。
  4. 隨即會顯示獲派該角色的使用者清單。

• 我不知道誰是我的 CPP 帳戶的管理員 前往 CPP 使用者管理頁面並篩選使用者清單，以查看使用者屬於何種不同的管理員角色。

• 我收到錯誤，指出我的合作夥伴 One 識別碼無效或我沒有其存取權。 請遵循補救指引。

• 當我登入 Microsoft Entra 系統管理中心時，我看不到任何已註冊的應用程式。 為什麼？ 您的應用程式註冊可能是使用此租用戶不同的使用者帳戶建立，或在不同的租用戶中建立的。 確保您在建立應用程式註冊的租用戶中使用正確的帳戶進行登入。

• 我收到與多重要素驗證相關的錯誤。 我該怎麼做？ 確定您在此案例中登入的使用者已啟用和需要進行多重要素驗證。 例如，MFA 可能是：

  • 您要用來登入的使用者一律需要。
  • Azure 管理的必要元件。
  • 您用來登入的系統管理員類型的必要項。

進行 Microsoft Graph API 呼叫

如果您遇到問題，但無法根據您在 UI 中看到的內容來了解原因，建議使用 Microsoft Graph 呼叫來執行進一步的疑難排解，以執行您可在應用程式註冊入口網站中執行的相同作業。

提出這些要求的最簡單方式就是使用 Graph 總管。 您也可以考慮其他選項 (例如 PowerShell) 來叫用 Web 要求。

您可以使用 Microsoft Graph 來設定和取消設定應用程式的已驗證發行者，並在執行其中一項作業後檢查結果。 在您的應用程式註冊所對應的應用程式物件，以及已從該應用程式具現化的任何服務主體上，都可以看到結果。 如需這些物件之間關聯性的詳細資訊，請參閱：Microsoft Entra ID 中應用程式和服務主體物件。

以下是一些實用的要求範例：

設定已驗證的發行者

要求

POST /applications/00001111-aaaa-2222-bbbb-3333cccc4444/setVerifiedPublisher 

{ 

    "verifiedPublisherId": "12345678" 

} 

回應

204 No Content 

注意

verifiedPublisherID 是您的合作夥伴 One 識別碼。

取消設定已驗證的發行者

要求：

POST /applications/00001111-aaaa-2222-bbbb-3333cccc4444/unsetVerifiedPublisher 

回應

204 No Content 

從應用程式取得已驗證的發行者資訊

GET https://graph.microsoft.com/v1.0/applications/00001111-aaaa-2222-bbbb-3333cccc4444 

HTTP/1.1 200 OK 

{ 
    "id": "00001111-aaaa-2222-bbbb-3333cccc4444", 

    ... 

    "verifiedPublisher" : { 
        "displayName": "myexamplePublisher", 
        "verifiedPublisherId": "12345678", 
        "addedDateTime": "2019-12-10T00:00:00" 
    } 
} 

從服務主體取得已驗證的發行者資訊

GET https://graph.microsoft.com/v1.0/servicePrincipals/11112222-bbbb-3333-cccc-4444dddd5555

HTTP/1.1 200 OK 

{ 
    "id": "11112222-bbbb-3333-cccc-4444dddd5555", 

    ... 

    "verifiedPublisher" : { 
        "displayName": "myexamplePublisher", 
        "verifiedPublisherId": "12345678", 
        "addedDateTime": "2019-12-10T00:00:00" 
    } 
} 

錯誤參考

以下清單顯示了使用 Microsoft Graph 進行疑難排解，或在應用程式註冊入口網站中執行該程序時您可能收到的潛在錯誤碼。

MPNAccountNotFoundOrNoAccess

您提供的合作夥伴 One 識別碼 (MPNID) 不存在，或您沒有其存取權。 提供有效的合作夥伴 One 識別碼，然後再試一次。

最常見的原因是登入使用者不是合作夥伴中心 CPP 帳戶正確角色的成員。 如需合格角色的清單，請參閱需求，並查看常見問題以獲取更多資訊。 此錯誤也可能是由於租用戶 (應用程式已在其中註冊) 未新增至 CPP 帳戶，或無效的合作夥伴 One 識別碼造成的。

補救步驟

1. 移至您的合作夥伴設定檔並確認：

   • 合作夥伴 One 識別碼正確。
   • 未顯示任何錯誤或「擱置動作」，而且合法商務設定檔與合作夥伴資訊底下的驗證狀態都顯示「已授權」或「成功」。

2. 移至 CPP 租用戶管理頁面，並確認應用程式註冊所在的租用戶和您以使用者帳戶登入的租用戶位於相關聯的租用戶清單上。 若要新增其他租用戶，請遵循多租用戶帳戶指示 (部分機器翻譯)。 您新增的任何租用戶的所有全域管理員都會被授予您的合作夥伴中心帳戶的全域管理員權限。

3. 移至 CPP 使用者管理頁面，並確認您登入的使用者是全域管理員、MPN 管理員或帳戶管理員。若要將使用者新增至合作夥伴中心的角色，請遵循建立使用者帳戶和設定權限的指示 (部分機器翻譯)。

MPNGlobalAccountNotFound

您提供的合作夥伴 One 識別碼 (MPNID) 無效。 提供有效的合作夥伴 One 識別碼，然後再試一次。

最常見的原因是提供的合作夥伴 One 識別碼對應至夥伴位置帳戶 (PLA)。 僅支援合作夥伴通用帳戶。 如需詳細資訊，請參閱合作夥伴中心帳戶結構。

補救步驟

1. 瀏覽至 [合作夥伴設定檔] > [識別符刀鋒視窗] > [Microsoft 雲端合作夥伴計畫索引標籤]。
2. 使用合作夥伴 ID，輸入 PartnerGlobal。

MPNAccountInvalid

您提供的合作夥伴 One 識別碼 (MPNID) 無效。 提供有效的合作夥伴 One 識別碼，然後再試一次。

通常是因為提供了錯誤的合作夥伴 One 識別碼所造成的。

補救步驟

1. 瀏覽至 [合作夥伴設定檔] > [識別符刀鋒視窗] > [Microsoft 雲端合作夥伴計畫索引標籤]。
2. 使用合作夥伴 ID，輸入 PartnerGlobal。

MPNAccountNotVetted

您提供的合作夥伴 One 識別碼 (MPNID) 尚未完成調查程序。 在合作夥伴中心完成此程序，然後再試一次。

最常見的原因是 CPP 帳戶未完成驗證 (部分機器翻譯) 流程。

補救步驟

1. 瀏覽至您的合作夥伴設定檔，並確認未顯示任何錯誤或待完成動作，且法律商務設定檔和合作夥伴資訊下的驗證狀態都表示已獲授權或成功。
2. 如果沒有，請在合作夥伴中心檢視待決動作項目，並使用此處 (部分機器翻譯) 進行疑難排解。

NoPublisherIdOnAssociatedMPNAccount

您提供的合作夥伴 One 識別碼 (MPNID) 無效。 提供有效的合作夥伴 One 識別碼，然後再試一次。

通常是因為提供了錯誤的合作夥伴 One 識別碼所造成的。

補救步驟

1. 瀏覽至 [合作夥伴設定檔] > [識別符刀鋒視窗] > [Microsoft 雲端合作夥伴計畫索引標籤]。
2. 使用合作夥伴 ID，輸入 PartnerGlobal。

MPNIdDoesNotMatchAssociatedMPNAccount

您提供的合作夥伴 One 識別碼 (MPNID) 無效。 提供有效的合作夥伴 One 識別碼，然後再試一次。

通常是因為提供了錯誤的合作夥伴 One 識別碼所造成的。

補救步驟

1. 瀏覽至 [合作夥伴設定檔] > [識別符刀鋒視窗] > [Microsoft 雲端合作夥伴計畫索引標籤]。
2. 使用合作夥伴 ID，輸入 PartnerGlobal。

ApplicationNotFound

找不到目標應用程式 (AppId)。 提供有效的應用程式識別碼，然後再試一次。

最常見的原因是透過圖形 API 執行驗證時，提供的應用程式識別碼不正確。

補救步驟

1. 您必須提供應用程式的物件識別碼，而不是 AppId/ClientId。 請參閱此處 (英文) 應用程式屬性清單上的識別碼。
2. 以至少 雲端應用程式系統管理員 的身分登入 Microsoft Entra 系統管理中心。
3. 瀏覽至 [身分識別] > [應用程式] > [應用程式註冊]。
4. 尋找應用程式的註冊以檢視物件識別碼。

ApplicationObjectisInvalid

目標應用程式的物件識別碼無效。 請提供有效的識別碼，然後再試一次。

最常見的原因是透過圖形 API 執行驗證，而提供的應用程式識別碼不存在時。

補救步驟

1. 您必須提供應用程式的物件識別碼，而不是 AppId/ClientId。 請參閱此處 (英文) 應用程式屬性清單上的識別碼。
2. 以至少 雲端應用程式系統管理員 的身分登入 Microsoft Entra 系統管理中心。
3. 瀏覽至 [身分識別] > [應用程式] > [應用程式註冊]。
4. 尋找應用程式的註冊以檢視物件識別碼。

B2CTenantNotAllowed

Azure AD B2C 租用戶不支援此功能。

EmailVerifiedTenantNotAllowed

透過電子郵件驗證的租用戶不支援此功能。

NoPublisherDomainOnApplication

目標應用程式 (AppId) 必須設定發行者網域。 設定發行者網域，然後再試一次。

當應用程式上的發行者網域未設定時會發生。

補救步驟遵循此處 (部分機器翻譯) 設定發行者網域的指示。

PublisherDomainMismatch

目標應用程式的發行者網域 (publisherDomain) 與合作夥伴中心內用來執行電子郵件驗證的網域 (pcDomain) 不符，或者尚未通過驗證。 確定這些網域相符且已經過驗證，然後再試一次。

當應用程式的發行者網域 (部分機器翻譯) 或新增至 Microsoft Entra 租用戶的自訂網域 (部分機器翻譯) 都與合作夥伴中心內用來執行電子郵件驗證的網域不符，或者尚未通過驗證時，即會發生。

如需允許的網域或子網域相符項目清單，請參閱需求。

補救步驟

1. 瀏覽至您的合作夥伴設定檔，然後檢視列為主要連絡人的電子郵件
2. 用來在合作夥伴中心執行電子郵件驗證的網域是主要連絡人電子郵件中 "@" 之後的部分
3. 以至少 雲端應用程式系統管理員 的身分登入 Microsoft Entra 系統管理中心。
4. 瀏覽至 [身分識別] > [應用程式] > [應用程式註冊] > [商標和屬性]。
5. 選取 [更新發行者網域]，並依照指示確認新的網域。
6. 將用來在合作夥伴中心執行電子郵件驗證的網域新增為新網域。

NotAuthorizedToVerifyPublisher

您無權在此應用程式上設定已驗證的發行者屬性 (<AppId)。

最常見的原因是登入的使用者不是 Microsoft Entra ID 中 CPP 帳戶的適當角色成員，請參閱合格角色清單的需求 (部分機器翻譯)，並查看常見問題以取得詳細資訊。

補救步驟

1. 以至少 雲端應用程式系統管理員 的身分登入 Microsoft Entra 系統管理中心。
2. 瀏覽至 [身分識別] > [應用程式] > [角色與系統管理員] > [角色與系統管理員]。
3. 選取所需的系統管理員角色，並選取 [新增指派]，如果您有足夠的權限。
4. 如果您沒有足夠的權限，請連絡系統管理員角色以尋求協助。

MPNIdWasNotProvided

未在要求本文中提供合作夥伴 One 識別碼，或要求內容類型不是 "application/json"。

最常見的原因是透過圖形 API 執行驗證，而要求中未提供合作夥伴 One 識別碼時。

補救步驟

1. 瀏覽至 [合作夥伴設定檔] > [識別符刀鋒視窗] > [Microsoft 雲端合作夥伴計畫索引標籤]。
2. 在要求中使用合作夥伴 ID，輸入 PartnerGlobal。

MSANotSupported

Microsoft 取用者帳戶不支援此功能。 僅支援由 Microsoft Entra 用使用者註冊 Microsoft Entra ID 中的應用程式。

使用取用者帳戶進行應用程式註冊 (Hotmail、Messenger、OneDrive、MSN、Xbox Live 或 Microsoft 365) 時，即會發生。

InteractionRequired

在嘗試將已驗證的發行者新增至應用程式之前，尚未啟用並執行多重要素驗證 (MFA) 時，即會發生。 如需詳細資訊，請參閱常見問題。 注意：嘗試新增已驗證的發行者時，必須在相同的工作階段中執行 MFA。 如果已啟用 MFA，但不需要在工作階段中執行，則要求會失敗。

顯示的錯誤訊息是：「由於管理員所做的設定變更，或您已移至新位置，您必須使用多重要素驗證以繼續。」

補救步驟

1. 確定您在此案例中登入的使用者已啟用和需要進行多重要素驗證
2. 重試發行者驗證

UserUnableToAddPublisher

錯誤：「您無法將已驗證的發行者新增至此應用程式。 連絡您的管理員以尋求協助。」

當您新增已驗證之發行者的要求時，會使用許多信號來進行安全性風險評估。 如果使用者風險狀態判斷為‘AtRisk’，則會傳回上述錯誤。 請調查使用者風險，並採取適當步驟來補救風險 (下列指引)：

補救步驟

調查風險 (部分機器翻譯)

補救風險/解除封鎖使用者

自助式補救指引

自助式密碼重設 (SSPR)：如果組織允許 SSPR，使用 aka.ms/sspr 來重設密碼以進行補救。 請選擇強式密碼；選擇弱式密碼可能不會重設風險狀態。

注意

請在補救之後提供一些時間來更新風險狀態，然後再試一次。

UnableToAddPublisher

錯誤：「無法將已驗證的發行者新增至此應用程式。 請連絡您的管理員以尋求協助。」

當您新增已驗證之發行者的要求時，會使用許多信號來進行安全性風險評估。 如果判斷要求有風險，則會傳回上述錯誤。 基於安全性理由，Microsoft 不會公開用來判斷要求是否具風險的特定準則。

補救步驟

如果您認為「有風險」的評定不正確，請嘗試第二天重新提交驗證要求。 風險狀態可能需要一些時間才能更新。

下一步

如果您已檢閱先前所有的資訊，但仍收到來自 Microsoft Graph 的錯誤，請盡可能收集與失敗要求相關的下列資訊，並連絡 Microsoft 支援服務。

• 時間戳記
• CorrelationId
• 已登入使用者的 ObjectID 或 UserPrincipalName
• 目標應用程式的 ObjectId
• 目標應用程式的 AppId
• 應用程式註冊所在的 TenantId
• 合作夥伴 One 識別碼
• 正在進行 REST 要求
• 正在傳回的錯誤碼和訊息