修改應用程式所支援的帳戶

向 Microsoft 身分識別平台註冊應用程式時,同時指定了誰 (哪些帳戶類型) 可以存取該應用程式。 例如,您可能已在組織中指定帳戶,這是「單一租用戶」應用程式。 或者,您可能已在任何組織 (包括您的) 中指定帳戶,這是「多租用戶」應用程式。

在下列章節中,您會了解如何在 Azure 入口網站中修改您的應用程式註冊,以變更可以存取應用程式的使用者或帳戶類型。

Prerequisites

變更應用程式註冊以支援不同的帳戶

若要針對現有應用程式註冊所支援的帳戶類型指定不同的設定:

  1. 登入 Azure 入口網站

  2. 如果您有多個租用戶的存取權,請使用頂端功能表中的 [目錄 + 訂閱] 篩選條件 來切換在已註冊應用程式的租用戶。

  3. 搜尋並選取 [Azure Active Directory] 。

  4. [管理] 底下,選取 [應用程式註冊],選取您的應用程式,然後選取 [ 資訊清單 ] 以使用資訊清單編輯器。

  5. 在本機下載資訊清單 JSON 檔案。

  6. 現在指定可以使用應用程式的人員,有時也稱為「登入受眾」。 在資訊清單 JSON 檔案中尋找 signInAudience 屬性,並將其設定為下列其中一個屬性值:

    屬性值 支援的帳戶類型 描述
    AzureADMyOrg 僅限此組織目錄中的帳戶 (僅限 Microsoft - 單一租用戶) 您目錄中的所有使用者和來賓帳戶都可以使用您的應用程式或 API。 若您的目標對象是組織內部的人員,請使用此選項。
    AzureADMultipleOrgs 任何組織目錄中的帳戶 (任何 Azure AD 目錄 - 多租用戶) 具有 Microsoft 公司或學校帳戶的所有使用者都可以使用您的應用程式或 API。 這包括使用 Office 365 的學校及公司。 如果您的目標物件是商務或教育客戶,並啟用多租使用者,請使用此選項。
    AzureADandPersonalMicrosoftAccount 任何組織目錄中的帳戶 (任何 Azure AD 目錄 - 多租用戶) 和個人 Microsoft 帳戶 (例如 Skype、Xbox) 任何使用者只要具有公司、學校或個人的 Microsoft 帳戶,都能使用您的應用程式或 API。 這也包括了使用 Office 365 的學校和公司,以及用來登入例如 Xbox 和 Skype 服務的個人帳戶。 使用此選項以最廣泛的 Microsoft 身分識別集為目標,並啟用多租使用者。
    PersonalMicrosoftAccount 僅限個人 Microsoft 帳戶 用來登入 Xbox 和 Skype 等服務的個人帳戶。 使用此選項以最廣泛的 Microsoft 身分識別集為目標。
  7. 將您的變更儲存到本機 JSON 檔案,然後在資訊清單編輯器中選取 [上傳 ],以上傳更新的資訊清單 JSON 檔案。

無法變更為多租用戶的原因

因為應用程式識別碼 URI (應用程式識別碼 URI) 名稱發生衝突,所以將應用程式註冊從單一切換到多租用戶有時會失敗。 範例應用程式識別碼 URI 為 https://contoso.onmicrosoft.com/myapp

「應用程式識別碼 URI」是其中一種可在通訊協定訊息中識別應用程式的方式。 在單一租用戶應用程式中,只要該租用戶內有唯一的應用程式識別碼 URI 即可。 就多租用戶應用程式而言,該 URI 則必須具全域唯一性,Azure AD 才能在所有租用戶中找到該應用程式。 系統會透過要求「應用程式識別碼 URI」主機名稱必須與其中一個 Azure AD 租用戶的驗證發行者網域相符,來強制執行全域唯一性。

例如,如果租用戶的名稱是 contoso.onmicrosoft.com,則有效的應用程式識別碼 URI 會是 https://contoso.onmicrosoft.com/myapp。 如果租用戶的已驗證網域是 contoso.com,則有效的應用程式識別碼 URI 也會是 https://contoso.com/myapp。 如果應用程式識別碼 URI 未遵循第二個模式,https://contoso.com/myapp,則系統無法將應用程式註冊轉換成多租用戶。

如需設定已驗證之發行者網域的詳細資訊,請參閱設定已驗證的網域

後續步驟

深入了解將應用程式從單一租用戶轉換為多租用戶的需求。