將 App Service 或 Azure Functions 應用程式設定為使用 Microsoft 帳戶登入
本主題說明如何設定 Azure App Service 或 Azure Functions,以使用 Microsoft Entra ID 來支援個人 Microsoft 帳戶登入。
重要
雖然仍支援 Microsoft 帳戶提供者,但建議應用程式改用 Microsoft 身分識別平台提供者 (Microsoft Entra ID)。 Microsoft 身分識別平台支援組織帳戶和個人 Microsoft 帳戶。
使用 Microsoft 帳戶註冊您的應用程式
在 Azure 入口網站中移至應用程式註冊。 如有需要,請使用您的 Microsoft 帳戶登入。
選取 [新增註冊],然後輸入應用程式名稱。
在 [支援的帳戶類型] 下,選取 [任何組織目錄中的帳戶 (任何 Microsoft Entra 目錄 - 多租用戶) 和個人 Microsoft 帳戶 (例如 Skype、Xbox)]
在 [重新導向 URI] 底下,選取 [Web],然後輸入
https://<app-domain-name>/.auth/login/aad/callback。 將 <app-domain-name> 換成您的應用程式網域名稱。 例如:https://contoso.azurewebsites.net/.auth/login/aad/callback。 請務必在 URL 中使用 HTTPS 配置。選取註冊。
複製 [應用程式 (用戶端) 識別碼]。 稍後您將需要此資訊。
從左側窗格中,選取 [憑證和祕密]>[新增用戶端密碼]。 輸入描述、選取有效期間,然後選取 [新增]。
複製 [憑證和祕密] 頁面上出現的值。 離開此頁面後,就不會再次顯示該值。
重要
用戶端密碼值 (密碼) 是重要的安全性認證。 請勿與任何人共用密碼,或在用戶端應用程式內散佈密碼。
將 Microsoft 帳戶資訊新增至 App Service 應用程式
在 Azure 入口網站中移至您的應用程式。
選取 [設定]>[驗證/授權],並確定 [App Service 驗證] 為 [開啟]。
在 [驗證提供者] 下,選取 [Microsoft Entra ID]。 選取 [管理模式] 底下的 [進階]。 貼上您稍早取得的應用程式 (用戶端) 識別碼和用戶端密碼。 針對 [簽發者 URL] 欄位,使用
https://login.microsoftonline.com/9188040d-6c67-4c5b-b112-36a304b66dad/v2.0。選取 [確定]。
App Service 會提供驗證,但不會限制對您網站內容和 API 的已授權存取。 您必須在應用程式程式碼中授權使用者。
(選擇性) 若要限制 Microsoft 帳戶使用者的存取權,請將 [當要求未經驗證時所要採取的動作] 設定為 [使用 Microsoft Entra ID 登入]。 當您設定此功能時,您的應用程式會要求所有要求都必須經過驗證。 其也會將所有未驗證的要求重新導向為使用 Microsoft Entra ID 進行驗證。 請注意,因為您已將 [簽發者 URL] 設定為使用 Microsoft 帳戶租用戶,只有個人帳戶可成功驗證。
警告
以這種方式限制存取,適用於對您應用程式的所有呼叫,不建議具有公開可用首頁的應用程式 (如許多單頁應用程式) 這麼做。 對於這類應用程式,您可能偏好 [允許匿名要求 (不執行動作)],因此應用程式會自行手動啟動驗證。 如需詳細資訊,請參閱驗證流程。
選取 [儲存]。
現在,您已可在應用程式中使用 Microsoft 帳戶進行驗證。