快速 Microsoft Entra 验证 ID 设置
快速验证 ID 设置免除了管理员需要完成的多个配置步骤,只需单击 Get started 按钮即可。 快速设置用于签名密钥、注册分散式 ID 以及确认域所有权。 它还会为你创建验证工作区凭据。
本教程介绍如何使用快速设置将 Microsoft Entra 租户配置为使用可验证凭据服务。
具体来说,你将学习如何:
- 使用快速设置配置验证 ID 服务。
- 控制 MyAccount 中验证工作区凭据的颁发方式
先决条件
- 请确保对要配置的目录具有全局管理员或身份验证策略管理员权限。 如果不是全局管理员,则需要具有应用程序管理员权限才能完成应用注册,包括授予管理员同意。
- 确保已为 Microsoft Entra 租户注册自定义域。 如果未注册,该设置将默认为高级设置体验。
注意
EDU Entra 租户目前不支持快速安装方法。
快速验证 ID 设置的工作方式
- 由 Microsoft 管理的共享签名密钥用于给定区域中的多个租户。 不再需要部署 Azure Key Vault。
- 对于颁发和验证,限制为每个租户 2 个 RPS。
- 由于它是共享密钥,因此颁发的凭据的有效性间隔限制为最长 6 个月。
- 为 Microsoft Entra 租户注册的自定义域用于域验证。 不再需要上传 DID 配置 JSON 来验证域。 如果没有为租户注册自定义域,则无法使用快速设置方法设置已验证 ID。
- 如果已自定义租户的品牌,则 VerifiedEmployee 默认凭据将从该处选取徽标和背景色。 如果你未设置值或偏好使用其他值,可以在设置完成后进行编辑。
- 分散式标识符 (DID) 获取一个类似于
did:web:verifiedid.entra.microsoft.com:tenantid:authority-id的名称,可以遵循 did:web 规范发现 DID 文档。
注意
如果快速设置的工作方式不符合你的要求,请使用高级设置。
设置验证 ID
如果已为 Microsoft Entra 租户注册自定义域,则会看到此 Get started 选项。 如果未注册自定义域,请在设置验证 ID 之前注册自定义域,或者继续使用高级设置。
若要设置验证 ID,请执行以下步骤:
以全局管理员身份登录到 Microsoft Entra 管理中心。
选择“验证 ID”。
从左侧菜单中选择“设置”。
单击“入门”按钮。
如果为 Microsoft Entra 租户注册了多个域,请选择要用于验证 ID 的域。
设置过程完成后,可在租户员工的 MyAccount 页面上看到可供租户员工编辑和提供的默认工作区凭据。
现在可使用 MyAccount 来简化工作区凭据的分发
现在可通过 myaccount.microsoft.com 颁发验证工作区凭据。 用户可使用其 Microsoft Entra 凭据登录 myaccount,并通过 Get my Verified ID 选项向自己颁发验证工作区凭据。
管理员可以在 MyAccount 中删除该选项,并创建自定义应用程序来颁发验证工作区凭据。 还可以选择允许从 MyAccount 颁发凭据的特定用户组。
注意
对通过“我的帐户”颁发凭据进行配置更改后,更改生效可能会延迟几分钟。
在 Microsoft Entra ID 中注册应用程序
如果计划使用自定义凭据或设置自己的应用程序来颁发或验证验证 ID,则需要注册应用程序并为其授予相应的权限。 按照高级设置中的此部分注册应用程序