Mengubah jenis autentikasi subdomain di ID Microsoft Entra

Setelah domain akar ditambahkan ke ID Microsoft Entra, bagian dari Microsoft Entra, semua subdomain berikutnya ditambahkan ke akar tersebut di organisasi Microsoft Entra Anda secara otomatis mewarisi pengaturan autentikasi dari domain akar. Namun, jika Anda ingin mengelola pengaturan autentikasi domain secara independen dari pengaturan domain akar, Anda sekarang dapat menggunakan Microsoft Graph API. Misalnya, jika Anda memiliki domain akar federasi seperti contoso.com, artikel ini dapat membantu Anda memverifikasi subdomain seperti child.contoso.com sebagai terkelola alih-alih terfederasi.

Di portal Microsoft Azure, ketika domain induk digabungkan dan admin mencoba memverifikasi subdomain terkelola pada halaman nama domain kustom , halaman menampilkan kesalahan 'Gagal menambahkan domain' dengan alasan "Satu atau beberapa properti berisi nilai yang tidak valid." Jika Anda mencoba menambahkan subdomain ini dari pusat admin Microsoft 365, Anda akan menerima kesalahan serupa. Untuk informasi selengkapnya tentang kesalahan ini, lihat Domain turunan tidak mewarisi perubahan domain induk di Office 365, Azure, atau Intune.

Karena subdomain mewarisi jenis autentikasi domain akar secara default, Anda harus mempromosikan subdomain ke domain akar di MICROSOFT Entra ID menggunakan Microsoft Graph sehingga Anda dapat mengatur jenis autentikasi ke jenis yang Anda inginkan.

Peringatan

Skrip kecil ini contoh untuk tujuan demonstrasi. Jika Anda ingin menggunakannya di lingkungan Anda, uji terlebih dahulu. Anda harus menyesuaikan kode untuk memenuhi kebutuhan Anda.

Menambahkan subdomain

1. Gunakan PowerShell untuk menambahkan subdomain baru, yang memiliki jenis autentikasi default domain akarnya. Id Microsoft Entra dan pusat admin Microsoft 365 belum mendukung operasi ini.

    # Connect to Microsoft Graph with the required scopes
    Connect-MgGraph -Scopes "Domain.ReadWrite.All"
    
    # Define the parameters for the new domain
    $domainParams = @{
        Id = "child6.mydomain.com"
        AuthenticationType = "Federated"
    }
    
    # Create a new domain with the specified parameters
    New-MgDomain @domainParams

1. Gunakan contoh berikut untuk MENDAPATKAN domain. Karena domain bukan domain akar, domain tersebut mewarisi jenis autentikasi domain akar. Perintah dan hasil Anda mungkin terlihat sebagai berikut, menggunakan ID penyewa Anda sendiri:

Nota

Mengeluarkan permintaan ini dapat dilakukan langsung di Graph Explorer.

GET https://graph.microsoft.com/v1.0/domains/foo.contoso.com/

Return:
  {
      "authenticationType": "Federated",
      "availabilityStatus": null,
      "isAdminManaged": true,
      "isDefault": false,
      "isDefaultForCloudRedirections": false,
      "isInitial": false,
      "isRoot": false,          <---------------- Not a root domain, so it inherits parent domain's authentication type (federated)
      "isVerified": true,
      "name": "child.mydomain.com",
      "supportedServices": [],
      "forceDeleteState": null,
      "state": null,
      "passwordValidityPeriodInDays": null,
      "passwordNotificationWindowInDays": null
  },

Mengubah subdomain menjadi domain akar

Gunakan perintah berikut untuk mempromosikan subdomain:

POST https://graph.microsoft.com/v1.0/{tenant-id}/domains/foo.contoso.com/promote

Mempromosikan kondisi kesalahan perintah

Skenario	Metode	Kode	Pesan
Memanggil API dengan subdomain yang domain induknya tidak diverifikasi	TIANG	400	Domain yang belum diverifikasi tidak dapat dipromosikan. Verifikasi domain sebelum promosi.
Memanggil API dengan subdomain terverifikasi federasi dengan referensi pengguna	TIANG	400	Mempromosikan subdomain dengan referensi pengguna tidak diizinkan. Migrasikan pengguna ke domain akar saat ini sebelum promosi subdomain.

Mengubah jenis autentikasi subdomain menjadi terkelola

Penting

Jika Anda mengubah jenis autentikasi untuk subdomain federasi, Anda harus mencatat nilai konfigurasi federasi yang ada sebelum menyelesaikan langkah berikutnya. Informasi diperlukan jika Anda memutuskan untuk menerapkan kembali federasi sebelum mempromosikan domain.

1. Gunakan perintah berikut untuk mengubah jenis autentikasi subdomain:

   Connect-MGGraph -Scopes "Domain.ReadWrite.All", "Directory.AccessAsUser.All"
   Update-MgDomain -DomainId "test.contoso.com" -BodyParameter @{AuthenticationType="Managed"}
   

2. Verifikasi melalui GET di Microsoft Graph API bahwa jenis autentikasi subdomain sekarang dikelola:

   GET https://graph.microsoft.com/v1.0/domains/foo.contoso.com/
   
   Return:
     {
         "authenticationType": "Managed",   <---------- Now this domain is successfully added as Managed and not inheriting Federated status
         "availabilityStatus": null,
         "isAdminManaged": true,
         "isDefault": false,
         "isDefaultForCloudRedirections": false,
         "isInitial": false,
         "isRoot": true,   <------------------------------ Also a root domain, so not inheriting from parent domain any longer
         "isVerified": true,
         "name": "child.mydomain.com",
         "supportedServices": [
             "Email",
             "OfficeCommunicationsOnline",
             "Intune"
         ],
         "forceDeleteState": null,
         "state": null,
         "passwordValidityPeriodInDays": null,
         "passwordNotificationWindowInDays": null }
   

Langkah berikutnya

• Tingkatkan dari Azure AD PowerShell ke Microsoft Graph PowerShell
• Menambahkan nama domain kustom
• Mengelola nama domain
• ForceDelete nama domain kustom dengan Microsoft Graph API