設定應用程式的發行者網域
應用程式的發行者網域會通知使用者其資訊正在傳送至哪裡。 發行者網域也會當作發行者驗證的輸入或必要條件。 視應用程式註冊的時間及發行者驗證的狀態而定,發行者驗證可能會在應用程式的同意提示上直接向使用者顯示。 應用程式的發行者網域會在同意使用者體驗上向使用者顯示 (視發行者驗證的狀態而定),讓使用者知道其資訊傳送到何處以確保可信度。
在應用程式的同意提示中,會顯示發行者網域或發行者驗證狀態。 顯示哪些資訊取決於應用程式是否為多租用戶應用程式、應用程式的註冊時間,以及應用程式的發行者驗證狀態。
了解多租用戶應用程式
「多租用戶應用程式」是支援單一組織目錄外使用者帳戶的應用程式。 例如,多租用戶應用程式可能支援所有 Microsoft Entra 公司或學校帳戶,或者其可能同時支援 Microsoft Entra 公司或學校帳戶和個人 Microsoft 帳戶。
了解預設發行者網域值
數個因素會決定針對應用程式發行者網域設定的預設值:
- 應用程式是否已在租用戶中註冊。
- 租用戶是否具有租用戶驗證的網域。
- 應用程式註冊日期。
租用戶註冊和租用戶驗證的網域
當您註冊新的應用程式時,應用程式的發行者網域可能會設定為預設值。 預設值取決於應用程式的註冊位置。 發行者網域特別取決於應用程式是否已在租用戶中註冊,以及租用戶是否具有租用戶驗證的網域。
如果應用程式具有租用戶驗證的網域,應用程式的發行者網域會預設為租用戶的主要已驗證網域。 如果應用程式沒有租用戶驗證的網域,且應用程式未在租用戶中註冊,則應用程式的預設發行者網域為 Null。
下表使用範例案例來描述發行者網域的預設值:
| 租用戶驗證的網域 | 發行者網域的預設值 |
|---|---|
| null | null |
*.onmicrosoft.com |
*.onmicrosoft.com |
- *.onmicrosoft.com- domain1.com- domain2.com (主要) |
domain2.com |
應用程式註冊日期
應用程式的註冊日期也會決定應用程式的預設發行者網域值。
如果您的多租用戶應用程式已在 2019 年 5 月 21 日到 2020 年 11 月 30 日之間註冊:
- 如果未設定應用程式的發行者網域,或如果將其設定為以
.onmicrosoft.com結尾的網域,則應用程式的同意提示會顯示「未驗證」,作為發行者網域值。 - 如果應用程式具有已驗證的應用程式網域,則同意提示會顯示已驗證的網域。
- 如果應用程式已通過發行者驗證,發行者網域會顯示藍色「已驗證」徽章,指出狀態。
如果您的多租用戶在 2020 年 11 月 30 日之後註冊:
- 如果應用程式未經過發行者驗證,應用程式的同意提示會顯示「未驗證」。 沒有出現發行者網域相關資訊。
- 如果應用程式已通過發行者驗證,應用程式同意提示會顯示藍色「已驗證」徽章。
在 2019 年 5 月 21 日之前建立的應用程式
如果您的應用程式已在 2019 年 5 月 21 日之前註冊,即使您未設定發行者網域,應用程式的同意提示也會顯示「未驗證」。 建議您設定發行者網域值,讓使用者可以在您應用程式的同意提示中看到此資訊。
在 Microsoft Entra 系統管理中心設定發行者網域
提示
根據您開始使用的入口網站,本文中的步驟可能略有不同。
若要使用 Microsoft Entra 系統管理中心為您的應用程式設定發行者網域:
如果您有權存取多個租用戶,請使用右上角的 [設定] 圖示
,然後從 [目錄 + 訂用帳戶] 功能表中選取應用程式註冊所在的租用戶。在 Microsoft Entra 系統管理中心中,瀏覽至 [身分識別] > [應用程式] > [應用程式註冊]。
搜尋並選取您要設定的應用程式。
在 [概觀] 中,於 [管理] 底下的資源功能表中,選取 [商標]。
在 [發行者網域] 中,然後選取下列其中一個選項:
- 如果尚未設定網域,請選取 [設定網域]。
- 如果您已設定網域,請選取 [更新網域]。
如果您的應用程式已在租用戶中註冊,接下來請從兩個選項中擇其一:
- 選取已驗證的網域
- 驗證新網域
如果您的網域未在租用戶中註冊,只有針對應用程式驗證新網域的選項會出現。
針對您的應用程式驗證新網域
若要針對您的應用程式驗證新網域:
建立名為 microsoft-identity-association.json 的檔案。 複製下列 JSON,並將其貼入 microsoft-identity-association.json 檔案中:
{ "associatedApplications": [ { "applicationId": "<your-app-id>" }, { "applicationId": "<another-app-id>" } ] }將
<your-app-id>取代為您應用程式的應用程式 (用戶端) 識別碼。 如果您要針對多個應用程式驗證新網域,請使用所有相關的應用程式識別碼。將檔案裝載於:
https://<your-domain>.com/.well-known/microsoft-identity-association.json。 將<your-domain>取代為已驗證的網域名稱。選取 [驗證並儲存網域]。
在您驗證網域之後,就不需要維護用於驗證的資源。 驗證完成後,您可以移除裝載的檔案。
選取已驗證的網域
如果您的租用戶具有已驗證的網域,請在 [選取已驗證的網域] 下拉式清單中選取其中一個網域。
注意
內容將被解譯為 UTF-8 JSON 以進行還原序列化。 應該傳回的受支援 Content-Type 標頭為 application/json、application/json; charset=utf-8 或 。 如果您使用任何其他標頭,可能會看到此錯誤訊息:
Verification of publisher domain failed. Error getting JSON file from https:///.well-known/microsoft-identity-association. The server returned an unexpected content type header value.
發行者網域和應用程式同意提示
設定發行者網域會影響使用者在應用程式同意提示中看到的內容。 若要同意提示元件的詳細資訊,請參閱了解應用程式同意體驗。
下圖顯示發行者網域如何出現在 2019 年 5 月 21 日之前所建立應用程式的應用程式同意提示中:
針對在 2019 年 5 月 21 日與 2020 年 11 月 30 日之間建立的應用程式,發行者網域在應用程式同意提示中的顯示方式取決於發行者網域和應用程式類型。 下圖描述同意提示上針對不同設定組合顯示的內容:
針對在 2020 年 11 月 30 日之後建立的多租用戶應用程式,只有發行者驗證狀態會顯示在應用程式的同意提示中。 下表描述同意提示中出現的內容取決於應用程式是否已經過驗證。 單一租用戶應用程式的同意提示保持不變。
發行者網域和重新導向 URI
使用任何公司或學校帳戶或使用 Microsoft 帳戶 (多租用戶) 登入使用者的應用程式,受限於重新導向 URI 中的一些限制。
單一根網域限制
當多租用戶應用程式的發行者網域值設定為 null 時,就會限制應用程式共用重新導向 URI 的單一根網域。 例如,系統不允許下列值的組合,因為根網域 contoso.com 與根網域 fabrikam.com 不相符。
"https://contoso.com",
"https://fabrikam.com",
子網域限制
允許子網域,但您必須明確地註冊根網域。 例如,雖然下列 URI 共用單一根網域,但不允許此組合:
"https://app1.contoso.com",
"https://app2.contoso.com",
但是,如果開發人員明確地新增根網域,則會允許此組合:
"https://contoso.com",
"https://app1.contoso.com",
"https://app2.contoso.com",
限制例外狀況
下列案例不受限於單一根網域限制:
- 單一租用戶應用程式,或以單一目錄中的帳戶為目標的應用程式。
- 使用 localhost 做為重新導向 URI。
- 具有自訂配置 (非 HTTP 或 HTTPS) 的重新導向 URI。
以程式設計方式設定發行者網域
目前,您無法使用 REST API 或 PowerShell 以程式設計方式設定發行者網域。
下一步
- 了解如何將應用程式標示為發行者已驗證。
- 針對發行者驗證進行疑難排解。