Konfigurieren der Herausgeberdomäne einer App

Die Herausgeberdomäne einer App informiert Benutzer darüber, wohin ihre Informationen gesendet werden. Die Herausgeberdomäne fungiert auch als Eingabe oder Voraussetzung für Herausgeberüberprüfung. Je nachdem, wann die App registriert wurde, und abhängig vom Status der Herausgeberüberprüfung, wird die Herausgeberdomäne dem Benutzer direkt in der Einwilligungsaufforderung der Anwendung angezeigt. Die Herausgeberdomäne einer Anwendung wird Benutzern (abhängig vom Status der Herausgeberüberprüfung) auf der Einwilligungsoberfläche angezeigt, um Benutzern aus Gründen der Vertrauenswürdigkeit mitzuteilen, wohin ihre Informationen gesendet werden.

In der Zustimmungsaufforderung einer App wird entweder die Herausgeberdomäne oder der Überprüfungsstatus des Herausgebers angezeigt. Welche Informationen angezeigt werden, hängt davon ab, ob es sich bei der App um eine mehrinstanzenfähige App handelt, wann die App registriert wurde und welchen Überprüfungsstatus des Herausgebers die App aufweist.

Grundlegendes zu mehrinstanzenfähigen Apps

Eine mehrinstanzenfähige App unterstützt Benutzerkonten, die sich außerhalb eines einzelnen Organisationsverzeichnisses befinden. Eine mehrinstanzenfähige App kann beispielsweise alle Geschäfts-, Schul- oder Unikonten von Microsoft Entra oder sowohl Geschäfts-, Schul- oder Unikonten von Microsoft Entra als auch persönliche Microsoft-Konten unterstützen.

Grundlegendes zu Standardwerten für die Herausgeberdomäne

Mehrere Faktoren bestimmen den Standardwert, der für die Herausgeberdomäne einer App festgelegt ist:

  • Angabe, ob die App in einem Mandanten registriert ist
  • Angabe, ob ein Mandant über mandantenseitig überprüfte Domänen verfügt
  • Datum der App-Registrierung

Mandantenregistrierung und mandantenseitig überprüfte Domänen

Wenn Sie eine neue App registrieren, wird die Herausgeberdomäne der App möglicherweise auf einen Standardwert festgelegt. Der Standardwert hängt davon ab, wo die App registriert ist. Der Wert für die Herausgeberdomäne hängt insbesondere davon ab, ob die App in einem Mandanten registriert ist und ob der Mandant über mandantenseitig überprüfte Domänen verfügt.

Wenn mandantenseitig überprüfte Domänen vorhanden sind, ist die Herausgeberdomäne der App standardmäßig die primäre überprüfte Domäne des Mandanten. Wenn die App keine mandantenseitig überprüfte Domänen besitzt und nicht in einem Mandanten registriert ist, lautet der Standardwert der Herausgeberdomäne NULL.

In der folgenden Tabelle werden Beispielszenarien verwendet, um die Standardwerte für die Herausgeberdomäne zu beschreiben:

Mandantenseitig überprüfte Domäne Standardwert der Herausgeberdomäne
NULL NULL
*.onmicrosoft.com *.onmicrosoft.com
- *.onmicrosoft.com
- domain1.com
- domain2.com (primär)
domain2.com

Datum der App-Registrierung

Das Registrierungsdatum einer App bestimmt auch die Standardwerte für die Herausgeberdomäne der App.

Wenn Ihre mehrinstanzenfähige Anwendung zwischen dem 21. Mai 2019 und dem 30. November 2020 registriert wurde:

  • Wenn die Herausgeberdomäne der App nicht festgelegt ist oder auf eine Domäne festgelegt ist, die auf .onmicrosoft.com endet, zeigt die Zustimmungsaufforderung der App Nicht überprüft als Wert für die Herausgeberdomäne an.
  • Wenn die App über eine überprüfte App-Domäne verfügt, zeigt die Zustimmungsaufforderung die überprüfte Domäne an.
  • Wenn der Herausgeber der App überprüft wurde, zeigt die Herausgeberdomäne ein blaues Überprüft-Symbol an, das den Status angibt.

Wenn Ihre mehrinstanzenfähige Anwendung nach dem 30. November 2020 registriert wurde:

  • Wenn der App-Herausgeber nicht überprüft wurde, zeigt die Zustimmungsaufforderung für die App Nicht überprüft an. Es werden keine Informationen zur Herausgeberdomäne angezeigt.
  • Wenn der App-Herausgeber überprüft wurde, zeigt die Zustimmungsaufforderung der App ein blaues Überprüft-Symbol an.

Vor dem 21. Mai 2019 erstellte Apps

Wenn Ihre App vor dem 21. Mai 2019 registriert wurde, zeigt die Zustimmungsaufforderung Ihrer App Nicht überprüft an, auch wenn Sie keine Herausgeberdomäne festgelegt haben. Es wird empfohlen, den Wert der Herausgeberdomäne festzulegen, sodass Benutzer diese Informationen in der Zustimmungsaufforderung der App sehen können.

Festlegen einer Herausgeberdomäne im Microsoft Entra Admin Center

Tipp

Die Schritte in diesem Artikel können je nach dem Portal, mit dem Sie beginnen, geringfügig variieren.

So legen Sie über das Microsoft Entra Admin Center eine Herausgeberdomäne für Ihre App fest:

  1. Melden Sie sich beim Microsoft Entra Admin Center an.

  2. Wenn Sie Zugriff auf mehrere Mandanten haben, verwenden Sie das Symbol für Einstellungen rechts oben, und wählen Sie im Menü Verzeichnisse + Abonnements den Mandanten aus, bei dem die App registriert ist.

  3. Durchsuchen Sie im Microsoft Entra Admin Center Identität>Anwendungen>App-Registrierungen.

  4. Suchen Sie nach der App, die Sie konfigurieren möchten, und wählen Sie sie aus.

  5. Wählen Sie unter Übersicht im Ressourcenmenü unterhalb von Verwalten den Eintrag Branding aus.

  6. Wählen Sie für Herausgeberdomäne eine der folgenden Optionen aus:

    • Wenn Sie noch keine Domäne konfiguriert haben, wählen Sie Domäne konfigurieren aus.
    • Wenn Sie eine Domäne konfiguriert haben, wählen Sie Domäne aktualisieren aus.
  7. Wenn Ihre App in einem Mandanten registriert ist, wählen Sie als Nächstes eine aus zwei Optionen aus:

    • Verifizierte Domäne auswählen
    • Neue Domäne verifizieren

    Wenn Ihre Domäne in keinem Mandanten registriert ist, wird nur die Option zum Überprüfen einer neuen Domäne für Ihre App angezeigt.

Überprüfen einer neuen Domäne für Ihre App

So überprüfen Sie eine neue Herausgeberdomäne für Ihre App:

  1. Erstellen Sie eine Datei mit dem Namen microsoft-identity-association.json. Kopieren Sie den folgenden JSON-Code, und fügen Sie ihn in die Datei microsoft-identity-association.json ein:

    {
       "associatedApplications": [
          {
             "applicationId": "<your-app-id>"
          },
          {
             "applicationId": "<another-app-id>"
          }
       ]
     }
    
  2. Ersetzen Sie <your-app-id> durch die Anwendungs- bzw. Client-ID für Ihre App. Verwenden Sie alle relevanten App-IDs, wenn Sie eine neue Domäne für mehrere Apps überprüfen.

  3. Hosten Sie die Datei unter https://<your-domain>.com/.well-known/microsoft-identity-association.json. Ersetzen Sie <your-domain> durch den Namen der überprüften Domäne.

  4. Wählen Sie Domäne überprüfen und speichern aus.

Nachdem Sie eine Domäne überprüft haben, müssen Sie die für die Überprüfung verwendeten Ressourcen nicht verwalten. Nach Abschluss der Überprüfung können Sie die gehostete Datei entfernen.

Auswählen einer überprüften Domäne

Wenn Ihr Mandant überprüfte Domänen enthält, wählen Sie eine der Domänen in der Dropdownliste Verifizierte Domäne auswählen aus.

Hinweis

Der Inhalt wird für die Deserialisierung als UTF-8-JSON interpretiert. Unterstützte Content-Type-Header, die zurückgegeben werden sollten, sind application/json, application/json; charset=utf-8 oder . Wenn Sie einen anderen Header verwenden, wird möglicherweise diese Fehlermeldung angezeigt:

Verification of publisher domain failed. Error getting JSON file from https:///.well-known/microsoft-identity-association. The server returned an unexpected content type header value.

Die Konfiguration der Herausgeberdomäne hat Einfluss darauf, was Benutzer in der Zustimmungsaufforderung der App sehen. Weitere Informationen zu den Komponenten der Zustimmungsaufforderung finden Sie unter Grundlegendes zu Einwilligungserfahrungen für Azure AD-Anwendungen.

Die folgende Abbildung zeigt, wie die Herausgeberdomäne in App-Zustimmungsaufforderungen für Apps angezeigt wird, die vor dem 21. Mai 2019 erstellt wurden:

Diagram that shows consent prompt behavior for apps created before May 21, 2019.

Bei Apps, die zwischen dem 21. Mai 2019 und dem 30. November 2020 erstellt wurden, hängt die Anzeige der Herausgeberdomäne in der Zustimmungsaufforderung der App von der Herausgeberdomäne und der Art der App ab. Die folgende Abbildung zeigt, was bei verschiedenen Konfigurationen in der Zustimmungsaufforderung angezeigt wird:

Diagram that shows consent prompt behavior for apps created between May 21, 2019, and November 30, 2020.

Bei Mehrinstanzen-Apps, die nach dem 30. November 2020 erstellt wurden, wird in der Zustimmungsaufforderung einer App nur der Überprüfungsstatus des Herausgebers angezeigt. In der folgenden Tabelle wird beschrieben, was je nach Überprüfungsstatus einer App in der Zustimmungsaufforderung angezeigt wird. Die Zustimmungsaufforderung für Einzelmandanten-Apps bleibt unverändert.

Diagram that shows consent prompt results for apps that were created after November 30, 2020.

Herausgeberdomäne und Umleitungs-URIs

Apps, die Benutzer mithilfe eines Geschäfts-, Schul- oder Unikontos oder mithilfe eines Microsoft-Kontos (mehrinstanzenfähig) anmelden, unterliegen einigen Einschränkungen hinsichtlich Umleitungs-URIs.

Beschränkung auf einzelne Stammdomäne

Wenn der Herausgeberdomänenwert für eine Mehrinstanzen-App auf NULL festgelegt ist, ist die App auf die Freigabe einer einzelnen Stammdomäne für die Umleitungs-URIs beschränkt. Die folgende Kombination von Werten ist z. B. nicht zulässig, da die Stammdomäne contoso.com nicht mit der Stammdomäne fabrikam.com übereinstimmt.

"https://contoso.com",  
"https://fabrikam.com",

Einschränkungen für Unterdomänen

Unterdomänen sind zulässig, Sie müssen jedoch die Stammdomäne explizit registrieren. Obwohl die folgenden URIs eine einzelne Stammdomäne verwenden, ist die folgende Kombination z. B. nicht zulässig:

"https://app1.contoso.com",
"https://app2.contoso.com",

Wenn entwicklerseitig die Stammdomäne jedoch explizit hinzugefügt wird, ist die Kombination zulässig:

"https://contoso.com",
"https://app1.contoso.com",
"https://app2.contoso.com",

Ausnahmen bei Einschränkungen

In den folgenden Fällen gilt die Beschränkung auf eine einzelne Stammdomäne nicht:

  • Apps mit einem einzelnen Mandanten oder Apps für Konten in einem einzelnen Verzeichnis
  • Verwendung von „localhost“ als Umleitungs-URIs
  • Umleitungs-URIs mit benutzerdefinierten Schemas (nicht HTTP oder HTTPS).

Programmgesteuertes Konfigurieren der Herausgeberdomäne

Derzeit können Sie weder eine REST-API noch PowerShell verwenden, um eine Herausgeberdomäne programmgesteuert festzulegen.

Nächste Schritte