Több tartomány támogatása a Microsoft Entra-azonosítóval való összevonáshoz
Az alábbi dokumentáció útmutatást nyújt arra vonatkozóan, hogyan használhat több legfelső szintű tartományt és altartományt a Microsoft 365 vagy a Microsoft Entra tartományokkal való összevonáskor.
Több legfelső szintű tartományi támogatás
Ha több legfelső szintű tartományt egyesít a Microsoft Entra-azonosítóval, az olyan további konfigurációt igényel, amelyek nem szükségesek egy legfelső szintű tartomány összevonásához.
Ha egy tartomány össze van kapcsolva a Microsoft Entra-azonosítóval, több tulajdonság is be van állítva az Azure-beli tartományban. Az egyik fontos az IssuerUri. Ez a tulajdonság egy URI, amelyet a Microsoft Entra ID használ annak a tartománynak a azonosítására, amelyhez a jogkivonat társítva van. Az URI-nak nem kell semmit megoldania, csak érvényes URI-nak kell lennie. A Microsoft Entra ID alapértelmezés szerint a helyszíni AD FS-konfiguráció összevonási szolgáltatásazonosítójának értékére állítja be az URI-t.
Feljegyzés
Az összevonási szolgáltatás azonosítója egy URI, amely egyedileg azonosít egy összevonási szolgáltatást. Az összevonási szolgáltatás az AD FS egy példánya, amely biztonsági jogkivonat-szolgáltatásként működik.
A IssuerUri-t a PowerShell paranccsal Get-MsolDomainFederationSettings -DomainName <your domain>
tekintheti meg.
Feljegyzés
Az Azure AD- és MSOnline PowerShell-modulok 2024. március 30-ától elavultak. További információkért olvassa el az elavulás frissítését. Ezen dátum után ezeknek a moduloknak a támogatása a Microsoft Graph PowerShell SDK-ra való migrálásra és a biztonsági javításokra korlátozódik. Az elavult modulok 2025. március 30-ától működnek tovább.
Javasoljuk, hogy migráljon a Microsoft Graph PowerShellbe a Microsoft Entra ID (korábbi nevén Azure AD) használatához. Gyakori migrálási kérdésekért tekintse meg a migrálással kapcsolatos gyakori kérdéseket. Megjegyzés: Az MSOnline 1.0.x verziói 2024. június 30. után fennakadást tapasztalhatnak.
Probléma merül fel, ha egynél több legfelső szintű tartományt ad hozzá. Tegyük fel például, hogy összevonást állított be a Microsoft Entra ID és a helyszíni környezet között. Ebben a dokumentumban a tartomány bmcontoso.com van használatban. Most hozzáadtunk egy második legfelső szintű tartományt bmfabrikam.com.
Amikor a bmfabrikam.com tartományt összevonandóvá próbálja konvertálni, hiba történik. Ennek az az oka, hogy a Microsoft Entra ID olyan korlátozással rendelkezik, amely nem teszi lehetővé, hogy a IssuerUri tulajdonság több tartomány esetében is ugyanazt az értéket használja.
SupportMultipleDomain paraméter
A korlátozás megkerüléséhez egy másik IssuerUri-t kell hozzáadnia, amely a -SupportMultipleDomain
paraméter használatával végezhető el. Ez a paraméter a következő parancsmagokkal használható:
New-MsolFederatedDomain
Convert-MsolDomaintoFederated
Update-MsolFederatedDomain
Ez a paraméter konfigurálja a Microsoft Entra-azonosítót úgy, hogy az a tartomány neve alapján legyen konfigurálva. A IssuerUri a Microsoft Entra ID könyvtáraiban egyedi lesz. A paraméter használatával a PowerShell-parancs sikeresen befejeződhet.
A bmfabrikam.com tartomány képernyőképén a következő beállítások láthatók:
-SupportMultipleDomain
nem módosítja a többi végpontot, amelyek továbbra is úgy vannak konfigurálva, hogy a adfs.bmcontoso.com összevonási szolgáltatásra mutasson.
-SupportMultipleDomain
emellett biztosítja, hogy az AD FS-rendszer tartalmazza a Megfelelő kiállítói értéket a Microsoft Entra ID-hoz kibocsátott jogkivonatokban. Ez az érték úgy van beállítva, hogy figyelembe veszi a felhasználó UPN tartományrészét, és tartományként használja azt az IssuerUri-ban, https://{upn suffix}/adfs/services/trust
azaz.
Így a Microsoft Entra ID-val vagy a Microsoft 365-höz való hitelesítés során a felhasználó jogkivonatában található IssuerUri elem a tartomány Megkeresésére szolgál a Microsoft Entra-azonosítóban. Ha nem található egyezés, a hitelesítés sikertelen lesz.
Ha például egy felhasználó UPN-értéke , bsimon@bmcontoso.comakkor a jogkivonatBan szereplő IssuerUri elem, az AD FS-kiállító értéke a következő lesz http://bmcontoso.com/adfs/services/trust
: . Ez az elem megfelel a Microsoft Entra konfigurációjának, és a hitelesítés sikeres lesz.
A következő testreszabott jogcímszabály implementálja ezt a logikát:
c:[Type == "http://schemas.xmlsoap.org/claims/UPN"] => issue(Type = "http://schemas.microsoft.com/ws/2008/06/identity/claims/issuerid", Value = regexreplace(c.Value, ".+@(?<domain>.+)", "http://${domain}/adfs/services/trust/"));
Fontos
Ahhoz, hogy a -SupportMultipleDomain kapcsolót új vagy már meglévő tartományok konvertálásakor használja, az összevont megbízhatósági kapcsolatot már be kell állítani a támogatásukhoz.
Az AD FS és a Microsoft Entra ID közötti megbízhatóság frissítése
Ha nem állította be az összevont megbízhatóságot az AD FS és a Microsoft Entra ID-példány között, előfordulhat, hogy újra létre kell hoznia ezt a megbízhatósági kapcsolatot. Ennek az az oka, hogy ha eredetileg a -SupportMultipleDomain
paraméter nélkül van beállítva, az IssuerUri értéke az alapértelmezett érték. Az alábbi képernyőképen láthatja, hogy a IssuerUri értéke https://adfs.bmcontoso.com/adfs/services/trust
.
Ha sikeresen hozzáadott egy új tartományt a Microsoft Entra felügyeleti központban , majd megkísérli átalakítani a használatával Convert-MsolDomaintoFederated -DomainName <your domain>
, a következő hibaüzenet jelenik meg.
Ha megpróbálja hozzáadni a -SupportMultipleDomain
kapcsolót, a következő hibaüzenet jelenik meg:
Az eredeti tartományon való futtatás Update-MsolFederatedDomain -DomainName <your domain> -SupportMultipleDomain
is hibát fog eredményezni.
Az alábbi lépésekkel további legfelső szintű tartományt vehet fel. Ha már felvett egy tartományt, és nem használta a -SupportMultipleDomain
paramétert, kezdje az eredeti tartomány eltávolításának és frissítésének lépéseivel. Ha még nem adott hozzá legfelső szintű tartományt, a Microsoft Entra Csatlakozás PowerShell használatával kezdheti el a tartomány hozzáadásának lépéseit.
Az alábbi lépésekkel eltávolíthatja a Microsoft Online megbízhatóságát, és frissítheti az eredeti tartományt.
- Az AD FS összevonási kiszolgálón nyissa meg az AD FS Managementet.
- A bal oldalon bontsa ki a Megbízhatósági kapcsolatok és a Függő entitás megbízhatósága elemet.
- A jobb oldalon törölje a Microsoft Office 365 Identity Platform bejegyzést.
- Azon a gépen, amelyen telepítve van az Azure AD PowerShell-modul , futtassa a következő PowerShellt:
$cred=Get-Credential
. - Adja meg a hibrid identitás Rendszergazda istrator felhasználónevét és jelszavát ahhoz a Microsoft Entra-tartományhoz, amellyel összevonta.
- A PowerShellben adja meg a következőt
Connect-MsolService -Credential $cred
: - A PowerShellben adja meg a következőt
Update-MSOLFederatedDomain -DomainName <Federated Domain Name> -SupportMultipleDomain
: Ez a frissítés az eredeti tartományra tartozik. A fenti tartományok használata tehát a következő lenne:Update-MsolFederatedDomain -DomainName bmcontoso.com -SupportMultipleDomain
Az alábbi lépések végrehajtásával vegye fel az új legfelső szintű tartományt a PowerShell használatával
- Azon a gépen, amelyen telepítve van az Azure AD PowerShell-modul , futtassa a következő PowerShellt:
$cred=Get-Credential
. - Adja meg a hibrid identitás Rendszergazda istrator felhasználónevét és jelszavát ahhoz a Microsoft Entra-tartományhoz, amellyel összevont
- A PowerShellben adja meg az
Connect-MsolService -Credential $cred
- A PowerShellben adja meg az
New-MsolFederatedDomain –SupportMultipleDomain –DomainName
Az alábbi lépésekkel hozzáadhatja az új legfelső szintű tartományt a Microsoft Entra Csatlakozás használatával.
- A Microsoft Entra Csatlakozás indítása az asztalról vagy a start menüből
- Válassza a "További Microsoft Entra-tartomány hozzáadása" lehetőséget
- Adja meg Microsoft Entra-azonosítóját és Active Directory-hitelesítő adatait
- Válassza ki az összevonáshoz konfigurálni kívánt második tartományt.
- Kattintson a Telepítés gombra
Az új legfelső szintű tartomány ellenőrzése
A PowerShell-paranccsal Get-MsolDomainFederationSettings -DomainName <your domain>
megtekintheti a frissített IssuerUri-t. Az alábbi képernyőképen látható, hogy az összevonási beállítások frissültek az eredeti tartományban http://bmcontoso.com/adfs/services/trust
Az új tartomány kiállítóiurija pedig a következőre van beállítva: https://bmcontoso.com/adfs/services/trust
Altartományok támogatása
Altartomány hozzáadásakor a Microsoft Entra ID által kezelt tartományok miatt az örökli a szülő beállításait. Tehát a KibocsátóUri-nak egyeznie kell a szülőkével.
Tegyük fel például, hogy bmcontoso.com, majd adja hozzá corp.bmcontoso.com. A corp.bmcontoso.com felhasználó kiállítóiuri-jának kell lennie http://bmcontoso.com/adfs/services/trust
. A Microsoft Entra ID-hoz fentebb implementált standard szabály azonban létrehoz egy jogkivonatot egy kiállítóval, mint http://corp.bmcontoso.com/adfs/services/trust
. amely nem egyezik meg a tartomány szükséges értékével, és a hitelesítés sikertelen lesz.
Az altartományok támogatásának engedélyezése
Ennek a viselkedésnek a megkerüléséhez frissíteni kell a Microsoft Online AD FS-függő entitás megbízhatóságát. Ehhez konfigurálnia kell egy egyéni jogcímszabályt, hogy az eltávolítsa az altartományokat a felhasználó UPN-utótagjából az egyéni kiállítói érték létrehozásakor.
Használja a következő jogcímet:
c:[Type == "http://schemas.xmlsoap.org/claims/UPN"] => issue(Type = "http://schemas.microsoft.com/ws/2008/06/identity/claims/issuerid", Value = regexreplace(c.Value, "^.*@([^.]+\.)*?(?<domain>([^.]+\.?){2})$", "http://${domain}/adfs/services/trust/"));
[! MEGJEGYZÉS] A reguláris kifejezéskészlet utolsó száma az, hogy hány szülőtartomány található a gyökértartományban. Itt bmcontoso.com van használatban, ezért két szülőtartományra van szükség. Ha három szülőtartományt kellene megőrizni (vagyis corp.bmcontoso.com), akkor a szám három lett volna. Végül egy tartomány jelezhető, az egyezés mindig a tartományok maximális értékének megfelelő lesz. A "{2,3}" két-három tartományhoz (vagyis bmfabrikam.com és corp.bmcontoso.com) fog egyezni.
Az alábbi lépésekkel egyéni jogcímet adhat hozzá az altartományok támogatásához.
Az AD FS management megnyitása
Kattintson a jobb gombbal a Microsoft Online RP megbízhatóságára, és válassza a Jogcímszabályok szerkesztése parancsot
Válassza ki a harmadik jogcímszabályt, és cserélje le
Cserélje le az aktuális jogcímet:
c:[Type == "http://schemas.xmlsoap.org/claims/UPN"] => issue(Type = "http://schemas.microsoft.com/ws/2008/06/identity/claims/issuerid", Value = regexreplace(c.Value, ".+@(?<domain>.+)","http://${domain}/adfs/services/trust/"));
nevű és
c:[Type == "http://schemas.xmlsoap.org/claims/UPN"] => issue(Type = "http://schemas.microsoft.com/ws/2008/06/identity/claims/issuerid", Value = regexreplace(c.Value, "^.*@([^.]+\.)*?(?<domain>([^.]+\.?){2})$", "http://${domain}/adfs/services/trust/"));
Kattintson az OK gombra. Kattintson az Alkalmaz gombra. Kattintson az OK gombra. Zárja be az AD FS felügyeleti konzolt.
Következő lépések
Most, hogy telepítette a Microsoft Entra Csatlakozás, ellenőrizheti a telepítést, és licenceket rendelhet hozzá.
További információ a telepítéssel engedélyezett funkciókról: Automatikus frissítés, Véletlen törlés megakadályozása és Microsoft Entra Csatlakozás Health.
Ismerje meg részletesebben a következő általános témaköröket: az ütemező és a szinkronizálási események indítása.
További információ a helyszíni identitások Microsoft Entra-azonosítóval való integrálásáról.
Visszajelzés
https://aka.ms/ContentUserFeedback.
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ:Visszajelzés küldése és megtekintése a következőhöz: