在租户迁移时验证AAD多租户应用的发布者域

Question

我们正在将现有的应用程序注册从公司租户（foo-corporate.com）移至新的专用租户（bar-app.com）。

移动应用注册的过程需要在bar-app.com租户中创建一个新的应用注册。

根据this文章，我们需要在新的专用租户（bar-app.com）中验证发布者域（foo-corporate.com）。

这是必要的，因为否则，用户会在同意屏幕（请参见屏幕截图上的＃5）而不是发布者（foo-corporate）上看到未验证作为发布者。

验证发布者的过程涉及在https://foo-corporate.com/.well-known/上托管microsoft-identity-association.json，以验证发布者。

问题

• 还有另一种方法来验证发布者foo-corporate.com是否在bar-app.com租户中进行新的应用程序注册吗？我们是一家大型企业，我们的开发团队无权访问foo-corporate.com（公共网站）的托管，因此我们无法在其中放置json文件。我认为大多数大型企业都是这种情况。
• 在没有其他选择的情况下，我们是否需要永久托管此文件，还是只需要进行首次验证并随后将其删除？

更新1

问题是关于发布者域验证和不是 custom domain verification，是对此假设的第一个答案。

示例同意屏幕

Answer 1

您可以通过添加自定义域来在Azure AD中验证您的域。您可以使用任何方法here进行验证，包括创建DNS记录或在站点上放置文件。仅在验证域时才需要该文件。状态显示为已验证后，可以将其删除。

Azure门户-> Azure AD->自定义域：

在this页上：

  

新应用

     

注册新应用时，您应用的发布者域可能是   设置为默认值。该值取决于应用程序的位置   已注册，尤其是该应用是否已在租户中注册，以及   租户是否具有经租户验证的域。

     

如果有经过租户验证的域，则该应用的发布者域将   默认为租户的主要验证域。如果没有   租户验证的域（当应用程序不是   在租户中注册），该应用的发布者域将设置为   空。

添加经过租户验证的域将为您提供更多验证选项。验证可确保不可否认性，这对于Microsoft向最终用户显示应用程序的发布者至关重要。

没有在域的网站上放置文件（我没有网站），这些是可供我使用的选项：

第一个是我通过DNS验证的域，第二个是onmicrosoft.com默认域。但是，使用onmicrosoft域是不够的，因为它是一个可用域，而不是已验证域。