Поделиться через

Управление именами личного домена в идентификаторе Microsoft Entra

  • Статья

Доменное имя является важной частью идентификатора ресурсов во многих развертываниях Microsoft Entra. Это часть имени пользователя или адреса электронной почты для пользователя, части адреса группы и иногда является частью URI идентификатора приложения для приложения. Ресурс в идентификаторе Microsoft Entra может включать доменное имя, принадлежащее организации Microsoft Entra (иногда называемый клиентом), которое содержит ресурс. Глобальные администраторы и администраторы доменных имен могут управлять доменами в идентификаторе Microsoft Entra.

Задание основного доменного имени для вашей организации Microsoft Entra

При создании организации исходное доменное имя, например "contoso.onmicrosoft.com", также является основным доменным именем. Основной домен задает доменное имя по умолчанию, применяемое для каждого создаваемого пользователя. При установке основного доменного имени упрощается процесс создания пользователей на портале для администратора. Чтобы изменить основное доменное имя, выполните следующее.

  1. Войдите в Центр администрирования Microsoft Entra в качестве глобального администратора.

  2. Выберите Microsoft Entra ID.

  3. Выберите Имена пользовательских доменов.

    Снимок экрана: открытие страницы управления пользователями.

  4. Выберите имя домена, который будет основным.

  5. Выберите команду Назначить основным. При появлении запроса подтвердите свой выбор.

    Снимок экрана: создание доменного имени основного.

Вы можете изменить основное доменное имя организации, чтобы оно было проверенным пользовательским доменом, который не является федеративным. Изменение основного домена для организации не изменяет имя пользователя для существующих пользователей.

Добавление имен личного домена в организацию Microsoft Entra

Можно добавить до 5000 имен управляемых доменов. Если вы настраиваете все домены для федерации с локальной службой Active Directory, вы можете добавить до 2500 доменных имен в каждой организации.

Добавление поддоменов для личного домена

Если вы хотите добавить в организацию имя поддомена, например europe.contoso.com, необходимо сначала добавить и проверить корневой домен, например contoso.com. Идентификатор Microsoft Entra автоматически проверяет поддомен. Чтобы убедиться, что добавленный поддомен проверен, обновите список доменов в браузере.

Если вы уже добавили домен contoso.com в одну организацию Microsoft Entra, вы также можете проверить поддомен europe.contoso.com в другой организации Microsoft Entra. При добавлении поддомена вам будет предложено добавить запись TXT в поставщике размещения сервера доменных имен (DNS).

Что делать, если вы изменили регистратор DNS для пользовательского доменного имени

При изменении регистраторов DNS другие задачи конфигурации в идентификаторе Microsoft Entra отсутствуют. Вы можете продолжать использовать доменное имя с идентификатором Microsoft Entra без прерывания. Если вы используете имя личного домена с Microsoft 365, Intune или другими службами, которые используют пользовательские доменные имена в идентификаторе Microsoft Entra ID, ознакомьтесь с документацией по этим службам.

Удаление имени личного домена

Личное доменное имя можно удалить из Microsoft Entra ID, если ваша организация не использует его или если это доменное имя нужно использовать с другой организацией Microsoft Entra.

Перед удалением личного доменного имени необходимо убедиться, что от этого имени не зависят никакие ресурсы в каталоге организации. Нельзя удалить доменное имя из организации, если:

  • Какой-либо пользователь имеет имя пользователя, электронный адрес или адрес прокси-сервера, которые включают это доменное имя.
  • Какая-либо группа имеет адрес электронной почты или адрес прокси-сервера, которые включают это доменное имя.
  • Любое приложение в идентификаторе Microsoft Entra имеет URI идентификатора приложения, который включает доменное имя.

Перед удалением имени личного домена необходимо изменить или удалить любой такой ресурс в организации Microsoft Entra.

Примечание.

Чтобы удалить личный домен, используйте учетную запись глобального администратора, основанную на домене по умолчанию (onmicrosoft.com) или другом личном домене (mydomainname.com).

Параметр ForceDelete

Вы можете ForceDelete доменное имя на портале Azure или использовать API Microsoft Graph. Эти параметры используют асинхронную операцию и обновляют все ссылки из имени личного домена, например "user@contoso.com" на начальное доменное имя по умолчанию, например "user@contoso.onmicrosoft.com".

Чтобы вызвать ForceDelete на портале Azure, необходимо убедиться, что имеется меньше 1000 ссылок на доменное имя, а также обновить или удалить все ссылки, где служба подготовки — Exchange, в Центре администрирования Exchange (EAC). Сюда входят группы безопасности Exchange с включенной поддержкой почты и распределенные списки. Дополнительные сведения см. в разделе Удаление групп безопасности с включенной почтой. Кроме того, операция ForceDelete не выполняется, если выполнено одно из следующих условий:

  • Вы приобрели домен через службы подписки домена Office 365
  • Вы являетесь партнером, управляющим от имени другой организации пользователя.

Следующие действия выполняются как часть операции ForceDelete:

  • Имя участника-пользователя (UPN), электронный адрес (EmailAddress) и адрес прокси-сервера (ProxyAddress) пользователей со ссылками на имя личного домена переименовываются на основе начального имени домена по умолчанию.
  • Электронный адрес (EmailAddress) групп со ссылками на имя личного домена переименовывается на основе начального имени домена по умолчанию.
  • Идентификаторы URI (identifierUris) приложений со ссылками на имя личного домена переименовываются на основе начального имени домена по умолчанию.
  • Отключает учетные записи пользователей, затронутые параметром ForceDelete в Центре администрирования Azure/Microsoft Entra, а также при необходимости при использовании API Graph.

Возвращается сообщение об ошибке, если:

  • Количество объектов, подлежащих переименованию, превышает 1000.
  • Одним из приложений, которые необходимо переименовать, является мультитенантное приложение

Рекомендации по гигиене домена

Используйте надежный регистратор, предоставляющий достаточное количество уведомлений об изменениях доменных имен, истечении срока регистрации, льготном периоде для доменов с истекшим сроком действия и обеспечивает высокий уровень безопасности для контроля доступа к конфигурации доменного имени и записям TXT. Сохраняйте свои доменные имена в актуальном состоянии с помощью регистратора и проверяйте записи TXT для точности.

  • Если вы намеренно истекаете срок действия доменного имени или передаете права владения другому пользователю (отдельно от клиента Microsoft Entra), перед истечением срока действия или передачей следует удалить его из клиента Microsoft Entra.
  • Если вы разрешаете срок действия доменного имени, если вы можете повторно активировать его или восстановить контроль над ним, внимательно просмотрите все записи TXT с регистратором, чтобы убедиться, что изменение имени домена не произошло.
  • Если вы не можете повторно активировать или восстановить управление доменным именем немедленно, удалите его из клиента Microsoft Entra. Не считывайте или повторно проверяйте, пока не сможете разрешить владение доменным именем и проверить полную запись TXT для правильности.

Примечание.

Корпорация Майкрософт не позволит проверить доменное имя с помощью нескольких клиентов Microsoft Entra. После удаления доменного имени из клиента вы не сможете повторно добавить или повторно проверить его с помощью клиента Microsoft Entra, если он будет добавлен и проверен другим клиентом Microsoft Entra.

Часто задаваемые вопросы

В. Удаление домена завершается ошибкой, указывающей, что у меня есть группы Exchange, которые были зарегистрированы в этом доменном имени. Почему?
Ответ. Сегодня некоторые группы, такие как группы безопасности с поддержкой почты и распределенные списки, подготавливаются Exchange и должны быть вручную удалены в Центре администрирования Exchange. Может потребоваться затяжка ProxyAddresses, которая зависит от имени личного домена и должна быть обновлена вручную на другое доменное имя.

В. Войдя с использованием учетной записи пользователя admin@contoso.com, я не могу удалить доменное имя contoso.com?
Ответ. Вы не можете ссылаться на имя личного домена, на который вы пытаетесь удалить имя учетной записи пользователя. Убедитесь, что учетная запись глобального администратора использует имя домена по умолчанию (.onmicrosoft.com), например admin@contoso.onmicrosoft.com. Войдите в систему с другой учетной записью глобального администратора, например admin@contoso.onmicrosoft.com, или другим именем личного домена, например fabrikam.com, где учетная запись — admin@fabrikam.com.

Вопрос. Я щелкнул кнопку "Удалить домен" и просмотреть In Progress состояние операции "Удалить". Сколько времени это занимает? Что произойдет, если операцию не удастся выполнить?
О. Операция удаления домена — это асинхронная фоновая задача, которая переименовывает все ссылки на доменное имя. Выполнение может занять до 24 часов. Если удаление домена не выполняется, убедитесь, что у вас нет:

  • приложений с настроенным доменным именем в appIdentifierURI;
  • любой группы с поддержкой почты, ссылающейся на имя личного домена;
  • более 1000 ссылок на доменное имя.
  • Домен, который необходимо удалить в качестве основного домена организации.

Кроме того, обратите внимание, что параметр ForceDelete не будет работать, если домен использует федеративный тип проверки подлинности. В этом случае пользователи или группы в домене должны быть переименованы или удалены с помощью локальная служба Active Directory перед повторной отменой удаления домена. Если вы обнаружите, что какие-либо условия не выполнены, вручную очистите ссылки и повторите попытку удалить домен.

Использование PowerShell или API Microsoft Graph для управления доменными именами

Большинство задач управления для доменных имен в идентификаторе Microsoft Entra также можно выполнить с помощью Microsoft PowerShell или программно с помощью API Microsoft Graph.

Следующие шаги