Verwalten von benutzerdefinierten Domänennamen in Ihrer Microsoft Entra-ID

Ein Domänenname ist ein wichtiger Bestandteil des Bezeichners für Ressourcen in vielen Bereitstellungen von Microsoft Entra. Er ist Teil eines Benutzernamens oder einer E-Mail-Adresse für einen Benutzer, Teil der Adresse für eine Gruppe und manchmal Teil des App-ID-URIs für eine Anwendung. Eine Ressource in Microsoft Entra kann einen Domänennamen umfassen, der zu der Microsoft Entra-Organisation (bisweilen Mandant genannt) gehört, die die Ressource enthält. Globale Administratoren und Domänennamenadministratoren können Domänen in Microsoft Entra ID verwalten.

Festlegen des primären Domänennamens für Ihre Microsoft Entra-Organisation

Tipp

Die Schritte in diesem Artikel können je nach dem Portal, mit dem Sie beginnen, geringfügig variieren.

Wenn Ihre Organisation erstellt wird, ist der anfängliche Domänenname (z. B. contoso.onmicrosoft.com) auch der primäre Domänenname. Die primäre Domäne ist der standardmäßige Domänenname für einen neuen Benutzer, wenn Sie einen neuen Benutzer erstellen. Durch das Festlegen eines primären Domänennamens wird die Erstellung neuer Benutzer durch einen Administrator im Portal optimiert. So ändern Sie den primären Domänennamen

1. Melden Sie sich beim Microsoft Entra Admin Center mindestens mit der Rolle Globaler Administrator an.

2. Wählen Sie Microsoft Entra ID aus.

3. Wählen Sie Benutzerdefinierte Domänennamen.

   

4. Wählen Sie den Namen der Domäne aus, die als primäre Domäne festgelegt werden soll.

5. Wählen Sie den Befehl Als primär festlegen. Bestätigen Sie Ihre Auswahl, wenn Sie dazu aufgefordert werden.

   

Sie können den primären Domänennamen für Ihre Organisation in jede überprüfte benutzerdefinierte Domäne ändern, die keine Verbunddomäne ist. Durch Ändern der primären Domäne für Ihre Organisation werden die Benutzernamen vorhandener Benutzer nicht geändert.

Hinzufügen benutzerdefinierter Domänennamen zu Ihrer Microsoft Entra Organisation

Sie können bis zu 5.000 Namen für verwaltete Domänen hinzufügen. Wenn Sie alle Ihre Domänen für den Verbund mit der lokalen Active Directory-Instanz konfigurieren, können Sie in jeder Organisation bis zu 2.500 Domänennamen hinzufügen.

Hinzufügen von Unterdomänen einer benutzerdefinierten Domäne

Wenn Sie Ihrer Organisation einen Domänennamen wie beispielsweise „europe.contoso.com“ hinzufügen möchten, sollten Sie zuerst die Stammdomäne, d. h. „contoso.com“, hinzufügen und überprüfen. Die Unterdomäne wird automatisch von Microsoft Entra ID überprüft. Um festzustellen, ob die von Ihnen hinzugefügte Unterdomäne überprüft wurde, aktualisieren Sie die Domänenliste im Browser.

Wenn Sie einer Microsoft Entra-Organisation bereits die Domäne contoso.com hinzugefügt haben, können Sie die Unterdomäne europe.contoso.com auch in einer anderen Microsoft Entra-Organisation überprüfen. Wenn Sie die Unterdomäne hinzufügen, werden Sie aufgefordert, einen TXT-Eintrag im DNS-Hostinganbieter hinzuzufügen.

Vorgehensweise beim Ändern der DNS-Registrierungsstelle für Ihren benutzerdefinierten Domänennamen

Wenn Sie die DNS-Registrierungsstellen ändern, müssen keine weiteren Konfigurationsaufgaben in Microsoft Entra ID ausgeführt werden. Sie können den Domänennamen in Microsoft Entra ID ohne jede Unterbrechung weiterverwenden. Wenn Sie Ihren benutzerdefinierten Domänennamen mit Microsoft 365, Intune oder anderen Diensten verwenden, die benutzerdefinierte Domänennamen in Microsoft Entra ID verwenden, lesen Sie die Dokumentation zu diesen Diensten.

Löschen eines benutzerdefinierten Domänennamens

Sie können einen benutzerdefinierten Domänennamen aus Microsoft Entra ID löschen, wenn dieser von Ihrer Organisation nicht mehr verwendet wird oder Sie den Domänennamen für eine andere Microsoft Entra-Organisation verwenden möchten.

Um einen benutzerdefinierten Domänennamen zu löschen, müssen Sie zunächst sicherstellen, dass dieser Name für keine Ressourcen in Ihrer Organisation verwendet wird. In folgenden Fällen können Sie einen Domänennamen nicht aus Ihrer Organisation löschen:

• Ein Benutzer verwendet einen Benutzernamen, eine E-Mail-Adresse oder eine Proxyadresse mit dem Domänennamen.
• Eine Gruppe verwendet eine E-Mail-Adresse oder Proxyadresse mit dem Domänennamen.
• Eine Anwendung in Ihrem Microsoft Entra-Verzeichnis besitzt eine App-ID-URI mit dem Domänennamen.

Solche Ressourcen müssen Sie in Ihrer Microsoft Entra-Organisation ändern oder löschen, bevor Sie den benutzerdefinierten Domänennamen löschen können.

Hinweis

Um die benutzerdefinierte Domäne zu löschen, verwenden Sie ein globales Administratorkonto, das entweder auf der Standarddomäne (onmicrosoft.com) oder einer anderen benutzerdefinierten Domäne (mydomainname.com) basiert.

ForceDelete-Option

Sie können das Löschen eines Domänennamens im Azure-Portal oder mithilfe der Microsoft Graph-API per ForceDelete erzwingen. Diese Optionen verwenden einen asynchronen Vorgang und aktualisieren alle Verweise vom benutzerdefinierten Domänenamen wie „user@contoso.com“ auf den anfänglichen Standarddomänennamen wie „user@contoso.onmicrosoft.com“.

Um ForceDelete im Azure-Portal aufzurufen, müssen Sie sicherstellen, dass weniger als 1.000 Verweise auf den Domänennamen vorhanden sind und dass alle Verweise, bei denen Exchange der Bereitstellungsdienst ist, im Exchange Admin Center aktualisiert oder entfernt werden. Dies schließt auch die E-Mail-aktivierten Sicherheits- und Verteilerlisten in Exchange ein. Weitere Informationen finden Sie unter Entfernen von E-Mail-aktivierten Sicherheitsgruppen. Der ForceDelete-Vorgang kann nicht erfolgreich ausgeführt werden, wenn eine der folgenden Aussagen zutrifft:

• Sie haben eine Domäne über Microsoft 365-Domänenabonnementdienste erworben.
• Sie sind Partner und führen die Verwaltung im Auftrag einer anderen Organisation des Kunden aus.

Folgende Aktionen werden im Rahmen des ForceDelete-Vorgangs ausgeführt:

• UPNs, E-Mail-Adressen und Proxyadressen von Benutzern mit Verweisen auf den benutzerdefinierten Domänennamen werden in den anfänglichen Standarddomänennamen umbenannt.
• E-Mail-Adressen von Gruppen mit Verweisen auf den benutzerdefinierten Domänennamen werden in den anfänglichen Standarddomänennamen umbenannt.
• Bezeichner-URIs von Anwendungen mit Verweisen auf den benutzerdefinierten Domänennamen werden in den anfänglichen Standarddomänennamen umbenannt.
• Deaktivieren von Benutzerkonten, die von der Option „ForceDelete“ im Azure/Microsoft Entra-Portal betroffen sind, und optional bei Verwendung der Graph-API.

In folgenden Fällen wird ein Fehler zurückgegeben:

• Die Anzahl von umzubenennenden Objekten ist größer als 1.000.
• Bei einer der umzubenennenden Anwendungen handelt es sich um eine mehrinstanzenfähige App

Bewährte Methoden für die Domänensicherheit

Verwenden Sie eine seriöse Registrierungsstelle, die Sie umfassend über Änderungen der Domänennamen, den Ablauf der Registrierung, einen Aktivierungszeitraum für abgelaufene Domänen benachrichtigt und hohe Sicherheitsstandards für die Kontrolle des Zugriffs auf Ihre Domänennamenskonfiguration und TXT-Einträge bietet. Halten Sie Ihre Domänennamen bei Ihrer Registrierungsstelle auf dem neuesten Stand, und überprüfen Sie TXT-Einträge auf ihre Richtigkeit.

• Wenn Sie Ihren Domänennamen absichtlich ablaufen lassen oder den Besitz an eine andere Person (getrennt von Ihrem Microsoft Entra-Mandanten) übergeben, sollten Sie ihn vor dem Ablauf oder der Übertragung aus Ihrem Microsoft Entra-Mandanten löschen.
• Wenn Sie das Ablaufen Ihres Domänennamens zulassen und in der Lage sind, ihn zu reaktivieren oder die Kontrolle darüber wiederzuerlangen, überprüfen Sie sorgfältig alle TXT-Einträge bei der Registrierungsstelle, um sicherzustellen, dass keine Manipulationen an Ihrem Domänennamen vorgenommen wurden.
• Wenn Sie Ihren Domänennamen nicht sofort reaktivieren oder die Kontrolle darüber wiedererlangen können, sollten Sie ihn aus Ihrem Microsoft Entra-Mandanten löschen. Sie dürfen den Domänennamen erst dann erneut hinzufügen/überprüfen, wenn Sie den Besitz des Domänennamens klären und den vollständigen TXT-Eintrag auf seine Richtigkeit überprüfen können.

Hinweis

Microsoft lässt nicht zu, dass ein Domänenname mit mehreren Microsoft Entra-Mandanten überprüft wird. Nachdem Sie einen Domänennamen aus Ihrem Mandanten gelöscht haben, können Sie ihn nicht erneut mit Ihrem Microsoft Entra-Mandanten hinzufügen/überprüfen, wenn er anschließend mit einem anderen Microsoft Entra-Mandanten hinzugefügt und überprüft wird.

Häufig gestellte Fragen

F: Warum tritt beim Löschen einer Domäne eine Fehlermeldung auf, die besagt, dass ich über von Exchange verwaltete Gruppen mit diesem Domänennamen verfüge?
A: Heute werden bestimmte Gruppen wie E-Mail-aktivierte Sicherheitsgruppen und verteilte Listen von Exchange bereitgestellt und müssen im Exchange Admin Center (EAC) manuell gelöscht werden. Möglicherweise sind noch Proxyadressen vorhanden, die den benutzerdefinierten Domänennamen verwenden und manuell auf einen anderen Domänennamen aktualisiert werden müssen.

F: Ich bin als „admin@contoso.com“ angemeldet, kann aber den Domänennamen „contoso.com“ nicht löschen?
A: Sie können im Namen Ihres Benutzerkontos nicht auf den benutzerdefinierten Domänennamen verweisen, die Sie löschen möchten. Stellen Sie sicher, dass das Konto des globalen Administrators den anfänglichen Domänennamen (.onmicrosoft.com) verwendet, z.B. „admin@contoso.onmicrosoft.com“. Verwenden Sie für die Anmeldung ein anderes globales Administratorkonto wie z.B. „admin@contoso.onmicrosoft.com“ oder einen anderen benutzerdefinierten Domänenamen wie „fabrikam.com“, bei dem das Konto „admin@fabrikam.com“ lautet.

F: Ich habe auf die Schaltfläche „Domäne löschen“ geklickt. Jetzt wird der Status In Progress für den Löschvorgang angezeigt. Wie lange dauert es? Was passiert, wenn der Vorgang nicht erfolgreich ausgeführt wird?
A: Der Vorgang zum Löschen einer Domäne ist ein asynchroner Hintergrundtask, der alle Verweise auf den Domänennamen umbenennt. Dieser Vorgang kann bis zu 24 Stunden dauern. Wenn eine Domäne nicht gelöscht werden kann, stellen Sie sicher, dass Folgendes nicht zutrifft:

• Apps sind im Domänennamen mit dem App-Bezeichner-URI konfiguriert.
• Es ist eine E-Mail-aktivierte Gruppe vorhanden, die auf den benutzerdefinierten Domänennamen verweist.
• Es sind mehr als 1.000 Verweise auf den Domänennamen vorhanden.
• Die zu entfernende Domäne ist als primäre Domäne Ihrer Organisation festgelegt.

Beachten Sie auch, dass die Option „ForceDelete“ nicht funktioniert, wenn die Domäne die Verbundauthentifizierung verwendet. In diesem Fall müssen die Benutzer/Gruppen in der Domäne mit dem lokalen Active Directory umbenannt oder entfernt werden, bevor die Domäne erneut entfernt werden kann. Wenn Sie feststellen, dass eine dieser Bedingungen nicht zutrifft, bereinigen Sie die Verweise manuell, und versuchen Sie erneut, die Domäne zu löschen.

Verwenden von PowerShell oder der Microsoft Graph-API zum Verwalten von Domänennamen

Die meisten Verwaltungsaufgaben für Domänennamen in Microsoft Entra ID können auch über Microsoft PowerShell oder programmgesteuert mit der Microsoft Graph-API durchgeführt werden.

• Verwenden von PowerShell zum Verwalten von Domänennamen in Microsoft Entra ID
• Domain Ressourcentyp

Nächste Schritte

• Hinzufügen benutzerdefinierter Domänennamen
• Entfernen von E-Mail-aktivierten Exchange-Sicherheitsgruppen in Exchange Admin Center für einen benutzerdefinierten Domänennamen in Microsoft Entra ID
• ForceDelete eines benutzerdefinierten Domänennamens mit der Microsoft Graph-API