Partager via


Modifier le type d’authentification de sous-domaine dans Microsoft Entra ID

Après l’ajout d’un domaine racine à Microsoft Entra ID, qui fait partie de Microsoft Entra, tous les sous-domaines ultérieurs ajoutés à cette racine dans votre organisation Microsoft Entra héritent automatiquement du paramètre d’authentification du domaine racine. Toutefois, si vous souhaitez gérer les paramètres d’authentification du domaine indépendamment des paramètres du domaine racine, vous pouvez désormais utiliser l’API Microsoft Graph. Par exemple, si vous avez un domaine racine fédéré, tel que contoso.com, cet article peut vous aider à vérifier qu’un sous-domaine tel que child.contoso.com est géré au lieu d’être fédéré.

Dans le portail Azure, lorsque le domaine parent est fédéré et que l'administrateur tente de vérifier un sous-domaine géré sur la page Noms de domaine personnalisés, vous obtenez une erreur « Échec de l'ajout du domaine » avec la raison « Une ou plusieurs propriétés contiennent des valeurs non valides ." Si vous essayez d'ajouter ce sous-domaine à partir du centre d'administration Microsoft 365, vous recevrez une erreur similaire. Pour plus d’informations sur l’erreur, consultez Un domaine enfant n’hérite pas des modifications du domaine parent dans Office 365, Azure ou Intune.

Comme les sous-domaines héritent par défaut du type d’authentification du domaine racine, vous devez promouvoir le sous-domaine en domaine racine dans Microsoft Entra ID à l’aide de Microsoft Graph afin de pouvoir définir le type d’authentification de votre choix.

Remarque

Les modules Azure AD et MSOnline PowerShell sont dépréciés depuis le 30 mars 2024. Pour en savoir plus, lisez les informations de dépréciation. Passé cette date, la prise en charge de ces modules est limitée à une assistance de migration vers le SDK et les correctifs de sécurité Microsoft Graph PowerShell. Les modules déconseillés continueront de fonctionner jusqu’au 30 mars 2025.

Nous vous recommandons de migrer vers Microsoft Graph PowerShell pour interagir avec Microsoft Entra ID (anciennement Azure AD). Pour explorer les questions courantes sur la migration, reportez-vous au FAQ sur la migration. Remarque : Les versions 1.0.x de MSOnline peuvent connaître une interruption après le 30 juin 2024.

Avertissement

Ce code est fourni à titre d’exemple à des fins de démonstration. Si vous voulez l’utiliser dans votre environnement, testez-le au préalable à petite échelle ou dans une organisation de test distincte. Vous devez peut-être modifier le code pour répondre aux besoins spécifiques de votre environnement.

Ajouter le sous-domaine

  1. Utilisez PowerShell pour ajouter le nouveau sous-domaine, qui a le type d’authentification par défaut de son domaine racine. Les centres d’administration Microsoft Entra ID et Microsoft 365 ne prennent pas encore en charge cette opération.

    Connect-MgGraph -Scopes "Domain.ReadWrite.All"
     $param = @{
       id="test.contoso.com"
       AuthenticationType="Federated"  
      }
    New-MgDomain -Name "child.mydomain.com" -Authentication Federated
    
  2. Utilisez l’exemple suivant pour récupérer (GET) le domaine. Étant donné que le domaine n’est pas un domaine racine, il hérite du type d’authentification du domaine racine. Votre commande et vos résultats peuvent se présenter comme suit, en utilisant votre propre ID de locataire :

Notes

L’émission de cette requête peut être effectuée directement dans l’Explorateur Graph.

GET https://graph.microsoft.com/v1.0/domains/foo.contoso.com/

Return:
  {
      "authenticationType": "Federated",
      "availabilityStatus": null,
      "isAdminManaged": true,
      "isDefault": false,
      "isDefaultForCloudRedirections": false,
      "isInitial": false,
      "isRoot": false,          <---------------- Not a root domain, so it inherits parent domain's authentication type (federated)
      "isVerified": true,
      "name": "child.mydomain.com",
      "supportedServices": [],
      "forceDeleteState": null,
      "state": null,
      "passwordValidityPeriodInDays": null,
      "passwordNotificationWindowInDays": null
  },

Changer le sous-domaine en domaine racine

Utilisez la commande suivante pour promouvoir le sous-domaine :

POST https://graph.microsoft.com/v1.0/{tenant-id}/domains/foo.contoso.com/promote

Promouvoir les conditions d’erreur de commande

Scénario Méthode Code Message
Appel de l’API avec un sous-domaine dont le domaine parent n’est pas vérifié POST 400 Les domaines non vérifiés ne peuvent pas être promus. Vérifiez le domaine avant la promotion.
Appel de l’API avec un sous-domaine vérifié fédéré avec des références utilisateur POST 400 La promotion d'un sous-domaine avec des références d'utilisateurs n'est pas autorisée. Migrez les utilisateurs vers le domaine racine actuel avant la promotion du sous-domaine.

Modifier le type d’authentification du sous-domaine pour qu’il soit géré

Important

Si vous modifiez le type d’authentification pour un sous-domaine fédéré, il est recommandé de prendre note des valeurs de configuration de la fédération existantes avant de suivre les étapes ci-dessous. Ces informations peuvent s’avérer nécessaires si vous décidez de réimplémenter la fédération avant de promouvoir un domaine.

  1. Utilisez la commande suivante pour modifier le type d’authentification du sous-domaine :

    Connect-MGGraph -Scopes "Domain.ReadWrite.All", "Directory.AccessAsUser.All"
    Update-MgDomain -DomainId "test.contoso.com" -BodyParameter @{AuthenticationType="Managed"}
    
  2. Vérifiez à l’aide d’une requête GET dans l’API Microsoft Graph que le type d’authentification du sous-domaine est désormais managé :

    GET https://graph.microsoft.com/v1.0/domains/foo.contoso.com/
    
    Return:
      {
          "authenticationType": "Managed",   <---------- Now this domain is successfully added as Managed and not inheriting Federated status
          "availabilityStatus": null,
          "isAdminManaged": true,
          "isDefault": false,
          "isDefaultForCloudRedirections": false,
          "isInitial": false,
          "isRoot": true,   <------------------------------ Also a root domain, so not inheriting from parent domain any longer
          "isVerified": true,
          "name": "child.mydomain.com",
          "supportedServices": [
              "Email",
              "OfficeCommunicationsOnline",
              "Intune"
          ],
          "forceDeleteState": null,
          "state": null,
          "passwordValidityPeriodInDays": null,
          "passwordNotificationWindowInDays": null }
    

Étapes suivantes