发布者验证

  • 项目

发布者验证为应用用户和组织管理员提供有关发布与 Microsoft 标识平台集成应用的开发者的组织的真实性的信息。

当应用具有经过验证的发布者时,这意味着发布该应用的组织已由 Microsoft 验证为可信。 验证应用程序涉及使用 Microsoft Cloud Partner Program (CPP)(前称 Microsoft 合作伙伴网络 [MPN])、已验证的帐户以及将已验证的 PartnerID 与应用程序的注册相关联。

应用的发布者通过验证后,应用的 Microsoft Entra 许可提示和其他网页中会显示蓝色的“已验证”锁屏提醒:

Screenshot that shows an example of a Microsoft app consent prompt.

以下视频介绍了此过程:

发布者验证主要面向使用 OAuth 2.0 和 OpenID ConnectMicrosoft 标识平台多租户应用的开发者。 这些类型的应用可以使用 OpenID Connect 来让用户登录,或者它们可以使用 Microsoft Graph 等 API,通过 OAuth 2.0 请求访问数据。

好处

应用进行发布者验证具有以下好处:

  • 为客户提升透明度,降低风险。 发布者验证可帮助客户识别由他们信任的开发者发布的应用,从而降低组织中的风险。

  • 提升品牌形象。 Microsoft Entra 应用许可提示、企业应用页以及用户和管理员看到的其他应用元素中会显示蓝色的“已验证”锁屏提醒。

  • 更流畅的企业采用体验。 组织管理员可以配置用户许可策略,其中将发布者验证状态将作为主要的策略标准。

注意

从 2020 年 11 月开始,如果启用了基于风险的升级许可,则用户无法许可未经过发布者验证的大多数新注册的多租户应用。 该策略适用于 2020 年 11 月 8 日之后注册的应用,这些应用使用 OAuth 2.0 请求超出基本登录信息和读取用户配置文件的权限,并向不是应用注册所在租户的租户中的用户请求许可。 在本场景中,许可屏幕上会显示一条警告。 该警告告知用户应用是由未经验证的发布者创建的,并且下载或安装应用有风险。

要求

应用开发者必须满足一些要求才能完成开发者验证流程。 许多 Microsoft 合作伙伴已经满足这些要求。

  • 开发者必须具有已完成验证程序的有效 Microsoft Cloud Partner Program 帐户的 Partner One ID。 CPP 帐户必须是开发者组织的合作伙伴全局帐户 (PGA)

    注意

    用于发布者验证的 CPP 帐户不能是合作伙伴位置的 Partner One ID。 目前,发布者验证程序不支持位置 Partner One ID。

  • 必须使用 Microsoft Entra 工作或学校帐户注册要进行发布者验证的应用。 使用 Microsoft 帐户注册的应用无法进行发布者验证。

  • 注册应用的 Microsoft Entra 租户必须与 PGA 相关联。 如果注册应用的租户不是与 PGA 关联的主租户,请完成将 CPP PGA 设置为多租户帐户并关联 Microsoft Entra 租户的步骤。

  • 应用必须在 Microsoft Entra 租户中注册并设置了发布者域。 Azure AD B2C 租户不支持此功能。

  • 在 CPP 帐户验证期间使用的电子邮件地址的域必须与为应用设置的发布者域相匹配,或者与添加到 Microsoft Entra 租户、经过 DNS 验证的自定义域相匹配。 (注意__:应用的发布者域不能是 *.onmicrosoft.com,否则无法验证发布者)

  • 发起验证的用户必须获得授权,才能对 Microsoft Entra 中的应用注册和合作伙伴中心内的 CPP 帐户进行更改。 发起验证的用户必须在 Microsoft Entra ID 和合作伙伴中心具有所需的角色之一。

    • 在 Microsoft Entra ID 中,此用户必须是下面一种角色的成员:应用程序管理员、云应用程序管理员或全局管理员。

    • 在合作伙伴中心,此用户必须拥有以下角色之一:CPP 合作伙伴管理员、帐户管理员或全局管理员(Microsoft Entra ID 中主导的共享角色)。

  • 发起验证的用户必须使用 Microsoft Entra 多重身份验证进行登录。

  • 发布者必须同意面向开发者的 Microsoft 标识平台使用条款

已经满足这些要求的开发者可以在几分钟内通过验证。 完成开发者验证的先决条件不会产生任何费用。

国家/地区云中的发布者验证

国家/地区云目前不支持发布者验证。 目前,在国家/地区云租户中注册的应用无法进行发布者验证。

常见问题

查看有关发布者验证计划的常见问题解答。 有关要求和流程的常见问题解答,请参阅将应用标记为“发布者已验证”

  • 发布者验证没有告诉我的关于应用或其发布者的信息是什么? 蓝色的“已验证”锁屏提醒并不意味或表明可能在应用中寻求的质量标准。 例如,你可能想要知道应用或其发布者是否具有特定的认证、符合行业标准或遵循最佳做法。 发布者验证不会提供此信息。 其他 Microsoft 计划(例如 Microsoft 365 应用认证)确实提供了此信息。 已验证的发布者状态只是评估应用程序的安全性和 OAuth 同意请求时要考虑的几个标准之一。

  • 应用开发者进行发布者验证的费用是多少? 是否需要许可证? Microsoft 不向开发者收取发布者验证费用。 无需任何许可证即可成为已验证的发布者。

  • 发布者验证与 Microsoft 365 发布者证明和 Microsoft 365 应用认证的关系如何?Microsoft 365 发布者证明Microsoft 365 应用认证是补充计划,可帮助开发者发布客户可以自信采用的可信应用。 发布者验证是此过程的第一步。 创建符合完成 Microsoft 365 发布者证明或 Microsoft 365 应用认证条件的应用的所有开发者都应完成发布者验证。 组合计划可以为将应用与 Microsoft 365 集成的开发者带来更多好处。

  • 发布者验证是否与 Microsoft Entra 应用程序库相同? 不是。 发布者验证是对 Microsoft Entra 应用程序库的补充,但它是一项独立计划。 符合发布者验证条件的开发人员应独立完成发布者验证,而不是参与 Azure Active Directory 应用程序库或其他计划。

后续步骤