Supporto di più domini per la federazione con Microsoft Entra ID

La documentazione seguente fornisce indicazioni su come usare più domini e sottodomini di primo livello durante la federazione con i domini Microsoft 365 o Microsoft Entra.

Supporto di più domini di primo livello

La federazione di più domini di primo livello con Microsoft Entra ID richiede una configurazione aggiuntiva che non è necessaria quando si esegue la federazione con un dominio di primo livello.

Quando un dominio è federato con l'ID Microsoft Entra, nel dominio in Azure vengono impostate diverse proprietà. Una proprietà importante è IssuerUri. Questa proprietà è un URI usato da Microsoft Entra ID per identificare il dominio a cui è associato il token. Non è necessario che l'URI venga risolto, ma deve essere un URI valido. Per impostazione predefinita, Microsoft Entra ID imposta l'URI sul valore dell'identificatore del servizio federativo nella configurazione di AD FS locale.

Nota

L'identificatore del servizio federativo è un URI che identifica in modo univoco un servizio federativo. Il servizio federativo è un'istanza di AD FS che funge da servizio token di sicurezza.

È possibile visualizzare IssuerUri usando il comando Get-MsolDomainFederationSettings -DomainName <your domain> di PowerShell.

Nota

I moduli Azure AD e MSOnline PowerShell sono deprecati a partire dal 30 marzo 2024. Per maggiori informazioni, leggere l'aggiornamento sulla deprecazione. Dopo questa data, il supporto per questi moduli è limitato all'assistenza alla migrazione a Microsoft Graph PowerShell SDK e alle correzioni di sicurezza. I moduli deprecati continueranno a funzionare fino al 30 marzo 2025.

È consigliabile eseguire la migrazione a Microsoft Graph PowerShell per interagire con Microsoft Entra ID (in precedenza Azure AD). Per domande comuni sulla migrazione, consultare le Domande frequenti sulla migrazione. Nota: le versioni 1.0.x di MSOnline potrebbero subire interruzioni dopo il 30 giugno 2024.

Si verifica un problema quando si vogliono aggiungere più domini di primo livello. Si supponga, ad esempio, di aver configurato la federazione tra Microsoft Entra ID e l'ambiente locale. Per questo documento, il dominio bmcontoso.com è in uso. Quindi è stato aggiunto un secondo dominio di primo livello, bmfabrikam.com.

Quando si prova a convertire il dominio bmfabrikam.com in modo che sia federato,si verifica un errore. Il motivo è che Microsoft Entra ID ha un vincolo che non consente alla proprietà IssuerUri di avere lo stesso valore per più domini.

Parametro SupportMultipleDomain

Per risolvere questo vincolo, è necessario aggiungere una proprietà IssuerUri diversa, usando il parametro -SupportMultipleDomain. Questo parametro viene usato con i cmdlet seguenti:

• New-MsolFederatedDomain
• Convert-MsolDomaintoFederated
• Update-MsolFederatedDomain

Questo parametro rende Microsoft Entra ID configurare IssuerUri in modo che sia basato sul nome del dominio. IssuerUri sarà univoco tra le directory in Microsoft Entra ID. L'uso del parametro consente il completamento corretto del comando di PowerShell.

Esaminando lo screenshot del dominio bmfabrikam.com è possibile visualizzare le impostazioni seguenti:

-SupportMultipleDomain non modifica gli altri endpoint, che sono ancora configurati per puntare al servizio federativo in adfs.bmcontoso.com.

-SupportMultipleDomain garantisce inoltre che il sistema AD FS includa il valore autorità di certificazione appropriato nei token emessi per l'ID Microsoft Entra. Questo valore viene impostato prendendo la parte del dominio dell'UPN dell'utente e usandola come dominio nell'IssuerUri, https://{upn suffix}/adfs/services/trustovvero .

Pertanto, durante l'autenticazione a Microsoft Entra ID o Microsoft 365, l'elemento IssuerUri nel token dell'utente viene usato per individuare il dominio in Microsoft Entra ID. Se non è possibile trovare una corrispondenza, l'autenticazione avrà esito negativo.

Ad esempio, se l'UPN di un utente è bsimon@bmcontoso.com, l'elemento IssuerUri nel token, l'autorità di certificazione AD FS, verrà impostata su http://bmcontoso.com/adfs/services/trust. Questo elemento corrisponde alla configurazione di Microsoft Entra e l'autenticazione avrà esito positivo.

La regola di attestazione personalizzata seguente implementa questa logica:

c:[Type == "http://schemas.xmlsoap.org/claims/UPN"] => issue(Type = "http://schemas.microsoft.com/ws/2008/06/identity/claims/issuerid", Value = regexreplace(c.Value, ".+@(?<domain>.+)", "http://${domain}/adfs/services/trust/"));

Importante

Per usare l'opzione -SupportMultipleDomain quando si prova ad aggiungere o convertire domini già esistenti, è necessario che il trust federativo sia stato configurato per supportarli.

Come aggiornare l'attendibilità tra AD FS e Microsoft Entra ID

Se non è stata configurata la relazione di trust federata tra AD FS e l'istanza di Microsoft Entra ID, potrebbe essere necessario ricreare questa relazione di trust. Il motivo è che, quando è originariamente configurato senza il -SupportMultipleDomain parametro , IssuerUri viene impostato con il valore predefinito. Nella schermata seguente, è possibile visualizzare il IssuerUri è impostato su https://adfs.bmcontoso.com/adfs/services/trust.

Se è stato aggiunto un nuovo dominio nell'interfaccia di amministrazione di Microsoft Entra e quindi si tenta di convertirlo usando Convert-MsolDomaintoFederated -DomainName <your domain>, verrà visualizzato l'errore seguente.

Se si tenta di aggiungere l'opzione -SupportMultipleDomain , verrà visualizzato l'errore seguente:

Se si prova semplicemente a eseguire Update-MsolFederatedDomain -DomainName <your domain> -SupportMultipleDomain nel dominio originale, verrà visualizzato un errore.

Usare la procedura seguente per aggiungere un dominio di primo livello aggiuntivo. Se è già stato aggiunto un dominio e non è stato usato il -SupportMultipleDomain parametro , iniziare con la procedura per rimuovere e aggiornare il dominio originale. Se non è ancora stato aggiunto un dominio di primo livello, è possibile iniziare con la procedura per aggiungere un dominio usando PowerShell di Microsoft Entra Connessione.

Usare la procedura seguente per rimuovere il trust di Microsoft Online e aggiornare il dominio originale.

1. Nel server federativo di AD FS aprire Gestione AD FS
2. A sinistra espandere Relazioni di trust e Trust relying party.
3. Sulla destra eliminare la voce Piattaforma delle identità di Microsoft Office 365 .
4. In un computer in cui è installato il modulo Azure AD PowerShell, eseguire il comando PowerShell seguente: $cred=Get-Credential.
5. Immettere il nome utente e la password di un'identità ibrida Amministrazione istrator per il dominio Microsoft Entra con cui si sta eseguendo la federazione.
6. In PowerShell, immettere Connect-MsolService -Credential $cred.
7. In PowerShell, immettere Update-MSOLFederatedDomain -DomainName <Federated Domain Name> -SupportMultipleDomain. Questo aggiornamento è relativo al dominio originale. Usando i domini precedenti, si ottiene quindi: Update-MsolFederatedDomain -DomainName bmcontoso.com -SupportMultipleDomain

Usare la procedura seguente per aggiungere il nuovo dominio di primo livello tramite PowerShell

1. In un computer in cui è installato il modulo Azure AD PowerShell, eseguire il comando PowerShell seguente: $cred=Get-Credential.
2. Immettere il nome utente e la password di un'identità ibrida Amministrazione istrator per il dominio Microsoft Entra con cui si sta eseguendo la federazione
3. In PowerShell, immettere Connect-MsolService -Credential $cred
4. In PowerShell, immettere New-MsolFederatedDomain –SupportMultipleDomain –DomainName

Seguire questa procedura per aggiungere il nuovo dominio di primo livello usando Microsoft Entra Connessione.

1. Avviare Microsoft Entra Connessione dal desktop o dal menu Start
2. Scegliere "Aggiungi un altro dominio Microsoft Entra"
3. Immettere le credenziali di Microsoft Entra ID e Active Directory
4. Selezionare il secondo dominio da configurare per la federazione.
5. Fai clic su Install (Installa).

Verificare il nuovo dominio di primo livello

Usando il comando Get-MsolDomainFederationSettings -DomainName <your domain>di PowerShell, è possibile visualizzare la proprietà IssuerUri aggiornata. La schermata seguente mostra le impostazioni di federazione aggiornate sul dominio originale http://bmcontoso.com/adfs/services/trust

E IssuerUri nel nuovo dominio è stato impostato su https://bmcontoso.com/adfs/services/trust

Supporto per i sottodomini

Quando si aggiunge un sottodominio, a causa del modo in cui Microsoft Entra ID gestisce i domini, erediterà le impostazioni dell'elemento padre. La proprietà IssuerUri deve quindi corrispondere a quella degli elementi padre.

Si supponga ad esempio che sia presente il dominio bmcontoso.com e che quindi si aggiunga corp.bmcontoso.com. L'IssuerUri per un utente di corp.bmcontoso.com dovrà essere http://bmcontoso.com/adfs/services/trust. Tuttavia, la regola standard implementata in precedenza per Microsoft Entra ID genererà un token con un'autorità emittente come http://corp.bmcontoso.com/adfs/services/trust. che non corrisponderà al valore richiesto del dominio e l'autenticazione avrà esito negativo.

Come abilitare il supporto per sottodomini

Per risolvere questo problema, è necessario che il trust della relying party di AD FS per Microsoft Online venga aggiornato. Per eseguire questa operazione, è necessario configurare una regola attestazioni personalizzata, in modo che vengano rimossi tutti i sottodomini dal suffisso UPN di un utente durante la creazione del valore Issuer personalizzato.

Usare l'attestazione seguente:

c:[Type == "http://schemas.xmlsoap.org/claims/UPN"] => issue(Type = "http://schemas.microsoft.com/ws/2008/06/identity/claims/issuerid", Value = regexreplace(c.Value, "^.*@([^.]+\.)*?(?<domain>([^.]+\.?){2})$", "http://${domain}/adfs/services/trust/"));

[! NOTA] L'ultimo numero nel set di espressioni regolari è il numero di domini padre presenti nel dominio radice. In bmcontoso.com sono necessari due domini padre. Se fossero mantenuti tre domini padre(ovvero, corp.bmcontoso.com), il numero sarebbe stato tre. È possibile indicare un intervallo, la corrispondenza sarà sempre in base al massimo dei domini. "{2,3}" corrisponderà a due o tre domini (ovvero bmfabrikam.com e corp.bmcontoso.com).

Usare la procedura seguente per aggiungere un'attestazione personalizzata per il supporto dei sottodomini.

1. Aprire Gestione AD FS.

2. Fare clic con il pulsante destro del mouse sul trust della relying party di Microsoft Online RP quindi scegliere Modifica regole attestazione

3. Selezionare la terza regola attestazione e sostituire

4. Sostituire l'attestazione corrente:

   c:[Type == "http://schemas.xmlsoap.org/claims/UPN"] => issue(Type = "http://schemas.microsoft.com/ws/2008/06/identity/claims/issuerid", Value = regexreplace(c.Value, ".+@(?<domain>.+)","http://${domain}/adfs/services/trust/"));
   

   con

   c:[Type == "http://schemas.xmlsoap.org/claims/UPN"] => issue(Type = "http://schemas.microsoft.com/ws/2008/06/identity/claims/issuerid", Value = regexreplace(c.Value, "^.*@([^.]+\.)*?(?<domain>([^.]+\.?){2})$", "http://${domain}/adfs/services/trust/"));
   

   

5. Fare clic su OK. Fare clic su Applica. Fare clic su OK. Chiudere Gestione ADFS.

Passaggi successivi

Ora che è installato Microsoft Entra Connessione è possibile verificare l'installazione e assegnare le licenze.

Altre informazioni su queste funzionalità, abilitate con l'installazione: Aggiornamento automatico, Impedisci eliminazioni accidentali e Integrità di Microsoft Entra Connessione.

Altre informazioni su questi argomenti comuni: utilità di pianificazione e come attivare la sincronizzazione.

Altre informazioni sull'integrazione delle identità locali con Microsoft Entra ID.