Administración de nombres de dominio personalizados en su instancia de Microsoft Entra ID

Un nombre de dominio es una parte importante del identificador de los recursos en muchas implementaciones de Microsoft Entra. Forma parte de un nombre de usuario o una dirección de correo electrónico de un usuario, forma parte de la dirección para un grupo y puede formar parte del URI del identificador de una aplicación. Un recurso de Microsoft Entra ID puede incluir un nombre de dominio que pertenezca a la organización de Microsoft Entra ID (a veces llamado "iniquilino") que contiene ese recurso. Los administradores globales y los administradores de nombre de dominio pueden administrar dominios en Microsoft Entra ID.

Establecimiento del nombre de dominio principal para su organización de Microsoft Entra

Sugerencia

Los pasos de este artículo podrían variar ligeramente en función del portal desde donde comienza.

Cuando se crea la organización, el nombre de dominio inicial, por ejemplo, contoso.onmicrosoft.com, también será el nombre de dominio principal. El dominio principal será el nombre de dominio predeterminado de un nuevo usuario cuando este se cree. Establecer un nombre de dominio primario simplifica el proceso para que un administrador cree usuarios nuevos en el portal. Para cambiar el nombre de dominio principal, siga estos pasos:

1. Inicie sesión en el centro de administración de Microsoft Entra por lo menos como administrador global.

2. Seleccione Microsoft Entra ID.

3. Seleccione Nombres de dominio personalizados.

   

4. Seleccione el nombre del dominio que quiere que sea el dominio principal.

5. Seleccione el comando Convertir en principal. Confirme la elección cuando se le pregunte.

   

Puede cambiar el nombre de dominio principal para la organización de modo que sea cualquier dominio personalizado verificado que no esté federado. El hecho de cambiar el dominio principal para la organización no cambiará los nombres de usuario existentes.

Agregar nombres de dominio personalizados a la organización de Microsoft Entra

Puede agregar un máximo de 5000 nombres de dominio administrado. Si configura todos los dominios para la federación con Active Directory local, puede agregar un máximo de 2500 nombres de dominio en cada organización.

Adición de subdominios de un dominio personalizado

Si desea agregar un nombre de subdominio como "europe.contoso.com" a su organización, antes debe agregar y verificar el dominio raíz, como contoso.com. El subdominio se comprueba automáticamente mediante Microsoft Entra ID. Para ver que el subdominio que ha agregado se ha verificado, actualice la lista de dominios en el explorador.

Si ya ha agregado un dominio contoso.com a una organización de Microsoft Entra, también puede verificar el subdominio europe.contoso.com en otra organización de Microsoft Entra. Al agregar el subdominio, se le pide que agregue un registro TXT en el proveedor de hospedaje DNS.

Qué hacer si se cambia el registrador DNS del nombre de dominio personalizado

Si cambia los registradores DNS, no hay ninguna tarea de configuración adicional en Microsoft Entra ID. Puede continuar usando el nombre de dominio con Microsoft Entra ID sin interrupciones. Si usa el nombre de dominio personalizado con Microsoft 365, Intune u otros servicios que dependan de los nombres de dominio personalizados en Microsoft Entra ID, consulte la documentación de dichos servicios.

Eliminación de un nombre de dominio personalizado

Puede eliminar un nombre de dominio personalizado de Microsoft Entra ID si su organización ya no utiliza ese nombre de dominio o si necesita utilizar ese nombre de dominio con otra organización de Microsoft Entra.

Para eliminar un nombre de dominio personalizado, antes debe asegurarse de que no haya recursos en la organización que se basen en ese nombre. No puede eliminar un nombre de dominio de la organización si se da alguno de los siguientes casos:

• Algún usuario tiene un nombre de usuario, una dirección de correo electrónico o una dirección de proxy que incluyan el nombre de dominio.
• Algún grupo tiene una dirección de correo electrónico o una dirección de proxy que incluya el nombre de dominio.
• Alguna aplicación en Microsoft Entra ID tiene un URI de identificador de aplicación que incluye el nombre de dominio.

Debe cambiar o eliminar esos recursos de su organización de Microsoft Entra para poder eliminar el nombre de dominio personalizado.

Nota:

Para eliminar el dominio personalizado, use una cuenta de administrador global basada en el dominio predeterminado (onmicrosoft.com) o en otro dominio personalizado (mydomainname.com).

Opción ForceDelete

Puede usar la operación ForceDelete en un nombre de dominio en Azure Portal o mediante Microsoft Graph API. Estas opciones usan una operación asincrónica y actualizan todas las referencias del nombre de dominio personalizado, como "user@contoso.com", al nombre de dominio predeterminado inicial, como "user@contoso.onmicrosoft.com".

Para llamar a ForceDelete en Azure Portal, debe asegurarse de que hay menos de 1000 referencias en el nombre de dominio, y todas las referencias en las que Exchange sea el servicio de aprovisionamiento deben actualizarse o quitarse del Centro de administración de Exchange. Esto incluye las listas distribuidas y los grupos de seguridad habilitados para correo electrónico de Exchange. Para obtener más información, consulte Eliminación de grupos de seguridad habilitados para correo. Además, la operación ForceDelete no se realizará correctamente si se cumple alguna de las siguientes condiciones:

• Adquirió un dominio mediante los servicios de suscripción de dominios de Microsoft 365.
• Es un asociado de administración en nombre de otra organización del cliente.

Las siguientes acciones se realizan como parte de la operación ForceDelete:

• Cambia el nombre de UPN, la dirección de correo electrónico y la dirección proxy de los usuarios con referencias al nombre de dominio personalizado al nombre de dominio predeterminado inicial.
• Cambia el nombre de la dirección de correo electrónico de los usuarios con referencias al nombre de dominio personalizado al nombre de dominio predeterminado inicial.
• Cambia el nombre de los URI de identificador de los usuarios con referencias al nombre de dominio personalizado al nombre de dominio predeterminado inicial.
• Deshabilita las cuentas de usuario afectadas por la opción ForceDelete en el centro de administración Microsoft Entra o Azure y, opcionalmente, al usar Graph API.

Se devuelve el error cuando:

• El número de objetos cuyo nombre se va a cambiar es mayor que 1000.
• Una de las aplicaciones cuyo nombre se va a cambiar es una aplicación multiinquilino

Procedimientos recomendados para la higiene de dominios

Use un registrador de buena reputación que proporcione numerosas notificaciones para los cambios de nombre de dominio, la expiración del registro, un período de gracia para los dominios expirados y que mantenga altos estándares de seguridad para controlar quién tiene acceso a la configuración del nombre de dominio y los registros TXT. Mantenga los nombres de dominio actualizados con el registrador y compruebe si los registros TXT son precisos.

• Si va a hacer deliberadamente que su nombre de dominio expire o va a cambiar la propiedad a otra persona (independientemente del inquilino de Microsoft Entra), deberá eliminarlo del inquilino de Microsoft Entra antes de que expire o se transfiera.
• Si permite que el nombre de dominio expire y puede reactivarlo o recuperar su control, revise cuidadosamente todos los registros TXT con el registrador para asegurarse de que no se haya producido ninguna alteración del nombre de dominio.
• Si no puede reactivar o recuperar el control del nombre de dominio inmediatamente, debe eliminarlo del inquilino de Microsoft Entra. No vuelva a leerlo ni comprobarlo hasta que pueda resolver la propiedad del nombre de dominio y comprobar que el registro TXT completo es correcto.

Nota:

Microsoft no permitirá comprobar un nombre de dominio con más de un inquilino de Microsoft Entra. Una vez que elimine un nombre de dominio del inquilino, no podrá volver a agregarlo ni volver a comprobarlo con el inquilino de Microsoft Entra si se agrega y comprueba posteriormente con otro inquilino de Microsoft Entra.

Preguntas más frecuentes

P: ¿Por qué la eliminación del dominio produce un error que indica que tengo grupos controlados de Exchange en este nombre de dominio?
R: Actualmente, Exchange aprovisiona ciertos grupos, como los grupos de seguridad habilitados para correo y las listas distribuidas, que se deben limpiar manualmente en el Centro de administración de Exchange (EAC). Es posible que haya direcciones de proxy que confíen en el nombre de dominio personalizado y deberán actualizarse manualmente a otro nombre de dominio.

P: Tengo la sesión iniciada como admin@contoso.com, pero no puedo eliminar el nombre de dominio "contoso.com".
R: No puede hacer referencia al nombre de dominio personalizado que intenta eliminar en su nombre de cuenta de usuario. Asegúrese de que la cuenta de administrador global use el nombre de dominio predeterminado inicial (. onmicrosoft.com), como admin@contoso.onmicrosoft.com. Inicie sesión con otra cuenta de administrador global, como admin@contoso.onmicrosoft.com, u otro nombre de dominio personalizado, como "fabrikam.com" donde la cuenta es admin@fabrikam.com.

P: He hecho clic en el botón Eliminar dominio y veo el estado In Progress de la operación Delete. ¿Cuánto tiempo tarda? ¿Qué pasa si se produce un error?
R: La operación de eliminación de un dominio es una tarea asincrónica que se realiza en segundo plano y cambia el nombre de todas las referencias al nombre de dominio. Este proceso puede tardar hasta 24 horas en completarse. Si se produce un error en la eliminación del dominio, asegúrese de no tener:

• Aplicaciones configuradas en el nombre de dominio con appIdentifierURI
• Ningún grupo habilitado para correo que haga referencia el nombre de dominio personalizado
• Más de 1000 referencias al nombre de dominio
• Dominio que se eliminará del conjunto como el dominio principal de su organización

Tenga en cuenta también que la opción ForceDelete no funcionará si el dominio usa el tipo de autenticación federada. En ese caso, los usuarios o grupos del dominio deben cambiar el nombre o quitarse mediante el Active Directory local antes de volver a intentar la eliminación del dominio. Si encuentra que alguna de las condiciones no se cumplen, limpie manualmente las referencias y vuelva a intentar eliminar el dominio.

Utilización de PowerShell o Microsoft Graph API para administrar nombres de dominio

También se pueden completar la mayoría de las tareas de administración para los nombres de dominio de Microsoft Entra ID mediante Microsoft PowerShell, o mediante programación utilizando Microsoft Graph API.

• Utilización de PowerShell para administrar los nombres de dominio en Microsoft Entra ID
• Domain tipo de recurso

Pasos siguientes

• Agregar nombres de dominio personalizados
• Quitar grupos de seguridad habilitados para correo de Exchange en el Centro de administración de Exchange en un nombre de dominio personalizado en Microsoft Entra ID
• ForceDelete a custom domain name with Microsoft Graph API (Uso de la operación ForceDelete en un nombre de dominio personalizado con Microsoft Graph API)