Több tartomány támogatása a Microsoft Entra-azonosítóval való összevonáshoz

Az alábbi dokumentáció útmutatást nyújt arra vonatkozóan, hogyan használhat több legfelső szintű tartományt és altartományt a Microsoft 365 vagy a Microsoft Entra tartományokkal való összevonáskor.

Több legfelső szintű tartományi támogatás

Ha több legfelső szintű tartományt egyesít a Microsoft Entra-azonosítóval, az olyan további konfigurációt igényel, amelyek nem szükségesek egy legfelső szintű tartomány összevonásához.

Ha egy tartomány össze van kapcsolva a Microsoft Entra-azonosítóval, több tulajdonság is be van állítva az Azure-beli tartományban. Az egyik fontos az IssuerUri. Ez a tulajdonság egy URI, amelyet a Microsoft Entra ID használ annak a tartománynak a azonosítására, amelyhez a jogkivonat társítva van. Az URI-nak nem kell semmit megoldania, csak érvényes URI-nak kell lennie. A Microsoft Entra ID alapértelmezés szerint a helyszíni AD FS-konfiguráció összevonási szolgáltatásazonosítójának értékére állítja be az URI-t.

Feljegyzés

Az összevonási szolgáltatás azonosítója egy URI, amely egyedileg azonosít egy összevonási szolgáltatást. Az összevonási szolgáltatás az AD FS egy példánya, amely biztonsági jogkivonat-szolgáltatásként működik.

A IssuerUri-t a PowerShell paranccsal Get-MsolDomainFederationSettings -DomainName <your domain>tekintheti meg.

Feljegyzés

Az Azure AD- és MSOnline PowerShell-modulok 2024. március 30-ától elavultak. További információkért olvassa el az elavulás frissítését. Ezen dátum után ezeknek a moduloknak a támogatása a Microsoft Graph PowerShell SDK-ra való migrálásra és a biztonsági javításokra korlátozódik. Az elavult modulok 2025. március 30-ától működnek tovább.

Javasoljuk, hogy migráljon a Microsoft Graph PowerShellbe a Microsoft Entra ID (korábbi nevén Azure AD) használatához. Gyakori migrálási kérdésekért tekintse meg a migrálással kapcsolatos gyakori kérdéseket. Megjegyzés: Az MSOnline 1.0.x verziói 2024. június 30. után fennakadást tapasztalhatnak.

Probléma merül fel, ha egynél több legfelső szintű tartományt ad hozzá. Tegyük fel például, hogy összevonást állított be a Microsoft Entra ID és a helyszíni környezet között. Ebben a dokumentumban a tartomány bmcontoso.com van használatban. Most hozzáadtunk egy második legfelső szintű tartományt bmfabrikam.com.

Amikor a bmfabrikam.com tartományt összevonandóvá próbálja konvertálni, hiba történik. Ennek az az oka, hogy a Microsoft Entra ID olyan korlátozással rendelkezik, amely nem teszi lehetővé, hogy a IssuerUri tulajdonság több tartomány esetében is ugyanazt az értéket használja.

SupportMultipleDomain paraméter

A korlátozás megkerüléséhez egy másik IssuerUri-t kell hozzáadnia, amely a -SupportMultipleDomain paraméter használatával végezhető el. Ez a paraméter a következő parancsmagokkal használható:

• New-MsolFederatedDomain
• Convert-MsolDomaintoFederated
• Update-MsolFederatedDomain

Ez a paraméter konfigurálja a Microsoft Entra-azonosítót úgy, hogy az a tartomány neve alapján legyen konfigurálva. A IssuerUri a Microsoft Entra ID könyvtáraiban egyedi lesz. A paraméter használatával a PowerShell-parancs sikeresen befejeződhet.

A bmfabrikam.com tartomány képernyőképén a következő beállítások láthatók:

-SupportMultipleDomain nem módosítja a többi végpontot, amelyek továbbra is úgy vannak konfigurálva, hogy a adfs.bmcontoso.com összevonási szolgáltatásra mutasson.

-SupportMultipleDomain emellett biztosítja, hogy az AD FS-rendszer tartalmazza a Megfelelő kiállítói értéket a Microsoft Entra ID-hoz kibocsátott jogkivonatokban. Ez az érték úgy van beállítva, hogy figyelembe veszi a felhasználó UPN tartományrészét, és tartományként használja azt az IssuerUri-ban, https://{upn suffix}/adfs/services/trustazaz.

Így a Microsoft Entra ID-val vagy a Microsoft 365-höz való hitelesítés során a felhasználó jogkivonatában található IssuerUri elem a tartomány Megkeresésére szolgál a Microsoft Entra-azonosítóban. Ha nem található egyezés, a hitelesítés sikertelen lesz.

Ha például egy felhasználó UPN-értéke , bsimon@bmcontoso.comakkor a jogkivonatBan szereplő IssuerUri elem, az AD FS-kiállító értéke a következő lesz http://bmcontoso.com/adfs/services/trust: . Ez az elem megfelel a Microsoft Entra konfigurációjának, és a hitelesítés sikeres lesz.

A következő testreszabott jogcímszabály implementálja ezt a logikát:

c:[Type == "http://schemas.xmlsoap.org/claims/UPN"] => issue(Type = "http://schemas.microsoft.com/ws/2008/06/identity/claims/issuerid", Value = regexreplace(c.Value, ".+@(?<domain>.+)", "http://${domain}/adfs/services/trust/"));

Fontos

Ahhoz, hogy a -SupportMultipleDomain kapcsolót új vagy már meglévő tartományok konvertálásakor használja, az összevont megbízhatósági kapcsolatot már be kell állítani a támogatásukhoz.

Az AD FS és a Microsoft Entra ID közötti megbízhatóság frissítése

Ha nem állította be az összevont megbízhatóságot az AD FS és a Microsoft Entra ID-példány között, előfordulhat, hogy újra létre kell hoznia ezt a megbízhatósági kapcsolatot. Ennek az az oka, hogy ha eredetileg a -SupportMultipleDomain paraméter nélkül van beállítva, az IssuerUri értéke az alapértelmezett érték. Az alábbi képernyőképen láthatja, hogy a IssuerUri értéke https://adfs.bmcontoso.com/adfs/services/trust.

Ha sikeresen hozzáadott egy új tartományt a Microsoft Entra felügyeleti központban , majd megkísérli átalakítani a használatával Convert-MsolDomaintoFederated -DomainName <your domain>, a következő hibaüzenet jelenik meg.

Ha megpróbálja hozzáadni a -SupportMultipleDomain kapcsolót, a következő hibaüzenet jelenik meg:

Az eredeti tartományon való futtatás Update-MsolFederatedDomain -DomainName <your domain> -SupportMultipleDomain is hibát fog eredményezni.

Az alábbi lépésekkel további legfelső szintű tartományt vehet fel. Ha már felvett egy tartományt, és nem használta a -SupportMultipleDomain paramétert, kezdje az eredeti tartomány eltávolításának és frissítésének lépéseivel. Ha még nem adott hozzá legfelső szintű tartományt, a Microsoft Entra Csatlakozás PowerShell használatával kezdheti el a tartomány hozzáadásának lépéseit.

Az alábbi lépésekkel eltávolíthatja a Microsoft Online megbízhatóságát, és frissítheti az eredeti tartományt.

1. Az AD FS összevonási kiszolgálón nyissa meg az AD FS Managementet.
2. A bal oldalon bontsa ki a Megbízhatósági kapcsolatok és a Függő entitás megbízhatósága elemet.
3. A jobb oldalon törölje a Microsoft Office 365 Identity Platform bejegyzést.
4. Azon a gépen, amelyen telepítve van az Azure AD PowerShell-modul , futtassa a következő PowerShellt: $cred=Get-Credential.
5. Adja meg a hibrid identitás Rendszergazda istrator felhasználónevét és jelszavát ahhoz a Microsoft Entra-tartományhoz, amellyel összevonta.
6. A PowerShellben adja meg a következőt Connect-MsolService -Credential $cred:
7. A PowerShellben adja meg a következőt Update-MSOLFederatedDomain -DomainName <Federated Domain Name> -SupportMultipleDomain: Ez a frissítés az eredeti tartományra tartozik. A fenti tartományok használata tehát a következő lenne: Update-MsolFederatedDomain -DomainName bmcontoso.com -SupportMultipleDomain

Az alábbi lépések végrehajtásával vegye fel az új legfelső szintű tartományt a PowerShell használatával

1. Azon a gépen, amelyen telepítve van az Azure AD PowerShell-modul , futtassa a következő PowerShellt: $cred=Get-Credential.
2. Adja meg a hibrid identitás Rendszergazda istrator felhasználónevét és jelszavát ahhoz a Microsoft Entra-tartományhoz, amellyel összevont
3. A PowerShellben adja meg az Connect-MsolService -Credential $cred
4. A PowerShellben adja meg az New-MsolFederatedDomain –SupportMultipleDomain –DomainName

Az alábbi lépésekkel hozzáadhatja az új legfelső szintű tartományt a Microsoft Entra Csatlakozás használatával.

1. A Microsoft Entra Csatlakozás indítása az asztalról vagy a start menüből
2. Válassza a "További Microsoft Entra-tartomány hozzáadása" lehetőséget
3. Adja meg Microsoft Entra-azonosítóját és Active Directory-hitelesítő adatait
4. Válassza ki az összevonáshoz konfigurálni kívánt második tartományt.
5. Kattintson a Telepítés gombra

Az új legfelső szintű tartomány ellenőrzése

A PowerShell-paranccsal Get-MsolDomainFederationSettings -DomainName <your domain>megtekintheti a frissített IssuerUri-t. Az alábbi képernyőképen látható, hogy az összevonási beállítások frissültek az eredeti tartományban http://bmcontoso.com/adfs/services/trust

Az új tartomány kiállítóiurija pedig a következőre van beállítva: https://bmcontoso.com/adfs/services/trust

Altartományok támogatása

Altartomány hozzáadásakor a Microsoft Entra ID által kezelt tartományok miatt az örökli a szülő beállításait. Tehát a KibocsátóUri-nak egyeznie kell a szülőkével.

Tegyük fel például, hogy bmcontoso.com, majd adja hozzá corp.bmcontoso.com. A corp.bmcontoso.com felhasználó kiállítóiuri-jának kell lennie http://bmcontoso.com/adfs/services/trust. A Microsoft Entra ID-hoz fentebb implementált standard szabály azonban létrehoz egy jogkivonatot egy kiállítóval, mint http://corp.bmcontoso.com/adfs/services/trust. amely nem egyezik meg a tartomány szükséges értékével, és a hitelesítés sikertelen lesz.

Az altartományok támogatásának engedélyezése

Ennek a viselkedésnek a megkerüléséhez frissíteni kell a Microsoft Online AD FS-függő entitás megbízhatóságát. Ehhez konfigurálnia kell egy egyéni jogcímszabályt, hogy az eltávolítsa az altartományokat a felhasználó UPN-utótagjából az egyéni kiállítói érték létrehozásakor.

Használja a következő jogcímet:

c:[Type == "http://schemas.xmlsoap.org/claims/UPN"] => issue(Type = "http://schemas.microsoft.com/ws/2008/06/identity/claims/issuerid", Value = regexreplace(c.Value, "^.*@([^.]+\.)*?(?<domain>([^.]+\.?){2})$", "http://${domain}/adfs/services/trust/"));

[! MEGJEGYZÉS] A reguláris kifejezéskészlet utolsó száma az, hogy hány szülőtartomány található a gyökértartományban. Itt bmcontoso.com van használatban, ezért két szülőtartományra van szükség. Ha három szülőtartományt kellene megőrizni (vagyis corp.bmcontoso.com), akkor a szám három lett volna. Végül egy tartomány jelezhető, az egyezés mindig a tartományok maximális értékének megfelelő lesz. A "{2,3}" két-három tartományhoz (vagyis bmfabrikam.com és corp.bmcontoso.com) fog egyezni.

Az alábbi lépésekkel egyéni jogcímet adhat hozzá az altartományok támogatásához.

1. Az AD FS management megnyitása

2. Kattintson a jobb gombbal a Microsoft Online RP megbízhatóságára, és válassza a Jogcímszabályok szerkesztése parancsot

3. Válassza ki a harmadik jogcímszabályt, és cserélje le

4. Cserélje le az aktuális jogcímet:

   c:[Type == "http://schemas.xmlsoap.org/claims/UPN"] => issue(Type = "http://schemas.microsoft.com/ws/2008/06/identity/claims/issuerid", Value = regexreplace(c.Value, ".+@(?<domain>.+)","http://${domain}/adfs/services/trust/"));
   

   nevű és

   c:[Type == "http://schemas.xmlsoap.org/claims/UPN"] => issue(Type = "http://schemas.microsoft.com/ws/2008/06/identity/claims/issuerid", Value = regexreplace(c.Value, "^.*@([^.]+\.)*?(?<domain>([^.]+\.?){2})$", "http://${domain}/adfs/services/trust/"));
   

   

5. Kattintson az OK gombra. Kattintson az Alkalmaz gombra. Kattintson az OK gombra. Zárja be az AD FS felügyeleti konzolt.

Következő lépések

Most, hogy telepítette a Microsoft Entra Csatlakozás, ellenőrizheti a telepítést, és licenceket rendelhet hozzá.

További információ a telepítéssel engedélyezett funkciókról: Automatikus frissítés, Véletlen törlés megakadályozása és Microsoft Entra Csatlakozás Health.

Ismerje meg részletesebben a következő általános témaköröket: az ütemező és a szinkronizálási események indítása.

További információ a helyszíni identitások Microsoft Entra-azonosítóval való integrálásáról.