Freigeben über


Ändern des Unterdomänen-Authentifizierungstyps in Microsoft Entra ID

Nachdem eine Stammdomäne zu Microsoft Entra ID, einem Teil von Microsoft Entra, hinzugefügt wurde, erben alle Unterdomänen, die danach dieser Stammdomäne in Ihrer Microsoft Entra-Organisation hinzugefügt werden, automatisch die Authentifizierungseinstellung der Stammdomäne. Wenn Sie jedoch Domänenauthentifizierungseinstellungen unabhängig von den Einstellungen der Stammdomäne verwalten möchten, können Sie dies jetzt über die Microsoft Graph-API ausführen. Wenn Sie z. B. eine Verbundstammdomäne wie contoso.com haben, können Sie anhand dieses Artikels eine Unterdomäne wie child.contoso.com als verwaltet anstatt als Verbund bestätigen.

Wenn im Azure-Portal die übergeordnete Domäne einem Verbund angehört und Administrator*innen versuchen, auf der Seite Benutzerdefinierte Domänennamen eine verwaltete Unterdomäne zu verifizieren, wird die Fehlermeldung „Fehler beim Hinzufügen der Domäne“ mit der Begründung „Mindestens eine Eigenschaft enthält ungültige Werte“ angezeigt. Wenn Sie versuchen, diese Unterdomäne über das Microsoft 365 Admin Center hinzuzufügen, erhalten Sie eine ähnliche Fehlermeldung. Weitere Informationen zu diesem Fehler finden Sie unter Eine untergeordnete Domäne erbt keine Änderungen der übergeordneten Domäne in Office 365, Azure oder Intune.

Da Unterdomänen standardmäßig den Authentifizierungstyp der Stammdomäne erben, müssen Sie die Unterdomäne mithilfe Microsoft Graph auf eine Microsoft Entra-Stammdomäne höher stufen, damit Sie den Authentifizierungstyp auf den gewünschten Typ festlegen können.

Hinweis

Azure AD- und MSOnline PowerShell-Module sind ab dem 30. März 2024 veraltet. Weitere Informationen finden Sie im Update zur Unterstützungseinstellung. Nach diesem Datum wird die Unterstützung für diese Module auf die Migrationsunterstützung für das Microsoft Graph PowerShell-SDK und Sicherheitskorrekturen beschränkt. Die veralteten Module funktionieren weiterhin bis zum 30. März 2025.

Es wird empfohlen, für die Interaktion mit Microsoft Entra ID (früher Azure AD) zu Microsoft Graph PowerShell zu migrieren. Informationen zu allgemeinen Migrationsfragen finden Sie in den häufig gestellten Fragen zur Migration. Hinweis: Bei der Version 1.0.x von MSOnline können nach dem 30. Juni 2024 Unterbrechungen auftreten.

Warnung

Dieser Code dient als Beispiel zu Demonstrationszwecken. Wenn Sie ihn in Ihrer Umgebung verwenden möchten, sollten Sie den Code zunächst in kleinerem Umfang oder in einer separaten Testorganisation testen. Passen Sie den Code hierzu ggf. an die spezifischen Anforderungen Ihrer Umgebung an.

Hinzufügen der Unterdomäne

  1. Verwenden Sie PowerShell, um die neue Unterdomäne hinzuzufügen, die den Standardauthentifizierungstyp der Stammdomäne besitzt. Microsoft Entra ID Admin Center und Microsoft 365 Admin Center unterstützen diesen Vorgang noch nicht.

    Connect-MgGraph -Scopes "Domain.ReadWrite.All"
     $param = @{
       id="test.contoso.com"
       AuthenticationType="Federated"  
      }
    New-MgDomain -Name "child.mydomain.com" -Authentication Federated
    
  2. Verwenden Sie das folgende Beispiel, um GET für die Domäne auszuführen. Da die Domäne keine Stammdomäne ist, erbt sie den Authentifizierungstyp der Stammdomäne. Der Befehl und die Ergebnisse können wie folgt aussehen, wobei Sie Ihre eigene Mandanten-ID verwenden:

Hinweis

Das Ausstellen dieser Anforderung kann direkt im Graph-Explorer durchgeführt werden.

GET https://graph.microsoft.com/v1.0/domains/foo.contoso.com/

Return:
  {
      "authenticationType": "Federated",
      "availabilityStatus": null,
      "isAdminManaged": true,
      "isDefault": false,
      "isDefaultForCloudRedirections": false,
      "isInitial": false,
      "isRoot": false,          <---------------- Not a root domain, so it inherits parent domain's authentication type (federated)
      "isVerified": true,
      "name": "child.mydomain.com",
      "supportedServices": [],
      "forceDeleteState": null,
      "state": null,
      "passwordValidityPeriodInDays": null,
      "passwordNotificationWindowInDays": null
  },

Ändern der Unterdomäne in eine Stammdomäne

Verwenden Sie den folgenden Befehl zum Höherstufen der Unterdomäne:

POST https://graph.microsoft.com/v1.0/{tenant-id}/domains/foo.contoso.com/promote

Befehlsfehlerbedingungen höherstufen

Szenario Methode Code `Message`
Aufrufen der API mit einer Unterdomäne, deren übergeordnete Domäne nicht überprüft wurde POST 400 Nicht verifizierte Domänen können nicht höhergestuft werden. Überprüfen Sie die Domäne vor der Höherstufung.
Aufrufen der API mit einer überprüften Verbundunterdomäne mit Benutzerverweisen POST 400 Die Höherstufung einer Unterdomäne mit Benutzerverweisen ist nicht zulässig. Migrieren Sie die Benutzer zur aktuellen Stammdomäne, bevor Sie die Unterdomäne höherstufen.

Ändern des Authentifizierungstyps der zu verwaltenden Unterdomäne

Wichtig

Wenn Sie den Authentifizierungstyp für eine Verbunddomäne ändern, sollten Sie die vorhandenen Verbundkonfigurationswerte beachten, bevor Sie die folgenden Schritte ausführen. Diese Informationen können erforderlich werden, wenn Sie sich entscheiden, den Verbund vor dem Hochstufen einer Domäne erneut zu implementieren.

  1. Verwenden Sie den folgenden Befehl, um den Authentifizierungstyp der Unterdomäne zu ändern:

    Connect-MGGraph -Scopes "Domain.ReadWrite.All", "Directory.AccessAsUser.All"
    Update-MgDomain -DomainId "test.contoso.com" -BodyParameter @{AuthenticationType="Managed"}
    
  2. Überprüfen Sie über die Microsoft Graph-API mit GET, ob der Authentifizierungstyp der Unterdomäne jetzt verwaltet ist:

    GET https://graph.microsoft.com/v1.0/domains/foo.contoso.com/
    
    Return:
      {
          "authenticationType": "Managed",   <---------- Now this domain is successfully added as Managed and not inheriting Federated status
          "availabilityStatus": null,
          "isAdminManaged": true,
          "isDefault": false,
          "isDefaultForCloudRedirections": false,
          "isInitial": false,
          "isRoot": true,   <------------------------------ Also a root domain, so not inheriting from parent domain any longer
          "isVerified": true,
          "name": "child.mydomain.com",
          "supportedServices": [
              "Email",
              "OfficeCommunicationsOnline",
              "Intune"
          ],
          "forceDeleteState": null,
          "state": null,
          "passwordValidityPeriodInDays": null,
          "passwordNotificationWindowInDays": null }
    

Nächste Schritte