Bagikan melalui


Mengubah jenis autentikasi subdomain di ID Microsoft Entra

Setelah domain akar ditambahkan ke ID Microsoft Entra, bagian dari Microsoft Entra, semua subdomain berikutnya ditambahkan ke akar tersebut di organisasi Microsoft Entra Anda secara otomatis mewarisi pengaturan autentikasi dari domain akar. Namun, jika Anda ingin mengelola pengaturan autentikasi domain secara independen dari pengaturan domain root, Anda sekarang dapat menggunakan Microsoft Graph API. Misalnya, jika Anda memiliki federasi domain akar seperti contoso.com, artikel ini dapat membantu Anda memverifikasi subdomain seperti child.contoso.com sebagai dikelola, bukan digabung.

Di portal Azure, ketika domain induk digabungkan dan admin mencoba memverifikasi subdomain terkelola di halaman Nama domain kustom, Anda akan mendapatkan kesalahan 'Gagal menambahkan domain' dengan alasan "Satu atau beberapa properti berisi nilai yang tidak valid." Jika Anda mencoba menambahkan subdomain ini dari pusat admin Microsoft 365, Anda akan menerima kesalahan serupa. Untuk informasi selengkapnya tentang kesalahan tersebut, lihat Domain anak tidak mewarisi perubahan domain induk di Office 365, Azure, atau Intune.

Karena subdomain mewarisi jenis autentikasi domain akar secara default, Anda harus mempromosikan subdomain ke domain akar di MICROSOFT Entra ID menggunakan Microsoft Graph sehingga Anda dapat mengatur jenis autentikasi ke jenis yang Anda inginkan.

Catatan

Modul Azure ACTIVE Directory dan MSOnline PowerShell tidak digunakan lagi per 30 Maret 2024. Untuk mempelajari lebih lanjut, baca pembaruan penghentian. Setelah tanggal ini, dukungan untuk modul ini terbatas pada bantuan migrasi ke Microsoft Graph PowerShell SDK dan perbaikan keamanan. Modul yang tidak digunakan lagi akan terus berfungsi hingga Maret, 30 2025.

Sebaiknya migrasi ke Microsoft Graph PowerShell untuk berinteraksi dengan ID Microsoft Entra (sebelumnya Microsoft Azure AD). Untuk pertanyaan umum tentang migrasi, lihat Tanya Jawab Umum Migrasi. Catatan: MSOnline versi 1.0.x mungkin mengalami gangguan setelah 30 Juni 2024.

Peringatan

Kode ini diberikan sebagai contoh untuk demonstrasi. Jika ingin menggunakannya di lingkungan Anda, pertimbangkan untuk mengujinya terlebih dahulu dalam skala kecil, atau di organisasi uji coba terpisah. Anda mungkin harus menyesuaikan kode untuk memenuhi kebutuhan spesifik lingkungan Anda.

Menambahkan subdomain

  1. Gunakan PowerShell untuk menambahkan subdomain baru, yang memiliki jenis autentikasi default domain akarnya. ID Microsoft Entra dan pusat admin Microsoft 365 belum mendukung operasi ini.

    Connect-MgGraph -Scopes "Domain.ReadWrite.All"
     $param = @{
       id="test.contoso.com"
       AuthenticationType="Federated"  
      }
    New-MgDomain -Name "child.mydomain.com" -Authentication Federated
    
  2. Gunakan contoh berikut untuk melakukan SET pada domain. Karena domain bukan domain akar, domain mewarisi jenis autentikasi domain akar. Perintah dan hasil Anda mungkin terlihat seperti yang berikut ini, menggunakan ID penyewa Anda sendiri:

Catatan

Mengeluarkan permintaan ini dapat dilakukan langsung di Graph Explorer.

GET https://graph.microsoft.com/v1.0/domains/foo.contoso.com/

Return:
  {
      "authenticationType": "Federated",
      "availabilityStatus": null,
      "isAdminManaged": true,
      "isDefault": false,
      "isDefaultForCloudRedirections": false,
      "isInitial": false,
      "isRoot": false,          <---------------- Not a root domain, so it inherits parent domain's authentication type (federated)
      "isVerified": true,
      "name": "child.mydomain.com",
      "supportedServices": [],
      "forceDeleteState": null,
      "state": null,
      "passwordValidityPeriodInDays": null,
      "passwordNotificationWindowInDays": null
  },

Mengubah subdomain menjadi domain akar

Gunakan perintah berikut untuk mempromosikan subdomain:

POST https://graph.microsoft.com/v1.0/{tenant-id}/domains/foo.contoso.com/promote

Mempromosikan kondisi kesalahan perintah

Skenario Metode Kode Pesan
Memanggil API dengan subdomain yang domain induknya tidak diverifikasi POST 400 Domain yang belum diverifikasi tidak dapat dipromosikan. Harap verifikasi domain sebelum promosi.
Memanggil API dengan subdomain terverifikasi federasi dengan referensi pengguna POST 400 Mempromosikan subdomain dengan referensi pengguna tidak diizinkan. Harap migrasikan pengguna ke domain akar saat ini sebelum promosi subdomain.

Mengubah jenis autentikasi subdomain menjadi terkelola

Penting

Jika Anda mengubah jenis autentikasi untuk subdomain federasi, Anda harus mencatat nilai konfigurasi federasi yang ada sebelum menyelesaikan langkah-langkah di bawah ini. Informasi ini mungkin menjadi diperlukan jika Anda memutuskan untuk melengkapi kembali federasi sebelum mempromosikan domain.

  1. Gunakan perintah berikut untuk mengubah jenis autentikasi subdomain:

    Connect-MGGraph -Scopes "Domain.ReadWrite.All", "Directory.AccessAsUser.All"
    Update-MgDomain -DomainId "test.contoso.com" -BodyParameter @{AuthenticationType="Managed"}
    
  2. Verifikasi melalui GET di API Microsoft Graph bahwa jenis autentikasi subdomain sekarang dikelola:

    GET https://graph.microsoft.com/v1.0/domains/foo.contoso.com/
    
    Return:
      {
          "authenticationType": "Managed",   <---------- Now this domain is successfully added as Managed and not inheriting Federated status
          "availabilityStatus": null,
          "isAdminManaged": true,
          "isDefault": false,
          "isDefaultForCloudRedirections": false,
          "isInitial": false,
          "isRoot": true,   <------------------------------ Also a root domain, so not inheriting from parent domain any longer
          "isVerified": true,
          "name": "child.mydomain.com",
          "supportedServices": [
              "Email",
              "OfficeCommunicationsOnline",
              "Intune"
          ],
          "forceDeleteState": null,
          "state": null,
          "passwordValidityPeriodInDays": null,
          "passwordNotificationWindowInDays": null }
    

Langkah berikutnya