Altartomány-hitelesítés típusának módosítása a Microsoft Entra-azonosítóban
Miután hozzáadtak egy gyökértartományt a Microsoft Entra-azonosítóhoz a Microsoft Entra részeként, a Microsoft Entra-szervezetben a gyökérhez hozzáadott összes további altartomány automatikusan örökli a hitelesítési beállítást a gyökértartományból. Ha azonban a tartományhitelesítési beállításokat a gyökértartomány beállításaitól függetlenül szeretné kezelni, most már használhatja a Microsoft Graph API-t. Ha például összevont gyökértartománya van (például a contoso.com), ez a cikk segítséget nyújthat abban, ha egy altartományt (például a child.contoso.com) összevont helyett felügyeltként szeretne kezelni.
Az Azure Portalon, amikor a szülőtartomány összevont, és a rendszergazda megpróbál ellenőrizni egy felügyelt altartományt az Egyéni tartománynevek lapon, a "Nem sikerült tartomány hozzáadása" hibaüzenet jelenik meg a következő okból: "Egy vagy több tulajdonság érvénytelen értékeket tartalmaz". Ha megpróbálja hozzáadni ezt az altartományt a Microsoft 365 Felügyeleti központ, hasonló hibaüzenet jelenik meg. A hibával kapcsolatos további információkért lásd : A gyermektartomány nem örökli a szülőtartomány módosításait az Office 365-ben, az Azure-ban vagy az Intune-ban.
Mivel az altartományok alapértelmezés szerint öröklik a gyökértartomány hitelesítési típusát, a Microsoft Graph használatával elő kell léptetnie az altartományt egy gyökértartományba a Microsoft Entra ID-ban, hogy a hitelesítési típust a kívánt típusra állítsa.
Feljegyzés
Az Azure AD- és MSOnline PowerShell-modulok 2024. március 30-ától elavultak. További információkért olvassa el az elavulás frissítését. Ezen dátum után ezeknek a moduloknak a támogatása a Microsoft Graph PowerShell SDK-ra való migrálásra és a biztonsági javításokra korlátozódik. Az elavult modulok 2025. március 30-ától működnek tovább.
Javasoljuk, hogy migráljon a Microsoft Graph PowerShellbe a Microsoft Entra ID (korábbi nevén Azure AD) használatához. Gyakori migrálási kérdésekért tekintse meg a migrálással kapcsolatos gyakori kérdéseket. Megjegyzés: Az MSOnline 1.0.x verziói 2024. június 30. után fennakadást tapasztalhatnak.
Figyelmeztetés
Ez a kód példaként szolgál a bemutató célokra. Ha a környezetében szeretné használni, érdemes lehet először kis léptékben vagy egy külön tesztszervezetben tesztelni. Előfordulhat, hogy módosítania kell a kódot, hogy megfeleljen a környezet adott igényeinek.
Az altartomány hozzáadása
A PowerShell használatával adja hozzá az új altartományt, amely a gyökértartomány alapértelmezett hitelesítési típusával rendelkezik. A Microsoft Entra-azonosító és a Microsoft 365 Felügyeleti központ még nem támogatják ezt a műveletet.
Connect-MgGraph -Scopes "Domain.ReadWrite.All" $param = @{ id="test.contoso.com" AuthenticationType="Federated" } New-MgDomain -Name "child.mydomain.com" -Authentication Federated
A tartomány lekéréséhez használja az alábbi példát. Mivel a tartomány nem gyökértartomány, örökli a gyökértartomány-hitelesítési típust. A parancs és az eredmények a következőképpen nézhetnek ki a saját bérlőazonosító használatával:
GET https://graph.microsoft.com/v1.0/domains/foo.contoso.com/
Return:
{
"authenticationType": "Federated",
"availabilityStatus": null,
"isAdminManaged": true,
"isDefault": false,
"isDefaultForCloudRedirections": false,
"isInitial": false,
"isRoot": false, <---------------- Not a root domain, so it inherits parent domain's authentication type (federated)
"isVerified": true,
"name": "child.mydomain.com",
"supportedServices": [],
"forceDeleteState": null,
"state": null,
"passwordValidityPeriodInDays": null,
"passwordNotificationWindowInDays": null
},
Altartomány módosítása gyökértartományra
Az altartomány előléptetéséhez használja az alábbi parancsot:
POST https://graph.microsoft.com/v1.0/{tenant-id}/domains/foo.contoso.com/promote
Parancshibák előléptetése
Eset | Metódus | Kód | Üzenet |
---|---|---|---|
API meghívása olyan altartománysal, amelynek szülőtartománya nincs ellenőrizve | POST | 400 | A nem ellenőrzött tartományok nem előléptethetők. Az előléptetés előtt ellenőrizze a tartományt. |
API meghívása összevont ellenőrzött altartománysal felhasználói hivatkozásokkal | POST | 400 | Nem lehet előléptetni egy altartományt felhasználói hivatkozásokkal. Az altartomány előléptetése előtt migrálja a felhasználókat az aktuális gyökértartományba. |
Az altartomány-hitelesítés típusának módosítása felügyeltre
Fontos
Ha módosítja az összevont altartomány hitelesítési típusát, az alábbi lépések végrehajtása előtt vegye figyelembe a meglévő összevonási konfigurációs értékeket. Ezek az információk akkor válhatnak szükségessé, ha úgy dönt, hogy a tartomány előléptetése előtt újra összevonást hoz létre.
Az altartomány-hitelesítés típusának módosításához használja az alábbi parancsot:
Connect-MGGraph -Scopes "Domain.ReadWrite.All", "Directory.AccessAsUser.All" Update-MgDomain -DomainId "test.contoso.com" -BodyParameter @{AuthenticationType="Managed"}
Ellenőrizze a Get in Microsoft Graph API-n keresztül, hogy az altartomány-hitelesítési típus kezelése megtörtént-e:
GET https://graph.microsoft.com/v1.0/domains/foo.contoso.com/ Return: { "authenticationType": "Managed", <---------- Now this domain is successfully added as Managed and not inheriting Federated status "availabilityStatus": null, "isAdminManaged": true, "isDefault": false, "isDefaultForCloudRedirections": false, "isInitial": false, "isRoot": true, <------------------------------ Also a root domain, so not inheriting from parent domain any longer "isVerified": true, "name": "child.mydomain.com", "supportedServices": [ "Email", "OfficeCommunicationsOnline", "Intune" ], "forceDeleteState": null, "state": null, "passwordValidityPeriodInDays": null, "passwordNotificationWindowInDays": null }