Catatan
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba masuk atau mengubah direktori.
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba mengubah direktori.
Dokumentasi berikut ini menyediakan panduan tentang cara menggunakan beberapa domain dan subdomain tingkat atas saat bergabung dengan domain Microsoft 365 atau Microsoft Entra.
Beberapa dukungan domain tingkat atas
Menggabungkan beberapa domain tingkat atas dengan MICROSOFT Entra ID memerlukan beberapa konfigurasi tambahan yang tidak diperlukan saat menggabungkan dengan satu domain tingkat atas.
Saat domain digabungkan dengan ID Microsoft Entra, beberapa properti diatur pada domain di Azure. Salah satu yang penting adalah IssuerUri. Properti ini adalah URI yang digunakan oleh MICROSOFT Entra ID untuk mengidentifikasi domain yang terkait dengan token. URI tidak perlu mengarah ke apa pun, tetapi harus merupakan URI yang valid. Secara default, MICROSOFT Entra ID mengatur URI ke nilai pengidentifikasi layanan federasi dalam konfigurasi AD FS lokal Anda.
Catatan
Pengidentifikasi layanan federasi adalah URI yang secara unik mengidentifikasi layanan federasi. Layanan federasi adalah contoh AD FS yang berfungsi sebagai layanan token keamanan.
Anda bisa menampilkan IssuerUri dengan menggunakan perintah PowerShell Get-EntraDomainFederationSettings -DomainName <your domain>.
Timbul masalah saat Anda menambahkan lebih dari satu domain tingkat teratas. Misalnya, Anda telah menyiapkan federasi antara ID Microsoft Entra dan lingkungan lokal Anda. Untuk dokumen ini, domainnya, yaitu bmcontoso.com, sedang digunakan. Sekarang domain tingkat atas kedua, yaitu bmfabrikam.com, telah ditambahkan.
Ketika Anda mencoba untuk mengonversi domain bmfabrikam.com untuk difederasikan, terjadi kesalahan. Pasalnya, ID Microsoft Entra memiliki batasan yang tidak memungkinkan properti IssuerUri memiliki nilai yang sama untuk lebih dari satu domain.
Parameter DukunganDomainGanda
Untuk mengatasi kendala ini, Anda perlu menambahkan IssuerUri yang berbeda, yang dapat dilakukan dengan menggunakan parameter -SupportMultipleDomain. Parameter ini digunakan dengan cmdlet berikut:
New-MgDomainFederationConfigurationUpdate-MgDomainFederationConfiguration
Parameter ini membuat MICROSOFT Entra ID mengonfigurasi IssuerUri sehingga didasarkan pada nama domain. IssuerUri harus unik di seluruh direktori dalam Microsoft Entra ID. Dengan menggunakan parameter, perintah PowerShell berhasil diselesaikan.
-SupportMultipleDomain tidak mengubah titik akhir lainnya, yang tetap dikonfigurasi untuk menunjuk ke layanan federasi pada adfs.bmcontoso.com.
-SupportMultipleDomain juga memastikan bahwa sistem Layanan Federasi Direktori Aktif (AD FS) menyertakan nilai Penerbit yang tepat dalam token yang dikeluarkan untuk Microsoft Entra ID. Nilai ini ditetapkan dengan mengambil bagian domain dari UPN pengguna dan menggunakannya sebagai domain di IssuerUri, yaitu https://{upn suffix}/adfs/services/trust.
Dengan demikian selama autentikasi ke ID Microsoft Entra atau Microsoft 365, elemen IssuerUri dalam token pengguna digunakan untuk menemukan domain di ID Microsoft Entra. Jika kecocokan tidak dapat ditemukan, autentikasi gagal.
Misalnya, jika UPN pengguna adalah bsimon@bmcontoso.com, elemen IssuerUri pada token, issuer AD FS, diatur ke http://bmcontoso.com/adfs/services/trust. Elemen ini cocok dengan konfigurasi Microsoft Entra, dan autentikasi berhasil.
Aturan klaim yang dikustomisasi berikut mengimplementasikan logika ini:
c:[Type == "http://schemas.xmlsoap.org/claims/UPN"] => issue(Type = "http://schemas.microsoft.com/ws/2008/06/identity/claims/issuerid", Value = regexreplace(c.Value, ".+@(?<domain>.+)", "http://${domain}/adfs/services/trust/"));
Penting
Untuk menggunakan opsi -SupportMultipleDomain ketika mencoba menambahkan domain baru atau mengonversi domain yang sudah ada, trust federasi Anda harus sudah diatur untuk mendukung fungsi tersebut.
Cara memperbarui kepercayaan antara AD FS dan Microsoft Entra ID
Jika Anda tidak menyiapkan trust federasi antara AD FS dan instance Microsoft Entra ID Anda, Anda mungkin perlu membuat ulang trust ini. Alasannya adalah, ketika awalnya disiapkan tanpa -SupportMultipleDomain parameter , IssuerUri diatur dengan nilai default. Pada cuplikan layar di bawah ini, Anda dapat melihat IssuerUri diatur ke https://adfs.bmcontoso.com/adfs/services/trust.
Jika Anda berhasil menambahkan domain baru di pusat admin Microsoft Entra lalu mencoba mengonversinya menggunakan New-MgDomainFederationConfiguration -DomainName <your domain>, Anda akan mendapatkan kesalahan.
Gunakan langkah-langkah di bawah ini untuk menambahkan domain tingkat atas tambahan. Jika Anda telah menambahkan domain, dan tidak menggunakan -SupportMultipleDomain parameter , mulailah dengan langkah-langkah untuk menghapus dan memperbarui domain asli Anda. Jika Anda belum menambahkan domain tingkat atas, Anda bisa mulai dengan langkah-langkah untuk menambahkan domain menggunakan PowerShell dari Microsoft Entra Connect.
Gunakan langkah-langkah berikut untuk menghapus kepercayaan Microsoft Online dan memperbarui domain asli Anda.
- Di server federasi Layanan Federasi Direktori Aktif Anda, buka Manajemen Layanan Federasi Direktori Aktif.
- Di sebelah kiri, perluas Hubungan Kepercayaan dan Kepercayaan Pihak Mengandalkan.
- Di sebelah kanan, hapus entri Platform Identitas Microsoft Office 365.
- Di PowerShell, masukkan
Connect-Entra -Scopes 'Domain.ReadWrite.All'. - Di PowerShell, masukkan
Update-MgDomainFederationConfiguration -DomainName <Federated Domain Name> -SupportMultipleDomain. Pembaruan ini untuk domain asli. Jadi, jika menggunakan domain di atas akan menjadi:Update-MgDomainFederationConfiguration -DomainName bmcontoso.com -SupportMultipleDomain
Gunakan langkah-langkah berikut untuk menambahkan domain tingkat atas baru menggunakan PowerShell
- Pada komputer yang memiliki modul Azure ACTIVE Directory PowerShell yang terinstal di dalamnya, jalankan PowerShell berikut:
$cred=Get-Credential. - Masukkan nama pengguna dan kata sandi Administrator Identitas Hibrid untuk domain Microsoft Entra yang Anda gabungkan
- Di PowerShell, masukkan
Connect-Entra -Scopes 'Domain.ReadWrite.All' - Di PowerShell, masukkan
New-MgDomainFederationConfiguration –SupportMultipleDomain –DomainName
Gunakan langkah-langkah berikut untuk menambahkan domain tingkat atas baru menggunakan Microsoft Entra Connect.
- Luncurkan Microsoft Entra Connect dari desktop atau menu Start
- Pilih "Tambahkan Domain Microsoft Entra tambahan"
- Masukkan kredensial Microsoft Entra ID dan kredensial Direktori Aktif Anda
- Pilih domain kedua yang ingin Anda konfigurasi untuk federasi.
- Klik Pasang
Memverifikasi domain tingkat atas yang baru
Dengan menggunakan perintah PowerShell Get-MgDomainFederationConfiguration -DomainName <your domain>, Anda bisa melihat IssuerUri yang diperbarui. Cuplikan layar di bawah ini menunjukkan pengaturan federasi diperbarui pada domain asli http://bmcontoso.com/adfs/services/trust
Dan IssuerUri pada domain baru telah disetel ke https://bmcontoso.com/adfs/services/trust
Dukungan untuk subdomain
Saat Anda menambahkan subdomain, karena cara ID Microsoft Entra menangani domain, ID Microsoft Entra mewarisi pengaturan induk. Jadi, IssuerUri perlu mencocokkan induknya.
Misalnya, saya memiliki bmcontoso.com dan kemudian menambahkan corp.bmcontoso.com. Untuk pengguna dari corp.bmcontoso.com, IssuerUri perlu http://bmcontoso.com/adfs/services/trust. Namun, aturan standar yang diterapkan di atas untuk ID Microsoft Entra menghasilkan token dengan penerbit sebagai http://corp.bmcontoso.com/adfs/services/trust, yang tidak akan cocok dengan nilai yang diperlukan oleh domain, sehingga autentikasi gagal.
Cara mengaktifkan dukungan untuk subdomain
Untuk mengatasi perilaku ini, kepercayaan pihak AD FS untuk Microsoft Online perlu diperbarui. Untuk melakukan ini, Anda harus mengonfigurasi aturan klaim kustom sehingga menghapus subdomain apa pun dari akhiran UPN pengguna saat membangun nilai Penerbit kustom.
Gunakan klaim berikut:
c:[Type == "http://schemas.xmlsoap.org/claims/UPN"] => issue(Type = "http://schemas.microsoft.com/ws/2008/06/identity/claims/issuerid", Value = regexreplace(c.Value, "^.*@([^.]+\.)*?(?<domain>([^.]+\.?){2})$", "http://${domain}/adfs/services/trust/"));
[!CATATAN] Angka terakhir dalam set ekspresi reguler adalah berapa banyak domain induk yang ada di domain root Anda. Di sini bmcontoso.com ini digunakan, sehingga diperlukan dua domain induk. Jika tiga domain induk harus disimpan (yaitu, corp.bmcontoso.com), maka jumlahnya akan menjadi tiga. Akhirnya, rentang dapat ditunjukkan, dan kecocokan dibuat agar sesuai dengan jumlah maksimum domain. "{2,3}" cocok dengan dua hingga tiga domain (yaitu, bmfabrikam.com dan corp.bmcontoso.com).
Gunakan langkah-langkah berikut untuk menambahkan klaim kustom untuk mendukung subdomain.
- Buka Manajemen AD FS
- Klik kanan kepercayaan Microsoft Online RP dan pilih Edit aturan Klaim
- Pilih aturan klaim ketiga, dan ganti
- Ganti klaim saat ini:
c:[Type == "http://schemas.xmlsoap.org/claims/UPN"] => issue(Type = "http://schemas.microsoft.com/ws/2008/06/identity/claims/issuerid", Value = regexreplace(c.Value, ".+@(?<domain>.+)","http://${domain}/adfs/services/trust/"));
dengan
c:[Type == "http://schemas.xmlsoap.org/claims/UPN"] => issue(Type = "http://schemas.microsoft.com/ws/2008/06/identity/claims/issuerid", Value = regexreplace(c.Value, "^.*@([^.]+\.)*?(?<domain>([^.]+\.?){2})$", "http://${domain}/adfs/services/trust/"));
- Klik OK. Klik Terapkan. Klik OK. Tutup Pengelolaan Layanan Federasi Active Directory.
Langkah berikutnya
Sekarang setelah Microsoft Entra Connect terinstal, Anda dapat memverifikasi penginstalan dan menetapkan lisensi.
Pelajari selengkapnya tentang fitur-fitur ini, yang diaktifkan dengan penginstalan: Peningkatan otomatis, Mencegah penghapusan yang tidak disengaja, dan Microsoft Entra Connect Health.
Pelajari selengkapnya tentang topik umum ini: penjadwal dan cara memicu sinkronisasi.
Pelajari selengkapnya tentang Mengintegrasikan identitas lokal Anda dengan ID Microsoft Entra.