Převzetí nespravovaného adresáře jako správce v Microsoft Entra ID
Tento článek popisuje dva způsoby, jak převzít název domény DNS v nespravovaném adresáři v Microsoft Entra ID. Když se uživatel samoobslužné služby zaregistruje do cloudové služby, která používá ID Microsoft Entra, přidá se do nespravovaného adresáře Microsoft Entra na základě své e-mailové domény. Další informace o samoobslužné nebo virální registraci ke službě najdete v tématu Co je samoobslužná registrace k Microsoft Entra ID?
Určení, jakým způsobem se má převzít nespravovaný adresář
Během procesu převzetí správce můžete vlastnictví prokázat způsobem popsaným v tématu Přidání vlastního názvu domény do Microsoft Entra ID. Další části popisují prostředí pro správu podrobněji, ale tady je shrnutí:
Když provedete převzetí interního správce nespravovaného adresáře Azure, přidáte se jako globální správce nespravovaného adresáře. Do žádného jiného adresáře, který spravujete, se nemigrují žádní uživatelé, domény ani plány služeb.
Když provedete externí převzetí správce nespravovaného adresáře Azure, přidáte název domény DNS nespravovaného adresáře do svého spravovaného adresáře Azure. Když přidáte název domény, ve vašem spravovaném adresáři Azure se vytvoří mapování uživatelů na prostředky, aby uživatelé měli i nadále přístup ke službám bez přerušení.
Poznámka:
Převzetí interního správce vyžaduje, abyste měli určitou úroveň přístupu k nespravovanému adresáři. Pokud nemůžete získat přístup k adresáři, který se pokoušíte převzít, budete muset provést převzetí externího správce.
Převzetí interním správcem
Některé produkty, které zahrnují SharePoint a OneDrive, například Microsoft 365, nepodporují externí převzetí. Pokud je to váš scénář nebo pokud jste správce a chcete převzít nespravovanou nebo "stínovou" organizaci Microsoft Entra vytvořenou uživateli, kteří používali samoobslužnou registraci, můžete to udělat s interním převzetím správce.
Vytvořte kontext uživatele v nespravované organizaci prostřednictvím registrace k Power BI. Pro usnadnění použití tohoto postupu se předpokládá, že cesta.
Otevřete web Power BI a vyberte Spustit zdarma. Zadejte uživatelský účet, který používá název domény pro organizaci; například
admin@fourthcoffee.xyz
. Po zadání ověřovacího kódu zkontrolujte v e-mailu potvrzovací kód.V potvrzovací e-mailu z Power BI vyberte Ano, to je já.
Přihlaste se k Centrum pro správu Microsoftu 365 pomocí uživatelského účtu Power BI.
Zobrazí se zpráva s pokynem stát se Správa názvu domény, který už byl ověřen v nespravované organizaci. Vyberte Ano, chci být správcem.
Přidejte záznam TXT, abyste prokázali, že vlastníte název domény fourthcoffee.xyz u svého registrátora názvu domény. V tomto příkladu je to GoDaddy.com.
Pokud jsou záznamy DNS TXT ověřeny u vašeho registrátora názvu domény, můžete spravovat organizaci Microsoft Entra.
Po dokončení předchozích kroků jste teď globálním správcem organizace Fourth Coffee v Microsoftu 365. Pokud chcete integrovat název domény s ostatními službami Azure, můžete ho odebrat z Microsoftu 365 a přidat ho do jiné spravované organizace v Azure.
Přidání názvu domény do spravované organizace v Microsoft Entra ID
Tip
Postup v tomto článku se může mírně lišit v závislosti na portálu, od který začínáte.
Otevřete centrum pro správu Microsoft 365.
Vyberte kartu Uživatelé a vytvořte nový uživatelský účet s názvem, jako user@fourthcoffeexyz.onmicrosoft.com je název, který nepoužívá vlastní název domény.
Ujistěte se, že nový uživatelský účet má pro organizaci Microsoft Entra oprávnění globálního Správa istratoru.
Otevřete kartu Domény v Centrum pro správu Microsoftu 365, vyberte název domény a vyberte Odebrat.
Pokud máte v Microsoftu 365 nějaké uživatele nebo skupiny, které odkazují na odebraný název domény, musí být přejmenovány na doménu .onmicrosoft.com. Pokud vynutíte odstranění názvu domény, všichni uživatelé se v tomto příkladu automaticky přejmenují na user@fourthcoffeexyz.onmicrosoft.com.
Přihlaste se do Centra pro správu Microsoft Entra jako aspoň globální Správa istrator.
Do vyhledávacího pole v horní části stránky vyhledejte Názvy domén.
Vyberte + Přidat vlastní názvy domén a pak přidejte název domény. Abyste ověřili vlastnictví názvu domény, budete muset zadat záznamy DNS TXT.
Poznámka:
Všichni uživatelé služby Power BI nebo Azure Rights Management, kteří mají přiřazené licence v organizaci Microsoft 365, musí při odebrání názvu domény uložit řídicí panely. Musí se přihlásit pomocí uživatelského jména, jako user@fourthcoffeexyz.onmicrosoft.com je místo user@fourthcoffee.xyz.
Převzetí externím správcem
Pokud už spravujete organizaci se službami Azure nebo Microsoftem 365, nemůžete přidat vlastní název domény, pokud už je ověřený v jiné organizaci Microsoft Entra. Z vaší spravované organizace v Microsoft Entra ID ale můžete převzít nespravovanou organizaci jako převzetí externího správce. Obecný postup se řídí článkem Přidání vlastní domény do MICROSOFT Entra ID.
Když ověříte vlastnictví názvu domény, odebere ID Microsoft Entra název domény z nespravované organizace a přesune ho do vaší stávající organizace. Převzetí externího správce nespravovaného adresáře vyžaduje stejný proces ověření DNS TXT jako interní převzetí správce. Rozdíl je v tom, že následující položky se také přesunou s názvem domény:
- Uživatelé
- Předplatná
- Přiřazení licencí
Podpora převzetí externího správce
Převzetí externího správce podporuje následující online služby:
- Azure Rights Management
- Exchange Online
Mezi podporované plány služeb patří:
- Power Apps Free
- Power Automate zdarma
- RMS pro jednotlivce
- Microsoft Stream
- Bezplatná zkušební verze Dynamics 365
Převzetí externího správce není podporováno pro žádnou službu, která má plány služeb, mezi které patří SharePoint, OneDrive nebo Skype pro firmy; Například prostřednictvím bezplatného předplatného Office.
Poznámka:
Převzetí externího správce se nepodporuje mezi hranicemi cloudu (např. Azure Commercial to Azure Government). V těchto scénářích se doporučuje provést převzetí externího správce do jiného komerčního tenanta Azure a pak odstranit doménu z tohoto tenanta, abyste mohli úspěšně ověřit cílového tenanta Azure Government.
Další informace o službě RMS pro jednotlivce
Pokud je nespravovaná organizace pro jednotlivce ve stejné oblasti jako organizace, kterou vlastníte, automaticky vytvořený klíč organizace služby Azure Information Protection a výchozí šablony ochrany se navíc přesunou s názvem domény.
Klíč a šablony se nepřesunou, když je nespravovaná organizace v jiné oblasti. Pokud je například nespravovaná organizace v Evropě a organizace, kterou vlastníte, je v Severní Amerika.
Přestože je služba RMS pro jednotlivce navržená tak, aby podporovala ověřování Microsoft Entra pro otevření chráněného obsahu, nebrání uživatelům také chránit obsah. Pokud uživatelé chránili obsah s předplatným RMS pro jednotlivce a klíč a šablony se nepřesunuly, nebude tento obsah po převzetí domény přístupný.
Rutiny Azure AD PowerShellu pro možnost ForceTakeover
Tyto rutiny se používají v příkladu PowerShellu.
Poznámka:
Moduly Azure AD a MSOnline PowerShell jsou od 30. března 2024 zastaralé. Další informace najdete v aktualizaci vyřazení. Po tomto datu je podpora těchto modulů omezená na pomoc s migrací na sadu Microsoft Graph PowerShell SDK a opravy zabezpečení. Zastaralé moduly budou dál fungovat až do 30. března 2025.
Doporučujeme migrovat na Microsoft Graph PowerShell , abyste mohli pracovat s Microsoft Entra ID (dříve Azure AD). Běžné dotazy k migraci najdete v nejčastějších dotazech k migraci. Poznámka: Verze 1.0.x msOnline mohou dojít k přerušení po 30. červnu 2024.
Rutina | Využití |
---|---|
connect-mggraph |
Po zobrazení výzvy se přihlaste ke spravované organizaci. |
get-mgdomain |
Zobrazuje názvy domén přidružených k aktuální organizaci. |
new-mgdomain -BodyParameter @{Id="<your domain name>"; IsDefault="False"} |
Přidá název domény do organizace jako neověřený (ještě se neprovádí žádné ověření DNS). |
get-mgdomain |
Název domény je teď součástí seznamu názvů domén přidružených k vaší spravované organizaci, ale je uvedený jako Neověřený. |
Get-MgDomainVerificationDnsRecord |
Poskytuje informace pro vložení do nového záznamu DNS TXT pro doménu (MS=xxxxx). K ověření nemusí dojít okamžitě, protože rozšíření záznamu TXT nějakou dobu trvá, proto počkejte několik minut, než se vezme v úvahu možnost -ForceTakeover . |
confirm-mgdomain –Domainname <domainname> |
– Pokud váš název domény stále není ověřený, můžete pokračovat s možností -ForceTakeover . Ověří, že se záznam TXT vytvořil a spustí proces převzetí. – Možnost -ForceTakeover by se měla přidat do rutiny jenom při vynucení převzetí externího správce, například když nespravovaná organizace blokuje převzetí služeb Microsoftu 365. |
get-mgdomain |
V seznamu domén se teď zobrazuje název domény jako ověřený. |
Poznámka:
Nespravovaná organizace Microsoft Entra se odstraní 10 dní po cvičení externí možnosti vynucení převzetí.
Příklad PowerShellu
Připojení do Microsoft Graphu pomocí přihlašovacích údajů, které se použily k reakci na samoobslužnou nabídku:
Install-Module -Name Microsoft.Graph Connect-MgGraph -Scopes "User.ReadWrite.All","Domain.ReadWrite.All"
Získání seznamu domén:
Get-MgDomain
Spuštěním rutiny New-MgDomain přidejte novou doménu:
New-MgDomain -BodyParameter @{Id="<your domain name>"; IsDefault="False"}
Spuštěním rutiny Get-MgDomainVerificationDnsRecord zobrazte výzvu DNS:
(Get-MgDomainVerificationDnsRecord -DomainId "<your domain name>" | ?{$_.recordtype -eq "Txt"}).AdditionalProperties.text
Příklad:
(Get-MgDomainVerificationDnsRecord -DomainId "contoso.com" | ?{$_.recordtype -eq "Txt"}).AdditionalProperties.text
Zkopírujte hodnotu (výzvu), která se vrátí z tohoto příkazu. Příklad:
MS=ms18939161
Ve veřejném oboru názvů DNS vytvořte záznam TXT DNS obsahující hodnotu, kterou jste zkopírovali v předchozím kroku. Název tohoto záznamu je název nadřazené domény, takže pokud tento záznam prostředku vytvoříte pomocí role DNS z Windows Serveru, ponechte název záznamu prázdný a jednoduše vložte hodnotu do textového pole.
Spuštěním rutiny Confirm-MgDomain ověřte výzvu:
Confirm-MgDomain -DomainId "<your domain name>"
Příklad:
Confirm-MgDomain -DomainId "contoso.com"
Poznámka:
Aktualizuje se rutina Confirm-MgDomain. Aktualizace můžete sledovat v článku Rutina Confirm-MgDomain .
Úspěšná výzva vás vrátí k výzvě bez chyby.