Modyfikowanie kont obsługiwanych przez aplikację

  • Artykuł

Po zarejestrowaniu aplikacji za pomocą Platforma tożsamości Microsoft określono, kto — który typ konta — może uzyskać do niej dostęp. Na przykład możesz określić konta tylko w organizacji, która jest aplikacją z jedną dzierżawą. Możesz też określić konta w dowolnej organizacji (w tym w Twojej), która jest aplikacją wielodostępną.

W poniższych sekcjach dowiesz się, jak zmodyfikować rejestrację aplikacji, aby zmienić osoby lub typy kont, które mogą uzyskiwać dostęp do aplikacji.

Wymagania wstępne

Zmiana rejestracji aplikacji pod kątem obsługi różnych kont

Napiwek

Kroki opisane w tym artykule mogą się nieznacznie różnić w zależności od portalu, od którego zaczynasz.

Aby określić inne ustawienie dla typów kont obsługiwanych przez istniejącą rejestrację aplikacji:

  1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra co najmniej jako deweloper aplikacji.

  2. Jeśli masz dostęp do wielu dzierżaw, użyj ikony Ustawienia w górnym menu, aby przełączyć się do dzierżawy zawierającej rejestrację aplikacji z menu Katalogi i subskrypcje.

  3. Przejdź do aplikacji tożsamości>> Rejestracje aplikacji.

  4. Wybierz aplikację, a następnie wybierz pozycję Manifest , aby użyć edytora manifestu.

  5. Pobierz plik JSON manifestu lokalnie.

  6. Teraz określ, kto może korzystać z aplikacji, czasami określany jako odbiorcy logowania. Znajdź właściwość signInAudience w pliku manifestu JSON i ustaw ją na jedną z następujących wartości właściwości:

    Wartości właściwości Obsługiwane typy kont opis
    AzureADMyOrg Konta tylko w tym katalogu organizacyjnym (tylko firma Microsoft — pojedyncza dzierżawa) Wszystkie konta użytkowników i gości w katalogu mogą używać aplikacji lub interfejsu API. Użyj tej opcji, jeśli docelowi odbiorcy są wewnętrzni w twojej organizacji.
    AzureADMultipleOrgs Konta w dowolnym katalogu organizacyjnym (dowolnym katalogu usługi Microsoft Entra — wielodostępnym) Wszyscy użytkownicy z kontem służbowym firmy Microsoft mogą używać aplikacji lub interfejsu API. Dotyczy to szkół i firm korzystających z usługi Office 365. Użyj tej opcji, jeśli docelowi odbiorcy są klientami biznesowymi lub edukacyjnymi i umożliwiają wielodostępność.
    AzureADandPersonalMicrosoftAccount Konta w dowolnym katalogu organizacyjnym (dowolny katalog Microsoft Entra — multitenant) i osobiste konta Microsoft (np. Skype, Xbox) Wszyscy użytkownicy z kontem służbowym lub osobistym Microsoft mogą używać aplikacji lub interfejsu API. Obejmuje ona szkoły i firmy korzystające z usługi Office 365, a także konta osobiste używane do logowania się do usług, takich jak Xbox i Skype. Użyj tej opcji, aby określić najszerszy zestaw tożsamości firmy Microsoft i włączyć wielodostępność.
    PersonalMicrosoftAccount Tylko osobiste konta Microsoft Konta osobiste używane do logowania się do usług, takich jak Xbox i Skype. Użyj tej opcji, aby określić najszerszy zestaw tożsamości firmy Microsoft.

  7. Zapisz zmiany w pliku JSON lokalnie, a następnie wybierz pozycję Przekaż w edytorze manifestu, aby przekazać zaktualizowany plik JSON manifestu.

Dlaczego zmiana na wielodostępną może zakończyć się niepowodzeniem

Przełączanie rejestracji aplikacji z pojedynczej do wielu dzierżaw może czasami zakończyć się niepowodzeniem z powodu kolizji nazw identyfikatora URI (identyfikatora URI identyfikatora aplikacji). Przykładowy identyfikator URI identyfikatora aplikacji to https://contoso.onmicrosoft.com/myapp.

Identyfikator URI identyfikatora aplikacji jest jednym ze sposobów, w jaki aplikacja jest identyfikowana w komunikatach protokołu. W przypadku aplikacji z jedną dzierżawą identyfikator URI identyfikatora aplikacji musi być unikatowy tylko w ramach tej dzierżawy. W przypadku aplikacji wielodostępnej musi być globalnie unikatowa, aby identyfikator Entra firmy Microsoft mógł znaleźć aplikację we wszystkich dzierżawach. Globalna unikatowość jest wymuszana przez wymaganie, aby nazwa hosta identyfikatora URI aplikacji odpowiadała jednej ze zweryfikowanych domen wydawcy dzierżawy firmy Microsoft Entra.

Jeśli na przykład nazwa dzierżawy jest contoso.onmicrosoft.com, https://contoso.onmicrosoft.com/myapp jest prawidłowym identyfikatorem URI identyfikatora aplikacji. Jeśli dzierżawa ma zweryfikowaną domenę contoso.com, prawidłowy identyfikator URI identyfikatora aplikacji będzie również mieć https://contoso.com/myappwartość . Jeśli identyfikator URI identyfikatora aplikacji nie jest zgodna z drugim wzorcem, https://contoso.com/myappkonwersja rejestracji aplikacji na wiele dzierżaw nie powiedzie się.

Aby uzyskać więcej informacji na temat konfigurowania zweryfikowanej domeny wydawcy, zobacz Konfigurowanie zweryfikowanej domeny.

Następne kroki

Dowiedz się więcej o wymaganiach dotyczących konwertowania aplikacji z jednej do wielu dzierżaw.