Устранение неполадок с проверкой издателя

Если вы не можете завершить процесс, увидеть сообщения об ошибках или сталкиваетесь с непредвиденным поведением при проверке издателя, выполните следующие шаги для устранения проблемы:

1. Просмотрите требования и убедитесь, что они выполнены.
2. Просмотрите инструкции, чтобы пометить приложение как проверенное издателем и убедиться, что все шаги выполнены успешно.
3. Просмотрите список распространенных проблем.
4. Воспроизводите этот запрос с помощью Graph Explorer, чтобы получить дополнительные сведения и устранить любые проблемы в пользовательском интерфейсе.

Распространенные проблемы

Ниже приведены некоторые распространенные проблемы, которые могут возникнуть во время проверки издателя:

• Я не знаю идентификатор программы Cloud Partner (Идентификатор партнера One) или я не знаю, кто основное контактное лицо по учетной записи.

  1. Перейдите на страницу регистрации Cloud Partner Program.
  2. Войдите с помощью учетной записи пользователя в основном клиенте Microsoft Entra организации.
  3. Если учетная запись Cloud Partner Program уже существует, эта учетная запись распознается и добавляется в учетную запись.
  4. Перейдите на страницу профиля партнера , где перечислены идентификатор партнера и контакт основной учетной записи.

• Я не знаю, кто мой глобальный администратор Microsoft Entra (также известный как администратор компании или администратор клиента), как найти их? Как насчет администратора приложений или администратора облачных приложений?

  1. Войдите в Центр администрирования Microsoft Entra как минимум администратор облачных приложений.
  2. Перейдите к Entra ID>ролям и администраторам.
  3. Выберите нужную роль администратора.
  4. Отображается список пользователей, назначенных этой роли.

• Я не знаю, кто администраторы для моей учетной записи CPP Перейдите на страницу управления пользователями CPP и отфильтруйте список пользователей, чтобы узнать, какие пользователи находятся в различных ролях администратора.

• Я получаю ошибку с сообщением о том, что мой идентификатор партнера one является недопустимым или что у меня нет доступа к нему. Следуйте инструкциям по исправлению.

• При входе в Центр администрирования Microsoft Entra я не вижу зарегистрированных приложений. Почему? Регистрация приложений могла быть создана с использованием другой учетной записи пользователя в этом клиенте, или личной/потребительской учетной записи, или учетной записи в другом клиенте. Убедитесь, что вы вошли с использованием правильной учетной записи в клиент, в котором были созданы регистрации приложений.

• Я получаю сообщение об ошибке, связанное с многофакторной проверкой подлинности. Что делать? Убедитесь, что для пользователя, с которым вы входите, и для этого сценария включена и требуется многофакторная аутентификация. Например, MFA может:

  • Всегда требуется для пользователя, с которым вы входите.
  • Требуется для управления Azure.
  • Требуется для того типа администратора, под которым вы входите в систему.

Выполнение вызовов API Microsoft Graph

Если вы столкнулись с проблемой, но не можете понять, что вы видите в пользовательском интерфейсе, может быть полезно выполнить устранение неполадок с помощью вызовов Microsoft Graph, чтобы выполнить те же операции, которые можно выполнить на портале регистрации приложений.

Самый простой способ сделать эти запросы — использовать обозреватель Graph. Вы также можете рассмотреть другие параметры, такие как PowerShell, чтобы вызвать веб-запрос.

Вы можете использовать Microsoft Graph, чтобы установить и отменить проверенного издателя приложения и проверить результат после выполнения одной из этих операций. Результат можно увидеть как в объекте приложения, соответствующем регистрации приложения , так и на всех субъектах-службах, созданных из этого приложения. Дополнительные сведения о связи между этими объектами см. в разделе "Объекты приложения и субъекта служебной роли в Microsoft Entra ID".

Ниже приведены примеры некоторых полезных запросов.

Указание проверенного издателя

Запросить

POST /applications/00001111-aaaa-2222-bbbb-3333cccc4444/setVerifiedPublisher 

{ 

    "verifiedPublisherId": "12345678" 

} 

Отклик

204 No Content 

Удаление проверенного издателя

Запрос:

POST /applications/00001111-aaaa-2222-bbbb-3333cccc4444/unsetVerifiedPublisher 

Отклик

204 No Content 

Получение сведений о проверенном издателе из приложения

GET https://graph.microsoft.com/v1.0/applications/00001111-aaaa-2222-bbbb-3333cccc4444 

HTTP/1.1 200 OK 

{ 
    "id": "00001111-aaaa-2222-bbbb-3333cccc4444", 

    ... 

    "verifiedPublisher" : { 
        "displayName": "myexamplePublisher", 
        "verifiedPublisherId": "12345678", 
        "addedDateTime": "2019-12-10T00:00:00" 
    } 
} 

Получение сведений о проверенном издателе из субъекта-службы

GET https://graph.microsoft.com/v1.0/servicePrincipals/11112222-bbbb-3333-cccc-4444dddd5555

HTTP/1.1 200 OK 

{ 
    "id": "11112222-bbbb-3333-cccc-4444dddd5555", 

    ... 

    "verifiedPublisher" : { 
        "displayName": "myexamplePublisher", 
        "verifiedPublisherId": "12345678", 
        "addedDateTime": "2019-12-10T00:00:00" 
    } 
} 

Справочник по ошибкам

В приведенном ниже списке показаны возможные коды ошибок, которые могут возникнуть при устранении неполадок с помощью Microsoft Graph или прохождении процесса на портале регистрации приложений.

Учетная запись MPN не найдена или доступ отсутствует

Предоставленный вами идентификатор партнера (MPNID) не существует или у вас нет доступа к нему. Укажите допустимый идентификатор партнера One и повторите попытку.

Чаще всего пользователь, вошедшего в систему, не является членом соответствующей роли для учетной записи CPP в Центре партнеров. Ознакомьтесь с требованиями к списку соответствующих ролей и ознакомьтесь с общими проблемами для получения дополнительных сведений. Эта ошибка также может быть вызвана клиентом (где приложение зарегистрировано в) не добавляется в учетную запись CPP или недопустимый идентификатор партнера One.

Действия по исправлению

1. Перейдите в профиль партнера и убедитесь, что:

   • Правильный идентификатор партнера One.
   • Ошибки или "ожидающие действия" не отображаются, а состояние проверки в разделе юридического бизнес-профиля и сведений о партнере имеют значения "авторизирован" или "успешно".

2. Перейдите на страницу управления клиентами CPP и убедитесь, что клиент, в который зарегистрировано приложение, и что вы подписываетесь с учетной записью пользователя, находится в списке связанных клиентов. Чтобы добавить еще одного арендатора, следуйте инструкциям по настройке множественной учетной записи. Все глобальные администраторы любого добавляемого клиента предоставляют права глобального администратора в учетной записи Центра партнеров.

3. Перейдите на страницу управления пользователями CPP и подтвердите, что пользователь входит в систему как глобальный администратор, администратор MPN или администратор учетных записей. Чтобы добавить пользователя в роль в Центре партнеров, следуйте инструкциям по созданию учетных записей пользователей и настройке разрешений.

MPNGlobalАккаунтНеНайден

Предоставленный вами идентификатор партнера (MPNID) недействителен. Укажите допустимый идентификатор партнера One и повторите попытку.

Чаще всего вызывается при предоставлении идентификатора партнера one, соответствующего учетной записи расположения партнера (PLA). Поддерживаются только глобальные учетные записи партнеров. Дополнительные сведения см. в структуре учетной записи Центра партнеров .

Действия по исправлению

1. Перейдите в ваш профиль партнера> и откройте блейд идентификаторов> на вкладке Microsoft Cloud Partners Program.
2. Используйте идентификатор партнера с типом PartnerGlobal.

СчетMPNНедействителен

Предоставленный вами идентификатор партнера (MPNID) недействителен. Укажите допустимый идентификатор партнера One и повторите попытку.

Чаще всего это вызвано неправильным идентификатором партнера One.

Действия по исправлению

1. Перейдите в разделе профиля партнера> на секцию "Идентификаторы"> вкладки Программы Microsoft Cloud Partners.
2. Используйте идентификатор партнера с типом PartnerGlobal.

Аккаунт MPN не проверен

Предоставленный идентификатор партнера (MPNID) не завершил процесс проверки. Завершите этот процесс в Центре партнеров и повторите попытку.

Чаще всего это вызвано тем, что учетная запись CPP не завершила процесс проверки .

Действия по исправлению

1. Перейдите к профилею партнера и убедитесь, что отсутствуют ошибки или ожидающие действия , и что состояние проверки в разделе "Юридический бизнес-профиль" и сведения о партнере говорят авторизовано или успешно.
2. Если нет, просмотрите ожидающие элементы действия в Центре партнеров и устраните ее здесь.

Нет идентификатора издателя на связанном аккаунте MPN

Предоставленный вами идентификатор партнера (MPNID) недействителен. Укажите допустимый идентификатор партнера One и повторите попытку.

Чаще всего это вызвано неправильным идентификатором партнера One.

Действия по исправлению

1. Перейдите на вкладку "Идентификаторы профиля партнера" в программе Microsoft Cloud Partners.
2. Используйте идентификатор партнера с типом PartnerGlobal.

Идентификатор MPN не совпадает с связанным аккаунтом MPN

Предоставленный вами идентификатор партнера (MPNID) недействителен. Укажите допустимый идентификатор партнера One и повторите попытку.

Чаще всего это вызвано неправильным идентификатором партнера One.

Действия по исправлению

1. Перейдите навкладку> "Идентификаторы профиля> партнера" Microsoft Cloud Partner Program Tab.
2. Используйте идентификатор партнера с типом PartnerGlobal.

ПриложениеНеНайдено

Целевое приложение (AppId) не удается найти. Укажите допустимый идентификатор приложения и повторите попытку.

Чаще всего возникает при выполнении проверки с помощью API Graph, когда предоставлен неправильный идентификатор приложения.

Действия по исправлению

1. Идентификатор объекта приложения должен быть предоставлен, а не AppId/ClientId. См. идентификатор в списке свойств приложения.
2. Войдите в Центр администрирования Microsoft Entra как минимум администратор облачных приложений.
3. Перейдите к Entra ID>Регистрации приложений.
4. Найдите регистрацию приложения для просмотра идентификатора объекта.

ОбъектПриложенияНедействителен

Недопустимый идентификатор объекта целевого приложения. Укажите допустимый идентификатор и повторите попытку.

Чаще всего вызывается при выполнении проверки с помощью API Graph, а идентификатор предоставленного приложения не существует.

Действия по исправлению

1. Идентификатор объекта приложения должен быть предоставлен, а не AppId/ClientId. См. идентификатор в списке свойств приложения.
2. Войдите в Центр администрирования Microsoft Entra как минимум администратор облачных приложений.
3. Перейдите к Entra IDрегистрации приложений.
4. Найдите регистрацию приложения для просмотра идентификатора объекта.

B2CТенантНеРазрешен

Эта функция не поддерживается в клиенте Azure AD B2C.

Арендатор с проверенной электронной почтой не разрешен

Эта функция не поддерживается в клиенте, проверенном по электронной почте.

ОтсутствуетДоменИздателяВПриложении

В целевом приложении (AppId) должен быть задан домен издателя. Укажите домен издателя и повторите попытку.

Происходит, когда домен издателя не настроен в приложении.

Действия по исправлению Следуйте указаниям , чтобы задать домен издателя.

НесоответствиеДоменовИздателя

Домен издателя целевого приложения (publisherDomain) либо не соответствует домену, используемому для проверки электронной почты в Центре партнеров () илиpcDomain не проверен. Убедитесь, что эти домены соответствуют и были проверены, а затем повторите попытку.

Происходит, если ни домен издателя приложения, ни один из пользовательских доменов , добавленных в клиент Microsoft Entra, не соответствует домену, используемому для проверки электронной почты в Центре партнеров или не проверен.

См. требования для списка разрешенных совпадений доменов или поддоменов.

Действия по исправлению

1. Перейдите в профиль партнера и просмотрите электронную почту, указанную как основной контакт
2. Домен, используемый для проверки электронной почты в Центре партнеров, является частью после "@" в сообщении электронной почты основного контакта
3. Войдите в Центр администрирования Microsoft Entra как минимум администратор облачных приложений.
4. Перейдите к Entra ID>Регистрация приложений>Фирменный стиль и свойства.
5. Выберите "Обновить домен издателя" и следуйте инструкциям по проверке нового домена.
6. Добавьте домен, используемый для проверки электронной почты в Центре партнеров в качестве нового домена.

Нет прав для проверки издателя

Вы не авторизованы для задания проверенного свойства издателя в приложении (<AppId).

Чаще всего это вызвано тем, что пользователь, выполнивший вход, не является членом соответствующей роли для учетной записи CPP в Microsoft Entra ID, см. требования для списка подходящих ролей и см. общие проблемы для получения дополнительной информации.

Действия по исправлению

1. Войдите в Центр администрирования Microsoft Entra как минимум администратор облачных приложений.
2. Перейдите к Entra ID>Роли и администраторы.
3. Выберите нужную роль администратора и выберите "Добавить назначение ", если у вас есть достаточные разрешения.
4. Если у вас недостаточно разрешений, обратитесь к роли администратора за помощью.

Идентификатор MPN не предоставлен

Идентификатор Партнера One не был указан в тексте запроса или тип контента запроса не был "application/json".

Чаще всего вызывается при выполнении проверки с помощью API Graph, а идентификатор партнера One не указан в запросе.

Действия по исправлению

1. Перейдите в профиль партнера>, затем во вкладку Идентификаторы>, а потом в раздел Программа партнеров Microsoft Cloud.
2. Используйте идентификатор партнера с типом PartnerGlobal в запросе.

MSANotSupported

Эта функция не поддерживается для учетных записей потребителей Майкрософт. Поддерживаются только приложения, зарегистрированные в идентификаторе Microsoft Entra.

Происходит, когда учетная запись потребителя используется для регистрации приложений (Hotmail, Messenger, OneDrive, MSN, Xbox Live или Microsoft 365).

Требуется взаимодействие

Происходит, когда многофакторная проверка подлинности (MFA) не была включена и выполнена перед попыткой добавить проверенного издателя в приложение. Дополнительные сведения см. в разделе распространенных проблем . Примечание. MFA должна выполняться в том же сеансе, в котором предпринимается попытка добавления проверенного издателя. Если многофакторная проверка подлинности включена, но не требуется выполняться в сеансе, запрос завершается ошибкой.

Отображается сообщение об ошибке: "Из-за изменения конфигурации, сделанного администратором, или из-за того, что вы переехали в новое расположение, необходимо использовать многофакторную проверку подлинности для продолжения".

Действия по исправлению

1. Убедитесь, что включена многофакторная проверка подлинности и требуется для пользователя, с которым вы заходите, и для этого сценария.
2. Проверка повтора издателя

Пользователь не может добавить издателя

Ошибка: "Вы не можете добавить проверенного издателя в это приложение. "Для этого обратитесь к администратору базы данных".

Когда выполняется запрос на добавление проверенного издателя, для оценки рисков безопасности используется много сигналов. Если состояние риска пользователя определено как AtRisk, возвращается указанная выше ошибка. Изучите риск пользователя и выполните соответствующие действия по исправлению риска (приведенные ниже рекомендации).

Действия по исправлению

Исследование риска

Устранение рисков и разблокировки пользователей

Руководство по самостоятельному исправлению

Самостоятельный сброс пароля (SSPR): если организация разрешает SSPR, используйте aka.ms/sspr для сброса пароля для исправления. Выберите надежный пароль; Выбор слабого пароля может не сбрасывать состояние риска.

Не удается добавить издателя

Ошибка: "Проверяемый издатель не может быть добавлен в это приложение. Обратитесь за помощью к своему администратору."

Когда выполняется запрос на добавление проверенного издателя, для оценки рисков безопасности используется много сигналов. Если запрос определяется рискованным, возвращается указанная выше ошибка. По соображениям безопасности Майкрософт не раскрывает конкретные критерии, используемые для определения того, является ли запрос рискованным.

Действия по исправлению

Если вы считаете, что оценка рискованно неправильная, попробуйте повторно отправить запрос проверки на следующий день. Для обновления состояния риска может потребоваться некоторое время.

Следующие шаги

Если вы изучили все предыдущие сведения и по-прежнему получаете ошибку от Microsoft Graph, соберите как можно больше из следующих сведений, связанных с неудачным запросом, и обратитесь в службу поддержки Майкрософт.

• Метка времени
• CorrelationId
• ObjectID или UserPrincipalName пользователя, выполнившего вход;
• ObjectId целевого приложения;
• AppId целевого приложения;
• TenantId, где зарегистрировано приложение;
• Идентификатор партнера One
• выполненный запрос REST;
• возвращаемый код ошибки и сообщение.