Sdílet prostřednictvím


Změna typu ověřování subdomény v MICROSOFT Entra ID

Po přidání kořenové domény do Microsoft Entra ID, součást Microsoft Entra, všechny následné subdomény přidané do tohoto kořenového adresáře ve vaší organizaci Microsoft Entra automaticky dědí nastavení ověřování z kořenové domény. Pokud ale chcete spravovat nastavení ověřování domény nezávisle na nastavení kořenové domény, můžete teď používat rozhraní Microsoft Graph API. Pokud máte například federovanou kořenovou doménu, například contoso.com, tento článek vám může pomoci s ověřením subdomény, jako je například child.contoso.com, jako spravované místo federované.

Když je nadřazená doména na webu Azure Portal federovaná a správce se pokusí ověřit spravovanou subdoménu na stránce Vlastní názvy domén, zobrazí se chyba Nepovedlo se přidat doménu s důvodem Jedna nebo více vlastností obsahuje neplatné hodnoty. Pokud se pokusíte přidat tuto subdoménu z Centrum pro správu Microsoftu 365, zobrazí se podobná chyba. Další informace o této chybě najdete v tématu Podřízená doména nezdědí změny nadřazené domény v Office 365, Azure nebo Intune.

Vzhledem k tomu, že subdomény dědí typ ověřování kořenové domény ve výchozím nastavení, musíte subdoménu zvýšit na kořenovou doménu v Microsoft Entra ID pomocí Microsoft Graphu, abyste mohli typ ověřování nastavit na požadovaný typ.

Poznámka:

Moduly Azure AD a MSOnline PowerShell jsou od 30. března 2024 zastaralé. Další informace najdete v aktualizaci vyřazení. Po tomto datu je podpora těchto modulů omezená na pomoc s migrací na sadu Microsoft Graph PowerShell SDK a opravy zabezpečení. Zastaralé moduly budou dál fungovat až do 30. března 2025.

Doporučujeme migrovat na Microsoft Graph PowerShell , abyste mohli pracovat s Microsoft Entra ID (dříve Azure AD). Běžné dotazy k migraci najdete v nejčastějších dotazech k migraci. Poznámka: Verze 1.0.x msOnline mohou dojít k přerušení po 30. červnu 2024.

Upozorňující

Tento kód je k dispozici jako příklad pro demonstrační účely. Pokud ho chcete použít ve svém prostředí, zvažte jeho testování nejprve v malém měřítku nebo v samostatné testovací organizaci. Možná budete muset kód upravit tak, aby vyhovoval konkrétním potřebám vašeho prostředí.

Přidání subdomény

  1. Pomocí PowerShellu přidejte novou subdoménu, která má výchozí typ ověřování kořenové domény. ID Microsoft Entra a Centrum pro správu Microsoftu 365 zatím tuto operaci nepodporují.

    Connect-MgGraph -Scopes "Domain.ReadWrite.All"
     $param = @{
       id="test.contoso.com"
       AuthenticationType="Federated"  
      }
    New-MgDomain -Name "child.mydomain.com" -Authentication Federated
    
  2. K získání domény použijte následující příklad. Protože doména není kořenovou doménou, dědí typ ověřování kořenové domény. Příkaz a výsledky můžou vypadat následovně, a to pomocí vlastního ID tenanta:

Poznámka:

Vydání tohoto požadavku je možné provést přímo v Graph Exploreru.

GET https://graph.microsoft.com/v1.0/domains/foo.contoso.com/

Return:
  {
      "authenticationType": "Federated",
      "availabilityStatus": null,
      "isAdminManaged": true,
      "isDefault": false,
      "isDefaultForCloudRedirections": false,
      "isInitial": false,
      "isRoot": false,          <---------------- Not a root domain, so it inherits parent domain's authentication type (federated)
      "isVerified": true,
      "name": "child.mydomain.com",
      "supportedServices": [],
      "forceDeleteState": null,
      "state": null,
      "passwordValidityPeriodInDays": null,
      "passwordNotificationWindowInDays": null
  },

Změna subdomény na kořenovou doménu

K povýšení subdomény použijte následující příkaz:

POST https://graph.microsoft.com/v1.0/{tenant-id}/domains/foo.contoso.com/promote

Zvýšení úrovně chybových podmínek příkazu

Scénář metoda Kód Zpráva
Vyvolání rozhraní API s subdoménou, jejíž nadřazená doména není neověřená POST 400 Neověřené domény nejde zvýšit. Před povýšení ověřte doménu.
Vyvolání rozhraní API s federovanou ověřenou subdoménou s odkazy na uživatele POST 400 Zvýšení úrovně subdomény s uživatelskými odkazy není povolené. Před povýšení subdomény migrujte uživatele do aktuální kořenové domény.

Změna typu ověřování subdomény na spravovaný

Důležité

Pokud měníte typ ověřování pro federovanou subdoménu, měli byste si před provedením následujícího postupu poznamenat stávající hodnoty konfigurace federace. Tyto informace mohou být nezbytné, pokud se rozhodnete znovu vytvořit federaci před povýšením domény.

  1. Pomocí následujícího příkazu změňte typ ověřování subdomény:

    Connect-MGGraph -Scopes "Domain.ReadWrite.All", "Directory.AccessAsUser.All"
    Update-MgDomain -DomainId "test.contoso.com" -BodyParameter @{AuthenticationType="Managed"}
    
  2. Ověření prostřednictvím příkazu GET v rozhraní Microsoft Graph API, že se teď spravuje typ ověřování subdomény:

    GET https://graph.microsoft.com/v1.0/domains/foo.contoso.com/
    
    Return:
      {
          "authenticationType": "Managed",   <---------- Now this domain is successfully added as Managed and not inheriting Federated status
          "availabilityStatus": null,
          "isAdminManaged": true,
          "isDefault": false,
          "isDefaultForCloudRedirections": false,
          "isInitial": false,
          "isRoot": true,   <------------------------------ Also a root domain, so not inheriting from parent domain any longer
          "isVerified": true,
          "name": "child.mydomain.com",
          "supportedServices": [
              "Email",
              "OfficeCommunicationsOnline",
              "Intune"
          ],
          "forceDeleteState": null,
          "state": null,
          "passwordValidityPeriodInDays": null,
          "passwordNotificationWindowInDays": null }
    

Další kroky