Compartir a través de


Cambio del tipo de autenticación de subdominio en Microsoft Entra ID

Después de agregar un dominio raíz a Microsoft Entra ID, parte de Microsoft Entra, todos los subdominios siguientes agregados a esa raíz en la organización de Microsoft Entra heredan automáticamente la configuración de autenticación del dominio raíz. Pero si quiere administrar la configuración de autenticación de dominio independientemente de la configuración de dominio raíz, puede hacerlo con Microsoft Graph API. Por ejemplo, si tiene un dominio raíz federado como contoso.com, este artículo puede ayudarle a comprobar un subdominio como child.contoso.com como administrado en lugar de federado.

En Azure Portal, si el dominio primario está federado y el administrador intenta comprobar un subdominio administrado en la página Nombres de dominio personalizados, se produce el error "Error al agregar dominio" con el motivo "Una o más propiedades contienen valores no válidos". Si intenta agregar este subdominio desde el centro de administración de Microsoft 365, recibe un error similar. Para obtener más información sobre el error, vea Un dominio secundario no hereda los cambios de dominio primario en Office 365, Azure o Intune.

Dado que los subdominios heredan el tipo de autenticación del dominio raíz de manera predeterminada, debe promover el subdominio a un dominio raíz en Microsoft Entra ID mediante Microsoft Graph para poder establecer el tipo de autenticación en el deseado.

Nota:

Los módulos de PowerShell de Azure AD y MSOnline están en desuso a partir del 30 de marzo de 2024. Para obtener más información, lea la actualización de desuso. Desde esta fecha, el soporte de estos módulos se limita a la asistencia de migración al SDK de PowerShell de Microsoft Graph y a las correcciones de seguridad. Los módulos en desuso seguirán funcionando hasta el 30 de marzo de 2025.

Se recomienda migrar a PowerShell de Microsoft Graph para interactuar con Microsoft Entra ID (anteriormente Azure AD). Para preguntas comunes sobre la migración, consulte las Preguntas más frecuentes sobre migración. Nota: versiones 1.0.x de MSOnline pueden experimentar interrupciones después del 30 de junio de 2024.

Advertencia

Este código se proporciona como un ejemplo para fines de demostración. Si va a usarlo en su entorno, considere la posibilidad de probarlo primero a pequeña escala o en una organización de prueba independiente. Quizá deba ajustar el código para satisfacer las necesidades específicas de su entorno.

Adición del subdominio

  1. Use PowerShell para agregar el nuevo subdominio, que tiene el tipo de autenticación predeterminado del dominio raíz. Los centros de administración de Microsoft Entra ID y Microsoft 365 todavía no admiten esta operación.

    Connect-MgGraph -Scopes "Domain.ReadWrite.All"
     $param = @{
       id="test.contoso.com"
       AuthenticationType="Federated"  
      }
    New-MgDomain -Name "child.mydomain.com" -Authentication Federated
    
  2. Use el ejemplo siguiente para obtener mediante GET el dominio. Dado que el dominio no es un dominio raíz, hereda el tipo de autenticación del dominio raíz. El comando y los resultados podrían tener el aspecto siguiente, con su propio identificador de inquilino:

Nota

La emisión de esta solicitud se puede realizar directamente en Probador de Graph.

GET https://graph.microsoft.com/v1.0/domains/foo.contoso.com/

Return:
  {
      "authenticationType": "Federated",
      "availabilityStatus": null,
      "isAdminManaged": true,
      "isDefault": false,
      "isDefaultForCloudRedirections": false,
      "isInitial": false,
      "isRoot": false,          <---------------- Not a root domain, so it inherits parent domain's authentication type (federated)
      "isVerified": true,
      "name": "child.mydomain.com",
      "supportedServices": [],
      "forceDeleteState": null,
      "state": null,
      "passwordValidityPeriodInDays": null,
      "passwordNotificationWindowInDays": null
  },

Cambio del subdominio a un dominio raíz

Use el siguiente comando para promover el subdominio:

POST https://graph.microsoft.com/v1.0/{tenant-id}/domains/foo.contoso.com/promote

Promoción de condiciones de error de comando

Escenario Método Código Message
Invocación de API con un subdominio cuyo dominio primario no está comprobado POST 400 No se pueden promover dominios no comprobados. Compruebe el dominio antes de la promoción.
Invocación de API con un subdominio comprobado federado con referencias de usuario POST 400 No se permite promover un subdominio con referencias de usuario. Migre los usuarios al dominio raíz actual antes de la promoción del subdominio.

Cambiar el tipo de autenticación del subdominio a administrado

Importante

Si va a cambiar el tipo de autenticación de un subdominio federado, debe tomar nota de los valores de configuración de federación existentes antes de completar los pasos siguientes. Esta información puede ser necesaria si decide volver a implementar la federación antes de promover un dominio.

  1. Use el siguiente comando para cambiar el tipo de autenticación del subdominio:

    Connect-MGGraph -Scopes "Domain.ReadWrite.All", "Directory.AccessAsUser.All"
    Update-MgDomain -DomainId "test.contoso.com" -BodyParameter @{AuthenticationType="Managed"}
    
  2. Compruebe a través de GET en Microsoft Graph API que el tipo de autenticación del subdominio ya está administrado:

    GET https://graph.microsoft.com/v1.0/domains/foo.contoso.com/
    
    Return:
      {
          "authenticationType": "Managed",   <---------- Now this domain is successfully added as Managed and not inheriting Federated status
          "availabilityStatus": null,
          "isAdminManaged": true,
          "isDefault": false,
          "isDefaultForCloudRedirections": false,
          "isInitial": false,
          "isRoot": true,   <------------------------------ Also a root domain, so not inheriting from parent domain any longer
          "isVerified": true,
          "name": "child.mydomain.com",
          "supportedServices": [
              "Email",
              "OfficeCommunicationsOnline",
              "Intune"
          ],
          "forceDeleteState": null,
          "state": null,
          "passwordValidityPeriodInDays": null,
          "passwordNotificationWindowInDays": null }
    

Pasos siguientes