Megosztás a következőn keresztül:


Altartomány-hitelesítés típusának módosítása a Microsoft Entra-azonosítóban

Miután hozzáadtak egy gyökértartományt a Microsoft Entra-azonosítóhoz a Microsoft Entra részeként, a Microsoft Entra-szervezetben a gyökérhez hozzáadott összes további altartomány automatikusan örökli a hitelesítési beállítást a gyökértartományból. Ha azonban a tartományhitelesítési beállításokat a gyökértartomány beállításaitól függetlenül szeretné kezelni, most már használhatja a Microsoft Graph API-t. Ha például összevont gyökértartománya van (például a contoso.com), ez a cikk segítséget nyújthat abban, ha egy altartományt (például a child.contoso.com) összevont helyett felügyeltként szeretne kezelni.

Az Azure Portalon, amikor a szülőtartomány összevont, és a rendszergazda megpróbál ellenőrizni egy felügyelt altartományt az Egyéni tartománynevek lapon, a "Nem sikerült tartomány hozzáadása" hibaüzenet jelenik meg a következő okból: "Egy vagy több tulajdonság érvénytelen értékeket tartalmaz". Ha megpróbálja hozzáadni ezt az altartományt a Microsoft 365 Felügyeleti központ, hasonló hibaüzenet jelenik meg. A hibával kapcsolatos további információkért lásd : A gyermektartomány nem örökli a szülőtartomány módosításait az Office 365-ben, az Azure-ban vagy az Intune-ban.

Mivel az altartományok alapértelmezés szerint öröklik a gyökértartomány hitelesítési típusát, a Microsoft Graph használatával elő kell léptetnie az altartományt egy gyökértartományba a Microsoft Entra ID-ban, hogy a hitelesítési típust a kívánt típusra állítsa.

Feljegyzés

Az Azure AD- és MSOnline PowerShell-modulok 2024. március 30-ától elavultak. További információkért olvassa el az elavulás frissítését. Ezen dátum után ezeknek a moduloknak a támogatása a Microsoft Graph PowerShell SDK-ra való migrálásra és a biztonsági javításokra korlátozódik. Az elavult modulok 2025. március 30-ától működnek tovább.

Javasoljuk, hogy migráljon a Microsoft Graph PowerShellbe a Microsoft Entra ID (korábbi nevén Azure AD) használatához. Gyakori migrálási kérdésekért tekintse meg a migrálással kapcsolatos gyakori kérdéseket. Megjegyzés: Az MSOnline 1.0.x verziói 2024. június 30. után fennakadást tapasztalhatnak.

Figyelmeztetés

Ez a kód példaként szolgál a bemutató célokra. Ha a környezetében szeretné használni, érdemes lehet először kis léptékben vagy egy külön tesztszervezetben tesztelni. Előfordulhat, hogy módosítania kell a kódot, hogy megfeleljen a környezet adott igényeinek.

Az altartomány hozzáadása

  1. A PowerShell használatával adja hozzá az új altartományt, amely a gyökértartomány alapértelmezett hitelesítési típusával rendelkezik. A Microsoft Entra-azonosító és a Microsoft 365 Felügyeleti központ még nem támogatják ezt a műveletet.

    Connect-MgGraph -Scopes "Domain.ReadWrite.All"
     $param = @{
       id="test.contoso.com"
       AuthenticationType="Federated"  
      }
    New-MgDomain -Name "child.mydomain.com" -Authentication Federated
    
  2. A tartomány lekéréséhez használja az alábbi példát. Mivel a tartomány nem gyökértartomány, örökli a gyökértartomány-hitelesítési típust. A parancs és az eredmények a következőképpen nézhetnek ki a saját bérlőazonosító használatával:

Feljegyzés

A kérés kiadása közvetlenül a Graph Explorerben hajtható végre.

GET https://graph.microsoft.com/v1.0/domains/foo.contoso.com/

Return:
  {
      "authenticationType": "Federated",
      "availabilityStatus": null,
      "isAdminManaged": true,
      "isDefault": false,
      "isDefaultForCloudRedirections": false,
      "isInitial": false,
      "isRoot": false,          <---------------- Not a root domain, so it inherits parent domain's authentication type (federated)
      "isVerified": true,
      "name": "child.mydomain.com",
      "supportedServices": [],
      "forceDeleteState": null,
      "state": null,
      "passwordValidityPeriodInDays": null,
      "passwordNotificationWindowInDays": null
  },

Altartomány módosítása gyökértartományra

Az altartomány előléptetéséhez használja az alábbi parancsot:

POST https://graph.microsoft.com/v1.0/{tenant-id}/domains/foo.contoso.com/promote

Parancshibák előléptetése

Eset Metódus Kód Üzenet
API meghívása olyan altartománysal, amelynek szülőtartománya nincs ellenőrizve POST 400 A nem ellenőrzött tartományok nem előléptethetők. Az előléptetés előtt ellenőrizze a tartományt.
API meghívása összevont ellenőrzött altartománysal felhasználói hivatkozásokkal POST 400 Nem lehet előléptetni egy altartományt felhasználói hivatkozásokkal. Az altartomány előléptetése előtt migrálja a felhasználókat az aktuális gyökértartományba.

Az altartomány-hitelesítés típusának módosítása felügyeltre

Fontos

Ha módosítja az összevont altartomány hitelesítési típusát, az alábbi lépések végrehajtása előtt vegye figyelembe a meglévő összevonási konfigurációs értékeket. Ezek az információk akkor válhatnak szükségessé, ha úgy dönt, hogy a tartomány előléptetése előtt újra összevonást hoz létre.

  1. Az altartomány-hitelesítés típusának módosításához használja az alábbi parancsot:

    Connect-MGGraph -Scopes "Domain.ReadWrite.All", "Directory.AccessAsUser.All"
    Update-MgDomain -DomainId "test.contoso.com" -BodyParameter @{AuthenticationType="Managed"}
    
  2. Ellenőrizze a Get in Microsoft Graph API-n keresztül, hogy az altartomány-hitelesítési típus kezelése megtörtént-e:

    GET https://graph.microsoft.com/v1.0/domains/foo.contoso.com/
    
    Return:
      {
          "authenticationType": "Managed",   <---------- Now this domain is successfully added as Managed and not inheriting Federated status
          "availabilityStatus": null,
          "isAdminManaged": true,
          "isDefault": false,
          "isDefaultForCloudRedirections": false,
          "isInitial": false,
          "isRoot": true,   <------------------------------ Also a root domain, so not inheriting from parent domain any longer
          "isVerified": true,
          "name": "child.mydomain.com",
          "supportedServices": [
              "Email",
              "OfficeCommunicationsOnline",
              "Intune"
          ],
          "forceDeleteState": null,
          "state": null,
          "passwordValidityPeriodInDays": null,
          "passwordNotificationWindowInDays": null }
    

Következő lépések