Configurer un domaine d’éditeur d’application

Le domaine d’éditeur d’une application informe les utilisateurs de l’emplacement où leurs informations sont envoyées. Le domaine de l’éditeur fait également office d’entrée ou de prérequis pour la vérification de l’éditeur. En fonction de la date d’enregistrement de l’application et de l’état de la vérification de l’éditeur, celle-ci sera affichée directement à l’utilisateur dans l’invite de consentement de l’application. Le domaine d’éditeur d’une application s’affiche aux utilisateurs (en fonction de l’état de vérification de l’éditeur) sur l’expérience utilisateur de consentement pour indiquer aux utilisateurs où leurs informations sont envoyées pour des fins de fiabilité.

Dans l’invite de consentement d’une application, le domaine de l’éditeur ou l’état de vérification de l’éditeur s’affiche. Les informations affichées varient selon que l’application est une application multilocataire ou non, et en fonction du moment où l’application a été inscrite et de l’état de vérification de l’éditeur de l’application.

Comprendre les applications mutualisées

Une application multilocataire est une application qui prend en charge les comptes d’utilisateur qui se trouvent en dehors d’un seul annuaire organisationnel. Par exemple, une application multilocataire peut prendre en charge tous les comptes professionnels et scolaires Microsoft Entra, ou les comptes professionnels et scolaires Microsoft Entra et les comptes Microsoft personnels.

Comprendre les valeurs de domaine d’éditeur par défaut

Plusieurs facteurs déterminent la valeur par défaut définie pour le domaine d’éditeur d’une application :

  • Si l’application est inscrite dans un locataire.
  • Si un locataire a des domaines vérifiés par le locataire.
  • La date d’inscription de l’application.

Inscription du locataire et domaines vérifiés par le locataire

Lorsque vous inscrivez une nouvelle application, le domaine d’éditeur de votre application peut être défini sur une valeur par défaut. La valeur par défaut dépend de l’emplacement où l’application est inscrite. La valeur du domaine d’éditeur dépend en particulier du fait que l’application soit ou non inscrite dans un locataire et du fait que ce locataire possède ou non des domaines vérifiés par le locataire.

Si l’application a des domaines vérifiés par le locataire, le domaine d’éditeur de l’application est défini par défaut sur le domaine vérifié principal du locataire. Si l’application n’a pas de domaines vérifiés par le locataire et que l’application n’est pas inscrite dans un locataire, le domaine d’éditeur par défaut de l’application est null.

Le tableau suivant utilise des exemples de scénarios pour décrire les valeurs par défaut pour le domaine d’éditeur :

Domaine vérifié par le locataire Valeur par défaut du domaine d’éditeur
null null
*.onmicrosoft.com *.onmicrosoft.com
- *.onmicrosoft.com
- domain1.com
- domain2.com (principal)
domain2.com

Date d’inscription de l’application

La date d’inscription d’une application détermine également les valeurs de domaine d’éditeur par défaut de l’application.

Si votre application multilocataire a été inscrite entre le 21 mai 2019 et le 30 novembre 2020 :

  • Si le domaine d’éditeur de l’application n’est pas défini ou s’il est défini sur un domaine qui se termine par .onmicrosoft.com, l’invite de consentement de l’application affiche non vérifié pour la valeur du domaine d’éditeur.
  • Si l’application a un domaine d’application vérifié, l’invite de consentement affiche le domaine vérifié.
  • Si l’application est vérifiée par l’éditeur, le domaine d’éditeur affiche un badge vérifié bleu qui indique l’état.

Si votre application multilocataire a été inscrite après le 30 novembre 2020 :

  • Si l’application n’est pas vérifiée par l’éditeur, l’invite de consentement de l’application affiche non vérifié. Aucune information liée au domaine d’éditeur n’apparaît.
  • Si l’application est vérifiée par l’éditeur, l’invite de consentement de l’application affiche un badge vérifié bleu.

Applications créées avant le 21 mai 2019

Si votre application a été inscrite avant le 21 mai 2019, l’invite de consentement de votre application affiche non vérifié, même si vous n’avez pas défini de domaine d’éditeur. Nous vous recommandons de définir la valeur de domaine d’éditeur pour que les utilisateurs puissent voir ces informations dans l’invite de consentement de votre application.

Définir un domaine d’éditeur dans le Centre d’administration Microsoft Entra

Conseil

Les étapes décrites dans cet article peuvent varier légèrement en fonction du portail de départ.

Pour définir un domaine d’éditeur pour votre application en utilisant le Centre d’administration Microsoft Entra :

  1. Connectez-vous au centre d’administration Microsoft Entra.

  2. Si vous avez accès à plusieurs locataires, utilisez l'icône Paramètres en haut à droite et sélectionnez le locataire sur lequel l'application est enregistrée dans le menu Annuaires + souscriptions.

  3. Dans le centre d’administration Microsoft Entra, accédez àIdentité>Applications>Inscriptions d’applications.

  4. Recherchez et sélectionnez l’application que vous souhaitez configurer.

  5. Dans Vue d’ensemble, dans le menu des ressources, sous Gérer, sélectionnez Personnalisation.

  6. Dans Domaine d’éditeur, sélectionnez l’une des options suivantes :

    • Si vous n’avez pas déjà configuré de domaine, sélectionnez Configurer un domaine.
    • Si vous avez configuré un domaine, sélectionnez Mettre à jour le domaine.
  7. Si votre application est inscrite dans un locataire, choisissez entre deux options :

    • Sélectionner un domaine vérifié
    • Vérifier un nouveau domaine

    Si votre domaine n’est pas inscrit dans le locataire, seule l’option de vérification d’un nouveau domaine pour votre application apparaît.

Vérifier un nouveau domaine pour votre application

Pour vérifier un nouveau domaine d’éditeur pour votre application :

  1. Créez un fichier nommé microsoft-identity-association.json. Copiez le code JSON suivant et collez-le dans le fichier microsoft-identity-association.json :

    {
       "associatedApplications": [
          {
             "applicationId": "<your-app-id>"
          },
          {
             "applicationId": "<another-app-id>"
          }
       ]
     }
    
  2. Remplacez <your-app-id> par l’ID (client) d’application de votre application. Utilisez tous les ID d’application pertinents si vous vérifiez un nouveau domaine pour plusieurs applications.

  3. Hébergez le fichier dans https://<your-domain>.com/.well-known/microsoft-identity-association.json. Remplacez <your-domain> par le nom du domaine vérifié.

  4. Sélectionnez Vérifier et enregistrer le domaine.

Vous n’êtes pas tenu de conserver les ressources utilisées pour la vérification une fois que vous avez vérifié un domaine. Au terme de la vérification, vous pouvez supprimer le fichier hébergé.

Sélectionner un domaine vérifié

Si votre locataire contient des domaines vérifiés, dans la liste déroulante Sélectionner un domaine vérifié, sélectionnez l’un des domaines.

Notes

Le contenu sera interprété en tant que JSON UTF-8 pour la désérialisation. Les en-têtes Content-Type pris en charge qui doivent être retournés sont application/json, application/json; charset=utf-8 ou . Si vous utilisez un autre en-tête, vous risquez de voir le message d’erreur suivant :

Verification of publisher domain failed. Error getting JSON file from https:///.well-known/microsoft-identity-association. The server returned an unexpected content type header value.

La configuration du domaine d’éditeur a un impact sur ce que les utilisateurs voient à l’invite de consentement de l’application. Pour plus d’informations sur les composants de l’invite de consentement, consultez Comprendre les expériences de consentement de l’application.

La figure suivante montre comment le domaine de l’éditeur apparaît dans les invites de consentement d’application pour les applications qui ont été créées avant le 21 mai 2019 :

Diagram that shows consent prompt behavior for apps created before May 21, 2019.

Pour les applications créées entre le 21 mai 2019 et le 30 novembre 2020, la façon dont le domaine d’éditeur apparaît dans l’invite de consentement d’une application dépend du domaine de l’éditeur et du type d’application. La figure suivante décrit ce qui s’affiche dans l’invite de consentement pour différentes combinaisons de configurations :

Diagram that shows consent prompt behavior for apps created between May 21, 2019, and November 30, 2020.

Pour les applications multilocataires créées après le 30 novembre 2020, seul l’état de vérification de l’éditeur est exposé dans l’invite de consentement d’une application. Le tableau suivant décrit ce qui s’affiche dans l’invite de consentement selon qu’une application est vérifiée ou non. L’invite de consentement pour les applications monolocataires reste la même.

Diagram that shows consent prompt results for apps that were created after November 30, 2020.

Domaine de l’éditeur et URI de redirection

Les applications qui connectent les utilisateurs à l’aide de n’importe quel compte professionnel ou scolaire ou à l’aide d’un compte Microsoft (multilocataire) sont soumises à quelques restrictions dans les URI de redirection.

Restriction de domaine racine unique

Lorsque la valeur de domaine d’éditeur pour une application multilocataire est définie sur null, l’application est limitée au partage d’un domaine racine unique pour les URI de redirection. Par exemple, la combinaison de valeurs suivante n’est pas autorisée, car le domaine racine contoso.com ne correspond pas au domaine racine fabrikam.com.

"https://contoso.com",  
"https://fabrikam.com",

Restrictions de sous-domaine

Les sous-domaines sont autorisés, mais vous devez inscrire explicitement le domaine racine. Par exemple, bien que les URI suivants partagent un domaine racine unique, la combinaison n’est pas autorisée :

"https://app1.contoso.com",
"https://app2.contoso.com",

Toutefois, si le développeur ajoute explicitement le domaine racine, la combinaison est autorisée :

"https://contoso.com",
"https://app1.contoso.com",
"https://app2.contoso.com",

Exceptions de restriction

Les cas suivants ne sont pas soumis à la restriction de domaine racine unique :

  • Applications à locataire unique ou applications ciblant des comptes dans un annuaire unique.
  • Utilisation de localhost comme URI de redirection.
  • URI de redirection avec des schémas personnalisés (non-HTTP ou HTTPS).

Configurer un domaine d’éditeur par programmation

Actuellement, vous ne pouvez pas utiliser l’API REST ni PowerShell pour définir par programmation un domaine d’éditeur.

Étapes suivantes