Převzetí nespravovaného adresáře jako správce v Microsoft Entra ID
Článek
Tento článek popisuje dva způsoby, jak převzít název domény DNS v nespravovaném adresáři v Microsoft Entra ID. Když se uživatel samoobslužné služby zaregistruje do cloudové služby, která používá ID Microsoft Entra, přidá se do nespravovaného adresáře Microsoft Entra na základě své e-mailové domény. Další informace o samoobslužné nebo virální registraci ke službě najdete v tématu Co je samoobslužná registrace k Microsoft Entra ID?
Určení, jakým způsobem se má převzít nespravovaný adresář
Během procesu převzetí správce můžete vlastnictví prokázat způsobem popsaným v tématu Přidání vlastního názvu domény do Microsoft Entra ID. Další části popisují prostředí pro správu podrobněji, ale tady je shrnutí:
Když provedete interní převzetí správce nespravovaného adresáře, přiřadíte roli globálního správce nespravovaného adresáře. Do žádného jiného adresáře, který spravujete, se nemigrují žádní uživatelé, domény ani plány služeb.
Když provedete externí převzetí správy nespravovaného adresáře, přidáte do spravovaného adresáře Azure název domény DNS nespravovaného adresáře. Když přidáte název domény, vytvoří se ve spravovaném adresáři mapování uživatelů na prostředky, aby uživatelé mohli dál přistupovat ke službám bez přerušení.
Poznámka
Převzetí interního správce vyžaduje, abyste měli určitou úroveň přístupu k nespravovanému adresáři. Pokud nemůžete získat přístup k adresáři, který se pokoušíte převzít, musíte provést externí převzetí správcovství.
Převzetí interním správcem
Některé produkty, které zahrnují SharePoint a OneDrive, například Microsoft 365, nepodporují externí převzetí. Pokud je to váš scénář nebo pokud jste správce a chcete převzít nespravovanou nebo "stínovou" organizaci Microsoft Entra vytvořenou uživateli, kteří používali samoobslužnou registraci, můžete to udělat s interním převzetím správce.
Vytvořte kontext uživatele v nespravované organizaci prostřednictvím registrace k Power BI. Pro usnadnění použití tohoto postupu se předpokládá, že cesta.
Otevřete web Power BI a vyberte Spustit zdarma. Zadejte uživatelský účet, který používá název domény pro organizaci; například admin@fourthcoffee.xyz. Po zadání ověřovacího kódu zkontrolujte v e-mailu potvrzovací kód.
V potvrzovací e-mailu z Power BI vyberte Ano, to je já.
Zobrazí se zpráva, která vás vyzve k tomu, abyste se stali správcem názvu domény, který už byl ověřený v nespravované organizaci. Vyberte Ano, chci být správcem.
Přidejte záznam TXT, abyste prokázali, že vlastníte název domény fourthcoffee.xyz u svého registrátora názvu domény. V tomto příkladu je to GoDaddy.com.
Pokud jsou záznamy DNS TXT ověřeny u vašeho registrátora názvu domény, můžete spravovat organizaci Microsoft Entra.
Po dokončení předchozích kroků jste teď globálním správcem organizace Fourth Coffee v Microsoftu 365. Pokud chcete integrovat název domény s ostatními službami Azure, můžete ho odebrat z Microsoftu 365 a přidat ho do jiné spravované organizace v Azure.
Přidání názvu domény do spravované organizace v Microsoft Entra ID
Vyberte kartu Uživatelé a vytvořte nový uživatelský účet s názvem, jako user@fourthcoffeexyz.onmicrosoft.com je název, který nepoužívá vlastní název domény.
Ujistěte se, že nový uživatelský účet má oprávnění globálního správce pro organizaci Microsoft Entra.
Otevřete kartu Domény v Centrum pro správu Microsoftu 365, vyberte název domény a vyberte Odebrat.
Pokud máte v Microsoftu 365 nějaké uživatele nebo skupiny, které odkazují na odebraný název domény, musí být přejmenovány na doménu .onmicrosoft.com. Pokud vynutíte odstranění názvu domény, všichni uživatelé se v tomto příkladu automaticky přejmenují na user@fourthcoffeexyz.onmicrosoft.com.
Do vyhledávacího pole v horní části stránky vyhledejte Názvy domén.
Vyberte + Přidat vlastní názvy domén a pak přidejte název domény. Abyste ověřili vlastnictví názvu domény, musíte zadat záznamy DNS TXT.
Poznámka
Všichni uživatelé služby Power BI nebo Azure Rights Management, kteří mají přiřazené licence v organizaci Microsoft 365, musí při odebrání názvu domény uložit řídicí panely. Musí se přihlásit pomocí uživatelského jména, jako user@fourthcoffeexyz.onmicrosoft.com je místo user@fourthcoffee.xyz.
Převzetí externím správcem
Pokud už spravujete organizaci se službami Azure nebo Microsoftem 365, nemůžete přidat vlastní název domény, pokud už je ověřený v jiné organizaci Microsoft Entra. Z vaší spravované organizace v Microsoft Entra ID ale můžete převzít nespravovanou organizaci jako převzetí externího správce. Obecný postup se řídí článkem Přidání vlastní domény do MICROSOFT Entra ID.
Když ověříte vlastnictví názvu domény, odebere ID Microsoft Entra název domény z nespravované organizace a přesune ho do vaší stávající organizace. Převzetí externího správce nespravovaného adresáře vyžaduje stejný proces ověření DNS TXT jako interní převzetí správce. Rozdíl je v tom, že následující položky se také přesunou s názvem domény:
Uživatelé
Předplatná
Přiřazení licencí
Podpora převzetí externího správce
Převzetí externího správce podporuje následující online služby:
Azure Rights Management
Exchange Online
Mezi podporované plány služeb patří:
Power Apps Free
Power Automate zdarma
RMS pro jednotlivce
Microsoft Stream
Bezplatná zkušební verze Dynamics 365
Převzetí externího správce není podporováno pro žádnou službu, která má plány služeb, mezi které patří SharePoint, OneDrive nebo Skype pro firmy; Například prostřednictvím bezplatného předplatného Office.
Poznámka
Převzetí externího správce se nepodporuje napříč cloudovými hranicemi (např. z Azure Commercial na Azure Government). V těchto scénářích se doporučuje provést převzetí externího správce do jiného komerčního tenanta Azure a pak odstranit doménu z tohoto tenanta, abyste mohli úspěšně ověřit cílového tenanta Azure Government.
Klíč a šablony se nepřesunou, když je nespravovaná organizace v jiné oblasti. Pokud je například nespravovaná organizace v Evropě a organizace, kterou vlastníte, je v Severní Amerika.
Přestože je služba RMS pro jednotlivce navržená tak, aby podporovala ověřování Microsoft Entra pro otevření chráněného obsahu, nebrání uživatelům také chránit obsah. Pokud uživatelé chránili obsah s předplatným RMS pro jednotlivce a klíč a šablony se nepřesunuly, nebude tento obsah po převzetí domény přístupný.
Rutiny PowerShellu pro možnost ForceTakeover
Tyto rutiny se používají v příkladu PowerShellu.
Poznámka
Moduly Azure AD a MSOnline PowerShell jsou od 30. března 2024 zastaralé. Další informace najdete v aktualizaci vyřazení. Po tomto datu je podpora těchto modulů omezená na pomoc s migrací na sadu Microsoft Graph PowerShell SDK a opravy zabezpečení. Zastaralé moduly budou dál fungovat až do 30. března 2025.
Doporučujeme migrovat na Microsoft Graph PowerShell , abyste mohli pracovat s Microsoft Entra ID (dříve Azure AD). Běžné dotazy k migraci najdete v nejčastějších dotazech k migraci.
Poznámka: Verze 1.0.x msOnline mohou dojít k přerušení po 30. červnu 2024.
rutina
Využití
connect-mggraph
Po zobrazení výzvy se přihlaste ke spravované organizaci.
get-mgdomain
Zobrazuje názvy domén přidružených k aktuální organizaci.
Přidá název domény do organizace jako neověřený (ještě se neprovádí žádné ověření DNS).
get-mgdomain
Název domény je teď součástí seznamu názvů domén přidružených k vaší spravované organizaci, ale je uvedený jako Neověřený.
Get-MgDomainVerificationDnsRecord
Poskytuje informace pro vložení do nového záznamu DNS TXT pro doménu (MS=xxxxx). K ověření nemusí dojít okamžitě, protože rozšíření záznamu TXT nějakou dobu trvá, proto počkejte několik minut, než se vezme v úvahu možnost -ForceTakeover .
confirm-mgdomain –Domainname <domainname>
– Pokud váš název domény stále není ověřený, můžete pokračovat s možností -ForceTakeover . Ověří, že se záznam TXT vytvořil a spustí proces převzetí. – Možnost -ForceTakeover by se měla přidat do rutiny jenom při vynucení převzetí externího správce, například když nespravovaná organizace blokuje převzetí služeb Microsoftu 365.
get-mgdomain
V seznamu domén se teď zobrazuje název domény jako ověřený.
Poznámka
Nespravovaná organizace Microsoft Entra se odstraní 10 dní po cvičení externí možnosti vynucení převzetí.
Příklad PowerShellu
Připojte se k Microsoft Graphu pomocí přihlašovacích údajů, které se použily k reakci na samoobslužnou nabídku:
Zkopírujte hodnotu (výzvu), která se vrátí z tohoto příkazu. Příklad:
PowerShell
MS=ms18939161
Ve veřejném oboru názvů DNS vytvořte záznam TXT DNS obsahující hodnotu, kterou jste zkopírovali v předchozím kroku. Název tohoto záznamu je název nadřazené domény, takže pokud tento záznam prostředku vytvoříte pomocí role DNS z Windows Serveru, ponechte název záznamu prázdný a jednoduše vložte hodnotu do textového pole.
Spuštěním rutiny Confirm-MgDomain ověřte výzvu:
PowerShell
Confirm-MgDomain -DomainId"<your domain name>"
Příklad:
PowerShell
Confirm-MgDomain -DomainId"contoso.com"
Poznámka
Aktualizuje se rutina Confirm-MgDomain. Aktualizace můžete sledovat v článku Rutina Confirm-MgDomain .
This module provides instruction on how to add a custom domain to your Microsoft 365 deployment. It also examines the DNS requirements that are necessary to support a new domain.