Gestion des noms de domaine personnalisés dans votre Microsoft Entra ID

Un nom de domaine est une partie importante de l'identifiant des ressources dans de nombreux déploiements Microsoft Entra. Il fait partie du nom ou de l’adresse e-mail d’un utilisateur, de l’adresse d’un groupe et parfois de l’URI de l’ID de l’application. Une ressource dans Microsoft Entra ID peut inclure un nom de domaine appartenant à l'organisation Microsoft Entra (parfois appelée locataire) qui contient la ressource. Les administrateurs généraux et les administrateurs de noms de domaine peuvent gérer des domaines dans Microsoft Entra ID.

Définir le nom de domaine principal de votre organisation Microsoft Entra

Lorsque votre organisation est créée, le nom de domaine initial, tel que « contoso.onmicrosoft.com », est également le nom de domaine principal. Le domaine principal est le nom de domaine par défaut pour un nouvel utilisateur lorsque vous créez un nouvel utilisateur. Le fait de définir un nom de domaine principal simplifie le processus permettant à un administrateur de créer des utilisateurs dans le portail. Pour modifier le nom de domaine principal, procédez comme suit :

1. Connectez-vous au Centre d’administration Microsoft Entra en tant qu’administrateur général.

2. Accédez auxnoms de domaine>

3. Sélectionnez Noms de domaine personnalisés.

   

4. Sélectionnez le nom du domaine que vous souhaitez choisir comme domaine principal.

5. Sélectionnez la commande Make primary . Confirmez votre choix lorsque vous y êtes invité.

   

Vous pouvez modifier le nom de domaine principal de votre organisation par n’importe quel domaine personnalisé vérifié qui n’est pas fédéré. La modification du domaine principal pour votre organisation ne modifie pas le nom d’utilisateur pour les utilisateurs existants.

Ajoutez des noms de domaine personnalisés à votre organisation Microsoft Entra

Vous pouvez ajouter jusqu’à 5 000 noms de domaine managé. Si vous configurez tous vos domaines pour la fédération avec Active Directory local, vous pouvez ajouter jusqu’à 2 500 noms de domaine dans chaque organisation.

Ajouter des sous-domaines d’un domaine personnalisé

Si vous souhaitez ajouter un nom de sous-domaine, tel que « europe.contoso.com » à votre organisation, vous devez tout d’abord ajouter et vérifier le domaine racine, tel que « contoso.com ». Microsoft Entra ID vérifie automatiquement le sous-domaine. Pour voir que le sous-domaine ajouté est vérifié, actualisez la liste des domaines dans le navigateur.

Si vous avez déjà ajouté un domaine contoso.com à une organisation Microsoft Entra, vous pouvez également vérifier le sous-domaine europe.contoso.com dans une autre organisation Microsoft Entra. Lorsque vous ajoutez le sous-domaine, vous êtes invité à ajouter un enregistrement TXT dans le fournisseur d’hébergement DNS (Domain Name Server).

Que faire en cas de modification du bureau d’enregistrement DNS pour votre nom de domaine personnalisé ?

Si vous modifiez les bureaux d'enregistrement DNS, il n'y a aucune autre tâche de configuration dans Microsoft Entra ID. Vous pouvez continuer à utiliser le nom de domaine avec Microsoft Entra ID sans interruption. Si vous utilisez votre nom de domaine personnalisé avec Microsoft 365, Intune ou d'autres services qui reposent sur des noms de domaine personnalisés dans Microsoft Entra ID, consultez la documentation de ces services.

Supprimer un nom de domaine personnalisé

Vous pouvez supprimer un nom de domaine personnalisé de votre identifiant Microsoft Entra si votre organisation n'utilise plus ce nom de domaine ou si vous devez utiliser ce nom de domaine avec une autre organisation Microsoft Entra.

Pour supprimer un nom de domaine personnalisé, vous devez d’abord vous assurer qu’aucune des ressources de votre organisation ne s’appuie sur le nom de domaine. Vous ne pouvez pas supprimer un nom de domaine de votre organisation si :

• L’utilisateur dispose d’un nom d’utilisateur, d’une adresse de messagerie ou d’une adresse de proxy qui incluent le nom de domaine.
• Le groupe dispose d’une adresse de messagerie ou d’une adresse de proxy qui incluent le nom de domaine.
• Toute application de votre Microsoft Entra ID possède un URI d’ID d’application qui inclut le nom de domaine.

Vous devez modifier ou supprimer une ressource de ce type dans votre organisation Microsoft Entra avant de pouvoir supprimer le nom de domaine personnalisé.

Remarque

Pour supprimer le domaine personnalisé, utilisez un compte Administrateur général basé sur le domaine par défaut (onmicrosoft.com) ou sur un autre domaine personnalisé (mydomainname.com).

Option ForceDelete

Vous pouvez ForceDelete utiliser un nom de domaine dans le portail Azure ou à l’aide de l’API Microsoft Graph. Ces options utilisent une opération asynchrone et mettent à jour toutes les références du nom de domaine personnalisé comme «user@contoso.com » au nom de domaine par défaut initial tel que «user@contoso.onmicrosoft.com ».

Pour appeler ForceDelete dans le portail Azure, vous devez vous assurer qu’il y a moins de 1 000 références au nom de domaine et que toutes les références où Exchange est le service d’approvisionnement doivent être mises à jour ou supprimées dans le Centre d’administration Exchange (EAC) . Cela inclut les groupes de sécurité à extension messagerie et les listes distribuées. Pour plus d’informations, consultez Suppression des groupes de sécurité activés pour la messagerie. En outre, l’opération ForceDelete ne réussit pas si l’une des opérations suivantes a la valeur true :

• Vous avez acheté un domaine par le biais des services d’abonnement de domaine Microsoft 365
• Vous êtes un partenaire qui administre le compte d’une autre organisation cliente

Les actions suivantes sont effectuées dans le cadre de l’opération ForceDelete :

• Renommage des éléments UPN, EmailAddress et ProxyAddress des utilisateurs avec des références au nom de domaine personnalisé vers le nom de domaine par défaut initial.
• Renommage de l’élément EmailAddress des groupes avec des références au nom de domaine personnalisé vers le nom de domaine par défaut initial.
• Renommage des éléments identifierUris des applications avec des références au nom de domaine personnalisé vers le nom de domaine par défaut initial.
• Désactive les comptes d’utilisateur affectés par l’option ForceDelete dans le Centre d’administration Azure/Microsoft Entra et éventuellement lors de l’utilisation de l’API Graph.

Une erreur est renvoyée quand :

• Le nombre d’objets à renommer est supérieur à 1 000
• L'une des applications à renommer est une application multilocataire

Bonnes pratiques pour l’hygiène de domaine

Utilisez un bureau d’enregistrement fiable qui fournit de nombreuses notifications pour les changements de nom de domaine, l’expiration des inscriptions, une période de grâce pour les domaines expirés, et maintient des normes de sécurité élevées pour contrôler qui a accès à votre configuration de nom de domaine et à vos enregistrements TXT. Tenez vos noms de domaine à jour auprès de votre bureau d’enregistrement et vérifiez l’exactitude des enregistrements TXT.

• Si vous expirez intentionnellement votre nom de domaine ou transférez sa propriété à une autre personne (indépendamment de votre tenant Microsoft Entra), vous devez le supprimer de votre tenant Microsoft Entra avant qu'il n'expire ou soit transféré.
• Si vous autorisez l’expiration de votre nom de domaine, si vous êtes en mesure de le réactiver ou de reprendre son contrôle, examinez attentivement tous les enregistrements TXT auprès du bureau d’enregistrement pour vous assurer qu’aucune falsification de votre nom de domaine n’a eu lieu.
• Si vous ne pouvez pas réactiver ou reprendre le contrôle de votre nom de domaine immédiatement, vous devez le supprimer de votre client Microsoft Entra. Ne lisez/revérifiez pas tant que vous n’êtes pas en mesure de résoudre la propriété du nom de domaine et de vérifier l’exactitude de l’enregistrement TXT entier.

Remarque

Microsoft n’autorisera pas la vérification d’un nom de domaine avec plus d’un tenant Microsoft Entra. Une fois que vous avez supprimé un nom de domaine de votre locataire, vous ne pourrez plus l'ajouter/le revérifier avec votre locataire Microsoft Entra s'il est ensuite ajouté et vérifié avec un autre locataire Microsoft Entra.

Forum aux questions

Q : Pourquoi la suppression du domaine échoue-t-elle avec une erreur indiquant que j’ai des groupes maître Exchange sur ce nom de domaine ?
Un: Aujourd’hui, certains groupes tels que les groupes de sécurité Mail-Enabled et les listes distribuées sont approvisionnés par Exchange et doivent être nettoyés manuellement dans le Centre d’administration Exchange. Des éléments ProxyAddresses, qui reposent sur le nom de domaine personnalisé, peuvent être en attente et devront être mis à jour manuellement avec un autre nom de domaine.

Q : Je suis connecté en tant que admin@contoso.com mais je ne peux pas supprimer le nom de domaine « contoso.com » ?
A: Vous ne pouvez pas utiliser le nom de domaine personnalisé que vous essayez de supprimer dans le nom de votre compte utilisateur. Assurez-vous que le compte d’administrateur général utilise le nom de domaine par défaut initial (.onmicrosoft.com) comme admin@contoso.onmicrosoft.com. Connectez-vous avec un compte d’administrateur général différent comme admin@contoso.onmicrosoft.com ou un autre nom de domaine personnalisé comme « fabrikam.com » où le compte est admin@fabrikam.com.

Q : J’ai cliqué sur le bouton Supprimer un domaine et je peux voir l’état In Progress pour l’opération de suppression. Combien de temps cela prend-il ? Que se passe-t-il en cas d’échec ?
Un: L’opération de suppression de domaine est une tâche en arrière-plan asynchrone qui renomme toutes les références au nom de domaine. Cette opération peut prendre jusqu'à 24 heures. En cas d’échec de suppression du domaine, vérifiez que vous n’avez pas :

• Des applications configurées sur le nom de domaine avec l’appIdentifierURI
• Des groupes à extension de messagerie référençant le nom de domaine personnalisé
• Plus de 1 000 références au nom de domaine
• Domaine à supprimer comme domaine principal de votre organisation

Notez également que l’option ForceDelete ne fonctionne pas si le domaine utilise le type d’authentification fédérée. Dans ce cas, les utilisateurs/groupes sur le domaine doivent être renommés ou supprimés à l’aide de l’instance Active Directory locale avant de réessayer la suppression du domaine. Si vous remarquez que l’une des conditions n’a pas été respectée, nettoyez manuellement les références et essayez une nouvelle fois de supprimer le domaine.

Utiliser PowerShell ou l’API Microsoft Graph pour gérer les noms de domaine

La plupart des tâches de gestion des noms de domaine dans Microsoft Entra ID peuvent également être effectuées à l'aide de Microsoft PowerShell ou par programme à l'aide de l'API Microsoft Graph.

• Utilisation de PowerShell pour gérer les noms de domaine dans Microsoft Entra ID
• Domain type de ressource

Étapes suivantes

• Ajouter des noms de domaine personnalisés
• Supprimer des groupes de sécurité avec messagerie Exchange dans le Centre d’administration Exchange sur un nom de domaine personnalisé dans Microsoft Entra ID
• ForceDelete un nom de domaine personnalisé avec l’API Microsoft Graph