Aangepaste domeinnamen beheren in uw Microsoft Entra-id
Een domeinnaam is een belangrijk onderdeel van de id voor resources in veel Microsoft Entra-implementaties. Het maakt deel uit van een gebruikersnaam of e-mailadres voor een gebruiker, een deel van het adres voor een groep en maakt soms deel uit van de app-id-URI voor een toepassing. Een resource in Microsoft Entra-id kan een domeinnaam bevatten die eigendom is van de Microsoft Entra-organisatie (ook wel een tenant genoemd) die de resource bevat. Globale Beheer beheerders en domeinnaambeheerders kunnen domeinen beheren in Microsoft Entra-id.
De primaire domeinnaam instellen voor uw Microsoft Entra-organisatie
Tip
Stappen in dit artikel kunnen enigszins variëren op basis van de portal waaruit u begint.
Wanneer uw organisatie wordt gemaakt, is de initiële domeinnaam, zoals 'contoso.onmicrosoft.com', ook de primaire domeinnaam. Het primaire domein is de standaarddomeinnaam voor een nieuwe gebruiker wanneer u een nieuwe gebruiker maakt. Als u een primaire domeinnaam instelt, wordt het proces voor een beheerder gestroomlijnd om nieuwe gebruikers te maken in de portal. De primaire domeinnaam wijzigen:
Meld u aan bij het Microsoft Entra-beheercentrum als ten minste een Globale Beheer istrator.
Selecteer Microsoft Entra ID.
Selecteer Namen van aangepaste domeinen.
Selecteer de naam van het domein dat u het primaire domein wilt zijn.
Selecteer de primaire opdracht Maken. Bevestig uw keuze wanneer u hierom wordt gevraagd.
U kunt de primaire domeinnaam voor uw organisatie wijzigen in een geverifieerd aangepast domein dat niet is gefedereerd. Als u het primaire domein voor uw organisatie wijzigt, wordt de gebruikersnaam voor bestaande gebruikers niet gewijzigd.
Aangepaste domeinnamen toevoegen aan uw Microsoft Entra-organisatie
U kunt maximaal 5000 beheerde domeinnamen toevoegen. Als u al uw domeinen configureert voor federatie met on-premises Active Directory, kunt u maximaal 2500 domeinnamen toevoegen in elke organisatie.
Subdomeinen van een aangepast domein toevoegen
Als u een subdomeinnaam zoals 'europe.contoso.com' wilt toevoegen aan uw organisatie, moet u eerst het hoofddomein toevoegen en verifiëren, zoals contoso.com. Het subdomein wordt automatisch geverifieerd door Microsoft Entra-id. Als u wilt zien dat het subdomein dat u hebt toegevoegd, is geverifieerd, vernieuwt u de domeinlijst in de browser.
Als u al een contoso.com-domein hebt toegevoegd aan één Microsoft Entra-organisatie, kunt u ook het subdomein controleren europe.contoso.com in een andere Microsoft Entra-organisatie. Wanneer u het subdomein toevoegt, wordt u gevraagd een TXT-record toe te voegen aan de DNS-hostingprovider.
Wat u moet doen als u de DNS-registrar voor uw aangepaste domeinnaam wijzigt
Als u de DNS-registrars wijzigt, zijn er geen andere configuratietaken in Microsoft Entra-id. U kunt de domeinnaam zonder onderbreking blijven gebruiken met Microsoft Entra-id. Als u uw aangepaste domeinnaam gebruikt met Microsoft 365, Intune of andere services die afhankelijk zijn van aangepaste domeinnamen in Microsoft Entra ID, raadpleegt u de documentatie voor deze services.
Een aangepaste domeinnaam verwijderen
U kunt een aangepaste domeinnaam verwijderen uit het Microsoft Entra ID als uw organisatie die domeinnaam niet meer gebruikt of als u die domeinnaam moet gebruiken met een andere Microsoft Entra-organisatie.
Als u een aangepaste domeinnaam wilt verwijderen, moet u er eerst voor zorgen dat er geen resources in uw organisatie afhankelijk zijn van de domeinnaam. U kunt een domeinnaam niet verwijderen uit uw organisatie als:
- Elke gebruiker heeft een gebruikersnaam, e-mailadres of proxyadres dat de domeinnaam bevat.
- Elke groep heeft een e-mailadres of proxyadres dat de domeinnaam bevat.
- Elke toepassing in uw Microsoft Entra-id heeft een app-id-URI die de domeinnaam bevat.
U moet een dergelijke resource in uw Microsoft Entra-organisatie wijzigen of verwijderen voordat u de aangepaste domeinnaam kunt verwijderen.
Notitie
Als u het aangepaste domein wilt verwijderen, gebruikt u een Global Beheer istrator-account dat is gebaseerd op het standaarddomein (onmicrosoft.com) of een ander aangepast domein (mydomainname.com).
Optie ForceDelete
U kunt een domeinnaam forceren in Azure Portal of met behulp van Microsoft Graph API. Deze opties gebruiken een asynchrone bewerking en werken alle verwijzingen van de aangepaste domeinnaam, zoals 'user@contoso.com', bij naar de initiële standaarddomeinnaam, zoals '.user@contoso.onmicrosoft.com'
Als u ForceDelete wilt aanroepen in Azure Portal, moet u ervoor zorgen dat er minder dan 1000 verwijzingen naar de domeinnaam zijn en eventuele verwijzingen waarin Exchange de inrichtingsservice is, moeten worden bijgewerkt of verwijderd in het Exchange Beheer Center. Dit omvat exchange-beveiligingsgroepen en gedistribueerde lijsten. Zie Beveiligingsgroepen met e-mail verwijderen voor meer informatie. De forceDelete-bewerking slaagt ook niet als een van de volgende beweringen waar is:
- U hebt een domein aangeschaft via abonnementsservices voor Microsoft 365-domeinen
- U bent een partner die namens een andere klantorganisatie wordt beheerd
De volgende acties worden uitgevoerd als onderdeel van de forceDelete-bewerking :
- Wijzigt de naam van de UPN, EmailAddress en ProxyAddress van gebruikers met verwijzingen naar de aangepaste domeinnaam naar de oorspronkelijke standaarddomeinnaam.
- Wijzigt de naam van het EmailAddress van groepen met verwijzingen naar de aangepaste domeinnaam in de oorspronkelijke standaarddomeinnaam.
- Wijzigt de idUri's van toepassingen met verwijzingen naar de aangepaste domeinnaam in de oorspronkelijke standaarddomeinnaam.
- Hiermee worden gebruikersaccounts uitgeschakeld die worden beïnvloed door de optie ForceDelete in het Azure/Microsoft Entra-beheercentrum en optioneel bij het gebruik van de Graph API.
Er wordt een fout geretourneerd wanneer:
- Het aantal objecten waarvan de naam moet worden gewijzigd, is groter dan 1000
- Een van de toepassingen waarvan de naam moet worden gewijzigd, is een multitenant-app
Best practices voor domein hygiëne
Gebruik een betrouwbare registrar die voldoende meldingen biedt voor domeinnaamwijzigingen, het verlopen van de registratie, een respijtperiode voor verlopen domeinen en onderhoudt hoge beveiligingsstandaarden voor het beheren van wie toegang heeft tot uw domeinnaamconfiguratie en TXT-records. Houd uw domeinnamen actueel bij uw registrar en controleer de TXT-records op nauwkeurigheid.
- Als u uw domeinnaam doelbewust verloopt of het eigendom overdraagt aan iemand anders (afzonderlijk van uw Microsoft Entra-tenant), moet u deze verwijderen uit uw Microsoft Entra-tenant voordat u verloopt of overdraagt.
- Als u uw domeinnaam wel toestaat te verlopen, als u deze opnieuw kunt activeren/de controle ervan kunt herstellen, controleert u zorgvuldig alle TXT-records bij de registrar om ervoor te zorgen dat er geen manipulatie van uw domeinnaam heeft plaatsgevonden.
- Als u uw domeinnaam niet onmiddellijk opnieuw kunt activeren of opnieuw kunt beheren, moet u deze verwijderen uit uw Microsoft Entra-tenant. Lees/verifieer het niet totdat u het eigendom van de domeinnaam kunt oplossen en controleer de volledige TXT-record op juistheid.
Notitie
Microsoft staat niet toe dat een domeinnaam wordt geverifieerd met meer dan één Microsoft Entra-tenant. Nadat u een domeinnaam uit uw tenant hebt verwijderd, kunt u deze niet opnieuw toevoegen of opnieuw verifiëren met uw Microsoft Entra-tenant als deze vervolgens wordt toegevoegd en geverifieerd met een andere Microsoft Entra-tenant.
Veelgestelde vragen
V: Waarom mislukt het verwijderen van het domein met een fout die aangeeft dat ik exchange-mastergroepen heb voor deze domeinnaam?
A: Tegenwoordig worden bepaalde groepen zoals Beveiligingsgroepen met e-mail en gedistribueerde lijsten ingericht door Exchange en moeten ze handmatig worden opgeschoond in Exchange Beheer Center (EAC). Er zijn mogelijk lingering ProxyAddresses, die afhankelijk zijn van de aangepaste domeinnaam en handmatig moeten worden bijgewerkt naar een andere domeinnaam.
V: Ik ben aangemeld als admin@contoso.com maar ik kan de domeinnaam 'contoso.com' niet verwijderen?
A: U kunt niet verwijzen naar de aangepaste domeinnaam die u probeert te verwijderen in de naam van uw gebruikersaccount. Zorg ervoor dat het global Beheer istrator-account de initiële standaarddomeinnaam (.onmicrosoft.com) gebruikt, zoals admin@contoso.onmicrosoft.com. Meld u aan met een ander Global Beheer istrator-account, zoals admin@contoso.onmicrosoft.com of een andere aangepaste domeinnaam, zoals 'fabrikam.com' waar het account zich bevindtadmin@fabrikam.com.
V: Ik heb op de knop Domein verwijderen geklikt en de status van de bewerking Verwijderen weergegeven In Progress . Hoe lang duurt het? Wat gebeurt er als het mislukt?
A: De bewerking domein verwijderen is een asynchrone achtergrondtaak die alle verwijzingen naar de domeinnaam hernoemt. Het kan tot 24 uur duren voordat het is voltooid. Als het verwijderen van een domein mislukt, controleert u of u het volgende niet hebt:
- Apps die zijn geconfigureerd op de domeinnaam met de appIdentifierURI
- Elke e-mailgroep die verwijst naar de aangepaste domeinnaam
- Meer dan 1000 verwijzingen naar de domeinnaam
- Het domein dat moet worden verwijderd als het primaire domein van uw organisatie
Houd er ook rekening mee dat de optie ForceDelete niet werkt als het domein federatieve verificatietype gebruikt. In dat geval moeten de gebruikers/groepen in het domein worden gewijzigd of verwijderd met behulp van de on-premises Active Directory voordat het domein wordt verwijderd. Als aan een van de voorwaarden niet is voldaan, schoont u de verwijzingen handmatig op en probeert u het domein opnieuw te verwijderen.
PowerShell of de Microsoft Graph API gebruiken om domeinnamen te beheren
De meeste beheertaken voor domeinnamen in Microsoft Entra ID kunnen ook worden voltooid met Behulp van Microsoft PowerShell of programmatisch met behulp van de Microsoft Graph API.