Mengubah jenis autentikasi subdomain di ID Microsoft Entra
Setelah domain akar ditambahkan ke ID Microsoft Entra, bagian dari Microsoft Entra, semua subdomain berikutnya ditambahkan ke akar tersebut di organisasi Microsoft Entra Anda secara otomatis mewarisi pengaturan autentikasi dari domain akar. Namun, jika Anda ingin mengelola pengaturan autentikasi domain secara independen dari pengaturan domain root, Anda sekarang dapat menggunakan Microsoft Graph API. Misalnya, jika Anda memiliki federasi domain akar seperti contoso.com, artikel ini dapat membantu Anda memverifikasi subdomain seperti child.contoso.com sebagai dikelola, bukan digabung.
Di portal Azure, ketika domain induk digabungkan dan admin mencoba memverifikasi subdomain terkelola di halaman Nama domain kustom, Anda akan mendapatkan kesalahan 'Gagal menambahkan domain' dengan alasan "Satu atau beberapa properti berisi nilai yang tidak valid." Jika Anda mencoba menambahkan subdomain ini dari pusat admin Microsoft 365, Anda akan menerima kesalahan serupa. Untuk informasi selengkapnya tentang kesalahan tersebut, lihat Domain anak tidak mewarisi perubahan domain induk di Office 365, Azure, atau Intune.
Karena subdomain mewarisi jenis autentikasi domain akar secara default, Anda harus mempromosikan subdomain ke domain akar di MICROSOFT Entra ID menggunakan Microsoft Graph sehingga Anda dapat mengatur jenis autentikasi ke jenis yang Anda inginkan.
Catatan
Modul Azure ACTIVE Directory dan MSOnline PowerShell tidak digunakan lagi per 30 Maret 2024. Untuk mempelajari lebih lanjut, baca pembaruan penghentian. Setelah tanggal ini, dukungan untuk modul ini terbatas pada bantuan migrasi ke Microsoft Graph PowerShell SDK dan perbaikan keamanan. Modul yang tidak digunakan lagi akan terus berfungsi hingga Maret, 30 2025.
Sebaiknya migrasi ke Microsoft Graph PowerShell untuk berinteraksi dengan ID Microsoft Entra (sebelumnya Microsoft Azure AD). Untuk pertanyaan umum tentang migrasi, lihat Tanya Jawab Umum Migrasi. Catatan: MSOnline versi 1.0.x mungkin mengalami gangguan setelah 30 Juni 2024.
Peringatan
Kode ini diberikan sebagai contoh untuk demonstrasi. Jika ingin menggunakannya di lingkungan Anda, pertimbangkan untuk mengujinya terlebih dahulu dalam skala kecil, atau di organisasi uji coba terpisah. Anda mungkin harus menyesuaikan kode untuk memenuhi kebutuhan spesifik lingkungan Anda.
Menambahkan subdomain
Gunakan PowerShell untuk menambahkan subdomain baru, yang memiliki jenis autentikasi default domain akarnya. ID Microsoft Entra dan pusat admin Microsoft 365 belum mendukung operasi ini.
Connect-MgGraph -Scopes "Domain.ReadWrite.All" $param = @{ id="test.contoso.com" AuthenticationType="Federated" } New-MgDomain -Name "child.mydomain.com" -Authentication Federated
Gunakan contoh berikut untuk melakukan SET pada domain. Karena domain bukan domain akar, domain mewarisi jenis autentikasi domain akar. Perintah dan hasil Anda mungkin terlihat seperti yang berikut ini, menggunakan ID penyewa Anda sendiri:
Catatan
Mengeluarkan permintaan ini dapat dilakukan langsung di Graph Explorer.
GET https://graph.microsoft.com/v1.0/domains/foo.contoso.com/
Return:
{
"authenticationType": "Federated",
"availabilityStatus": null,
"isAdminManaged": true,
"isDefault": false,
"isDefaultForCloudRedirections": false,
"isInitial": false,
"isRoot": false, <---------------- Not a root domain, so it inherits parent domain's authentication type (federated)
"isVerified": true,
"name": "child.mydomain.com",
"supportedServices": [],
"forceDeleteState": null,
"state": null,
"passwordValidityPeriodInDays": null,
"passwordNotificationWindowInDays": null
},
Mengubah subdomain menjadi domain akar
Gunakan perintah berikut untuk mempromosikan subdomain:
POST https://graph.microsoft.com/v1.0/{tenant-id}/domains/foo.contoso.com/promote
Mempromosikan kondisi kesalahan perintah
Skenario | Metode | Kode | Pesan |
---|---|---|---|
Memanggil API dengan subdomain yang domain induknya tidak diverifikasi | POST | 400 | Domain yang belum diverifikasi tidak dapat dipromosikan. Harap verifikasi domain sebelum promosi. |
Memanggil API dengan subdomain terverifikasi federasi dengan referensi pengguna | POST | 400 | Mempromosikan subdomain dengan referensi pengguna tidak diizinkan. Harap migrasikan pengguna ke domain akar saat ini sebelum promosi subdomain. |
Mengubah jenis autentikasi subdomain menjadi terkelola
Penting
Jika Anda mengubah jenis autentikasi untuk subdomain federasi, Anda harus mencatat nilai konfigurasi federasi yang ada sebelum menyelesaikan langkah-langkah di bawah ini. Informasi ini mungkin menjadi diperlukan jika Anda memutuskan untuk melengkapi kembali federasi sebelum mempromosikan domain.
Gunakan perintah berikut untuk mengubah jenis autentikasi subdomain:
Connect-MGGraph -Scopes "Domain.ReadWrite.All", "Directory.AccessAsUser.All" Update-MgDomain -DomainId "test.contoso.com" -BodyParameter @{AuthenticationType="Managed"}
Verifikasi melalui GET di API Microsoft Graph bahwa jenis autentikasi subdomain sekarang dikelola:
GET https://graph.microsoft.com/v1.0/domains/foo.contoso.com/ Return: { "authenticationType": "Managed", <---------- Now this domain is successfully added as Managed and not inheriting Federated status "availabilityStatus": null, "isAdminManaged": true, "isDefault": false, "isDefaultForCloudRedirections": false, "isInitial": false, "isRoot": true, <------------------------------ Also a root domain, so not inheriting from parent domain any longer "isVerified": true, "name": "child.mydomain.com", "supportedServices": [ "Email", "OfficeCommunicationsOnline", "Intune" ], "forceDeleteState": null, "state": null, "passwordValidityPeriodInDays": null, "passwordNotificationWindowInDays": null }