Nota
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Después de agregar un dominio raíz al identificador de Microsoft Entra, parte de Microsoft Entra, todos los subdominios posteriores agregados a esa raíz en la organización de Microsoft Entra heredan automáticamente la configuración de autenticación del dominio raíz. Sin embargo, si desea administrar la configuración de autenticación de dominio independientemente de la configuración del dominio raíz, ahora puede usar Microsoft Graph API. Por ejemplo, si tiene un dominio raíz federado como contoso.com, este artículo puede ayudarle a comprobar un subdominio, como child.contoso.com como administrado en lugar de federado.
En Azure Portal, cuando el dominio primario está federado y el administrador intenta comprobar un subdominio administrado en el página Nombres de dominio personalizados página, la página muestra un error "No se pudo agregar dominio" por el motivo "Una o varias propiedades contienen valores no válidos". Si intenta agregar este subdominio desde el Centro de administración de Microsoft 365, recibirá un error similar. Para obtener más información sobre el error, consulte Un dominio secundario no hereda los cambios de dominio primarios en Office 365, Azure o Intune.
Dado que los subdominios heredan el tipo de autenticación del dominio raíz de forma predeterminada, debe promover el subdominio a un dominio raíz en microsoft Entra ID mediante Microsoft Graph para que pueda establecer el tipo de autenticación en el tipo deseado.
Advertencia
Este pequeño script es un ejemplo con fines de demostración. Si piensa usarlo en su entorno, pruebe primero. Debe ajustar el código para que cumpla sus requisitos.
Adición del subdominio
- Use PowerShell para agregar el nuevo subdominio, que tiene el tipo de autenticación predeterminado del dominio raíz. Los centros de administración de Microsoft Entra y Microsoft 365 aún no admiten esta operación.
# Connect to Microsoft Graph with the required scopes
Connect-MgGraph -Scopes "Domain.ReadWrite.All"
# Define the parameters for the new domain
$domainParams = @{
Id = "child6.mydomain.com"
AuthenticationType = "Federated"
}
# Create a new domain with the specified parameters
New-MgDomain @domainParams
- Use el ejemplo siguiente para OBTENER el dominio. Dado que el dominio no es un dominio raíz, hereda el tipo de autenticación de dominio raíz. El comando y los resultados podrían tener el aspecto siguiente, con su propio identificador de inquilino:
Nota
La emisión de esta solicitud se puede realizar directamente en Graph Explorer.
GET https://graph.microsoft.com/v1.0/domains/foo.contoso.com/
Return:
{
"authenticationType": "Federated",
"availabilityStatus": null,
"isAdminManaged": true,
"isDefault": false,
"isDefaultForCloudRedirections": false,
"isInitial": false,
"isRoot": false, <---------------- Not a root domain, so it inherits parent domain's authentication type (federated)
"isVerified": true,
"name": "child.mydomain.com",
"supportedServices": [],
"forceDeleteState": null,
"state": null,
"passwordValidityPeriodInDays": null,
"passwordNotificationWindowInDays": null
},
Cambio del subdominio a un dominio raíz
Use el siguiente comando para promover el subdominio:
POST https://graph.microsoft.com/v1.0/{tenant-id}/domains/foo.contoso.com/promote
Promoción de condiciones de error de comando
| Escenario | Método | Código | Mensaje |
|---|---|---|---|
| Invocación de la API con un subdominio cuyo dominio primario no está comprobado | POST | 400 | No se pueden promover dominios no comprobados. Compruebe el dominio antes de la promoción. |
| Invocación de la API con un subdominio comprobado federado con referencias de usuario | POST | 400 | No se permite la promoción de un subdominio con referencias de usuario. Migre los usuarios al dominio raíz actual antes de la promoción del subdominio. |
Cambio del tipo de autenticación de subdominio a administrado
Importante
Si cambia el tipo de autenticación de un subdominio federado, debe tomar nota de los valores de configuración de federación existentes antes de completar los pasos siguientes. La información es necesaria si decide volver a implementar la federación antes de promover un dominio.
Use el siguiente comando para cambiar el tipo de autenticación de subdominio:
Connect-MGGraph -Scopes "Domain.ReadWrite.All", "Directory.AccessAsUser.All" Update-MgDomain -DomainId "test.contoso.com" -BodyParameter @{AuthenticationType="Managed"}Compruebe a través de GET en Microsoft Graph API que el tipo de autenticación de subdominio ahora esté administrado:
GET https://graph.microsoft.com/v1.0/domains/foo.contoso.com/ Return: { "authenticationType": "Managed", <---------- Now this domain is successfully added as Managed and not inheriting Federated status "availabilityStatus": null, "isAdminManaged": true, "isDefault": false, "isDefaultForCloudRedirections": false, "isInitial": false, "isRoot": true, <------------------------------ Also a root domain, so not inheriting from parent domain any longer "isVerified": true, "name": "child.mydomain.com", "supportedServices": [ "Email", "OfficeCommunicationsOnline", "Intune" ], "forceDeleteState": null, "state": null, "passwordValidityPeriodInDays": null, "passwordNotificationWindowInDays": null }
Pasos siguientes
- actualización de Azure AD PowerShell a Microsoft Graph PowerShell
- Agregar nombres de dominio personalizados
- Administrar nombres de dominio
- ForceDelete a custom domain name with Microsoft Graph API (Uso de la operación ForceDelete en un nombre de dominio personalizado con Microsoft Graph API)