配置和管理自定义域
域名是多项 Microsoft Entra ID 资源的标识符的一部分:它是用户的用户名或电子邮件地址的一部分、组地址的一部分,有时也是应用程序的应用 ID URI 的一部分。 Microsoft Entra ID 中的资源可以包括包含该资源的组织所拥有的域名。 只有全局管理员可以在 Microsoft Entra ID 中管理域。
设置 Microsoft Entra 组织的主域名
创建组织后,初始域名(例如“contoso.onmicrosoft.com”)也是主域名。
重要
租户的创建者将自动成为该租户的全局管理员。 全局管理员可将其他管理员添加到租户中。
创建新用户时,主域名是新用户的默认域名。 设置主域名简化了管理员在门户中创建新用户的过程。 若要更改主域名,请执行以下操作:
使用组织全局管理员的帐户登录到 Azure 门户。
选择“Microsoft Entra ID”。
选择“自定义域名”。
选择你希望设为主域的域名。
选择“设置主域”命令。 出现提示时确认所做的选择。
可以将组织的主域名更改为任何未联合的已验证自定义域。 更改组织的主域不会更改任何现有用户的用户名。
将自定义域名添加到 Microsoft Entra 组织
最多可以添加 900 个托管域名。 若要配置所有域以便与本地 Active Directory 联合,最多可在每个组织中添加 450 个域名。
添加自定义域的子域
如果想要将子域名(如“europe.contoso.com”)添加到组织,则应首先添加并验证根域,例如 contoso.com。 子域由 Microsoft Entra ID 自动验证。 若要查看已验证的添加的子域,请在浏览器中刷新域列表。
如果已将 contoso.com 域添加到某个 Microsoft Entra 组织,则还可以在另一个 Microsoft Entra 组织中验证子域 europe.contoso.com。 添加子域时,系统将提示你在 DNS 宿主提供程序中添加 TXT 记录。
更改自定义域名的 DNS 注册机构会发生什么情况
如果更改 DNS 注册机构,不需要在 Microsoft Entra ID 中执行额外的配置任务。 可以继续对 Microsoft Entra ID 使用该域名,而不会遇到中断。 如果在 Microsoft 365、Intune 或其他依赖于 Microsoft Entra ID 中的自定义域名的服务中使用自定义域名,请参阅这些服务的文档。
删除自定义域名
如果组织不再使用某个自定义域名,或者你需要在另一个 Microsoft Entra ID 中使用该自定义域名,则可以从 Microsoft Entra ID 中删除该域名。
要删除自定义域名,则必须先确保组织中没有任何资源依赖域名。 在以下情况下,无法从组织删除域名:
- 任何用户都有包含域名的用户名、电子邮件地址或代理地址。
- 任何组都有包含域名的电子邮件地址或代理地址。
- Microsoft Entra ID 中的任何应用程序都具有包含域名的应用 ID URI。
必须更改或删除 Microsoft Entra 组织中的任何此类资源,才能删除自定义域名。
ForceDelete 选项
可以在 Microsoft Entra 管理中心或通过 Microsoft Graph API,使用 ForceDelete 来删除域名。 这些选项使用异步操作,并将自定义域名(例如“user@contoso.com”)中的所有引用更新为类似于“user@contoso.onmicrosoft.com”的初始默认域名称。
若要在 Azure 门户中调用 ForceDelete,必须确保对该域名的引用少于 1000 个,并且必须在 Exchange 管理中心更新或删除预配服务是 Exchange 的所有引用。 包括启用 Exchange 邮件的安全组和分布式列表。 此外,如果存在以下任一情况,则 ForceDelete 操作不会成功:
- 通过 Microsoft 365 域订阅服务购买了域
- 你是代表另一客户组织的合作伙伴管理员
在执行 ForceDelete 操作过程中,将执行以下操作:
- 将引用了自定义域名的用户的 UPN、EmailAddress 和 ProxyAddress 重命名为初始默认域名。
- 将引用了自定义域名的组的 EmailAddress 重命名为初始默认域名。
- 将引用了自定义域名的应用程序的 identifierUris 重命名为初始默认域名。
出现以下情况时会返回错误:
- 要重命名的对象数大于 1000
- 要重命名的某个应用程序是多租户应用