Supporto domini multipli per la federazione con Microsoft Entra ID

La documentazione seguente fornisce indicazioni su come usare domini multipli di primo livello e sottodomini durante la federazione con domini di Microsoft 365 e Microsoft Entra.

Supporto di più domini di primo livello

Per la federazione di domini multipli di primo livello con Microsoft Entra ID sono necessarie alcune operazioni di configurazione aggiuntive che non sono obbligatorie per la federazione con un solo dominio di primo livello.

Quando un dominio è federato con Microsoft Entra ID, diverse proprietà vengono impostate nel dominio in Azure. Una proprietà importante è IssuerUri. Questa proprietà è un URI usato da Microsoft Entra ID per identificare il dominio a cui è associato il token. Non è necessario che l'URI venga risolto, ma deve essere un URI valido. Per impostazione predefinita, Microsoft Entra ID imposta l'URI sul valore dell'identificatore del servizio federativo nella configurazione di AD FS locale.

Nota

L'identificatore del servizio federativo è un URI che identifica in modo univoco un servizio federativo. Il servizio federativo è un'istanza di AD FS che funge da servizio token di sicurezza.

È possibile visualizzare IssuerUri usando il comando Get-MsolDomainFederationSettings -DomainName <your domain> di PowerShell.

Nota

I moduli Azure AD e MSOnline PowerShell sono deprecati a partire dal 30 marzo 2024. Per maggiori informazioni, leggere l'aggiornamento sulla deprecazione. Dopo questa data, il supporto per questi moduli è limitato all'assistenza alla migrazione a Microsoft Graph PowerShell SDK e alle correzioni di sicurezza. I moduli deprecati continueranno a funzionare fino al 30 marzo 2025.

È consigliabile eseguire la migrazione a Microsoft Graph PowerShell per interagire con Microsoft Entra ID (in precedenza Azure AD). Per domande comuni sulla migrazione, consultare le Domande frequenti sulla migrazione. Nota: le versioni 1.0.x di MSOnline potrebbero subire interruzioni dopo il 30 giugno 2024.

Si verifica un problema quando si vogliono aggiungere più domini di primo livello. Ad esempio, si supponga di avere configurato la federazione tra Microsoft Entra ID e l'ambiente locale. Per questo documento, il dominio bmcontoso.com è in uso. Quindi è stato aggiunto un secondo dominio di primo livello, bmfabrikam.com.

Quando si prova a convertire il dominio bmfabrikam.com in modo che sia federato,si verifica un errore. La causa dell'errore è un vincolo di Microsoft Entra ID che non consente di impostare lo stesso valore per più di un dominio nella proprietà IssuerUri.

Parametro SupportMultipleDomain

Per risolvere questo vincolo, è necessario aggiungere una proprietà IssuerUri diversa, usando il parametro -SupportMultipleDomain. Questo parametro viene usato con i cmdlet seguenti:

• New-MsolFederatedDomain
• Convert-MsolDomaintoFederated
• Update-MsolFederatedDomain

Questo parametro consente a Microsoft Entra ID di configurare la proprietà IssuerUri in modo che sia basata sul nome del dominio. Il valore di IssuerUri sarà univoco nelle directory di Microsoft Entra ID. L'uso del parametro consente il completamento corretto del comando di PowerShell.

Esaminando gli screenshot relativi al dominio bmfabrikam.com è possibile notare le impostazioni seguenti:

-SupportMultipleDomain non modifica gli altri endpoint, che sono ancora configurati in modo da puntare al servizio federativo in adfs.bmcontoso.com.

-SupportMultipleDomain consente anche di verificare che il sistema AD FS includa il valore Issuer appropriato nei token emessi per Microsoft Entra ID. Per impostare questo valore, si considera la parte del dominio dell'UPN dell'utente usandola come dominio nella proprietà IssuerUri, ovvero https://{upn suffix}/adfs/services/trust.

In questo modo, durante l'autenticazione con Microsoft Entra ID o Microsoft 365, l'elemento IssuerUri nel token dell'utente viene usato per individuare il dominio in Microsoft Entra ID. Se non viene trovata una corrispondenza, l'autenticazione non riuscirà.

Se, ad esempio, l'UPN di un utente è bsimon@bmcontoso.com, l'elemento IssuerUri nel token, ovvero l'autorità di certificazione AD FS, sarà impostato su http://bmcontoso.com/adfs/services/trust. Questo elemento corrisponderà alla configurazione di Microsoft Entra e l'autenticazione avrà esito positivo.

La regola di attestazione personalizzata seguente implementa questa logica:

c:[Type == "http://schemas.xmlsoap.org/claims/UPN"] => issue(Type = "http://schemas.microsoft.com/ws/2008/06/identity/claims/issuerid", Value = regexreplace(c.Value, ".+@(?<domain>.+)", "http://${domain}/adfs/services/trust/"));

Importante

Per usare l'opzione -SupportMultipleDomain quando si prova ad aggiungere o convertire domini già esistenti, è necessario che il trust federativo sia stato configurato per supportarli.

Come aggiornare il trust tra AD FS e Microsoft Entra ID

Se non è stato configurato il trust federativo tra AD FS e l'istanza di Microsoft Entra ID, potrebbe essere necessario crearlo di nuovo. Il motivo è che, quando viene configurato in origine senza il parametro -SupportMultipleDomain, l'elemento IssuerUri viene impostato con il valore predefinito. Nella schermata seguente, è possibile visualizzare il IssuerUri è impostato su https://adfs.bmcontoso.com/adfs/services/trust.

Se nell'Interfaccia di amministrazione di Microsoft Entra è stato aggiunto un nuovo dominio e si prova a convertirlo con Convert-MsolDomaintoFederated -DomainName <your domain>, verrà visualizzato l'errore seguente.

Se si prova ad aggiungere l'opzione -SupportMultipleDomain, verrà visualizzato l'errore seguente:

Se si prova semplicemente a eseguire Update-MsolFederatedDomain -DomainName <your domain> -SupportMultipleDomain nel dominio originale, verrà visualizzato un errore.

Usare la procedura seguente per aggiungere un dominio di primo livello aggiuntivo. Se è già stato aggiunto un dominio e non è stato usato il parametro -SupportMultipleDomain, iniziare dalla procedura per la rimozione e l'aggiornamento del dominio originale. Se il dominio di primo livello non è stato ancora aggiunto, è possibile iniziare dalla procedura per l'aggiunta di un dominio con PowerShell o Microsoft Entra Connect.

Usare la procedura seguente per rimuovere il trust di Microsoft Online e aggiornare il dominio originale.

1. Nel server federativo di AD FS aprire Gestione AD FS
2. Sulla sinistra espandere Relazioni di trust e Trust relying party.
3. Sulla destra eliminare la voce Piattaforma delle identità di Microsoft Office 365 .
4. Nel computer in cui è installato il modulo Azure AD PowerShell eseguire il comando PowerShell seguente: $cred=Get-Credential.
5. Immettere il nome utente e la password di un amministratore delle identità ibride per il dominio di Microsoft Entra con cui si esegue la federazione.
6. In PowerShell, immettere Connect-MsolService -Credential $cred.
7. In PowerShell, immettere Update-MSOLFederatedDomain -DomainName <Federated Domain Name> -SupportMultipleDomain. Questo aggiornamento è relativo al dominio originale. Usando i domini precedenti, si ottiene quindi: Update-MsolFederatedDomain -DomainName bmcontoso.com -SupportMultipleDomain

Usare la procedura seguente per aggiungere il nuovo dominio di primo livello tramite PowerShell

1. Nel computer in cui è installato il modulo Azure AD PowerShell eseguire il comando PowerShell seguente: $cred=Get-Credential.
2. Immettere il nome utente e la password di un amministratore delle identità ibride per il dominio di Microsoft Entra con cui si esegue la federazione.
3. In PowerShell, immettere Connect-MsolService -Credential $cred
4. In PowerShell, immettere New-MsolFederatedDomain –SupportMultipleDomain –DomainName

Usare la procedura seguente per aggiungere il nuovo dominio di primo livello con Microsoft Entra Connect.

1. Avviare Microsoft Entra Connect dal desktop o dal menu Start.
2. Scegliere "Aggiunta di un altro dominio di Microsoft Entra".
3. Immettere le credenziali di Microsoft Entra ID e Active Directory.
4. Selezionare il secondo dominio da configurare per la federazione.
5. Fai clic su Install (Installa).

Verificare il nuovo dominio di primo livello

Usando il comando Get-MsolDomainFederationSettings -DomainName <your domain>di PowerShell, è possibile visualizzare la proprietà IssuerUri aggiornata. La schermata seguente mostra le impostazioni di federazione aggiornate sul dominio originale http://bmcontoso.com/adfs/services/trust

E IssuerUri nel nuovo dominio è stato impostato su https://bmcontoso.com/adfs/services/trust

Supporto per i sottodomini

A causa della modalità di gestione dei domini in Microsoft Entra ID, eventuali sottodomini aggiunti erediteranno le impostazioni del dominio padre. La proprietà IssuerUri deve quindi corrispondere a quella degli elementi padre.

Si supponga ad esempio che sia presente il dominio bmcontoso.com e che quindi si aggiunga corp.bmcontoso.com. Il valore di IssuerUri per un utente di corp.bmcontoso.com dovrà essere http://bmcontoso.com/adfs/services/trust. Tuttavia con la regola standard implementata in precedenza per Microsoft Entra ID verrà generato un token con autorità di certificazione http://corp.bmcontoso.com/adfs/services/trust. Tale valore non corrisponderà al valore obbligatorio del dominio e l'autenticazione non riuscirà.

Come abilitare il supporto per sottodomini

Per risolvere questo problema, è necessario che il trust della relying party di AD FS per Microsoft Online venga aggiornato. Per eseguire questa operazione, è necessario configurare una regola attestazioni personalizzata, in modo che vengano rimossi tutti i sottodomini dal suffisso UPN di un utente durante la creazione del valore Issuer personalizzato.

Usare l'attestazione seguente:

c:[Type == "http://schemas.xmlsoap.org/claims/UPN"] => issue(Type = "http://schemas.microsoft.com/ws/2008/06/identity/claims/issuerid", Value = regexreplace(c.Value, "^.*@([^.]+\.)*?(?<domain>([^.]+\.?){2})$", "http://${domain}/adfs/services/trust/"));

[!NOTA] L'ultimo numero dell'espressione regolare impostata corrisponde al numero di domini padre presenti nel dominio radice. In bmcontoso.com sono necessari due domini padre. Se fosse necessario mantenere tre domini padre, ovvero corp.bmcontoso.com, il numero sarebbe tre. È possibile indicare un intervallo, la corrispondenza sarà sempre in base al massimo dei domini. "{2,3}" corrisponderà a due o tre domini, ovvero bmfabrikam.com e corp.bmcontoso.com.

Usare la procedura seguente per aggiungere un'attestazione personalizzata per il supporto dei sottodomini.

1. Aprire Gestione AD FS.

2. Fare clic con il pulsante destro del mouse sul trust della relying party di Microsoft Online RP quindi scegliere Modifica regole attestazione

3. Selezionare la terza regola di attestazione ed effettuare la sostituzione.

4. Sostituire l'attestazione corrente:

   c:[Type == "http://schemas.xmlsoap.org/claims/UPN"] => issue(Type = "http://schemas.microsoft.com/ws/2008/06/identity/claims/issuerid", Value = regexreplace(c.Value, ".+@(?<domain>.+)","http://${domain}/adfs/services/trust/"));
   

   con

   c:[Type == "http://schemas.xmlsoap.org/claims/UPN"] => issue(Type = "http://schemas.microsoft.com/ws/2008/06/identity/claims/issuerid", Value = regexreplace(c.Value, "^.*@([^.]+\.)*?(?<domain>([^.]+\.?){2})$", "http://${domain}/adfs/services/trust/"));
   

   

5. Fare clic su OK. Fare clic su Applica. Fare clic su OK. Chiudere Gestione ADFS.

Passaggi successivi

Dopo aver installato Microsoft Entra Connect, è possibile verificare l'installazione e assegnare le licenze.

Altre informazioni su queste funzionalità che sono state abilitate con l'installazione: Aggiornamento automatico, Impedire eliminazioni accidentali e Microsoft Entra Connect Health.

Altre informazioni su questi argomenti comuni: utilità di pianificazione e come attivare la sincronizzazione.

Altre informazioni sull'integrazione di identità locali con Microsoft Entra ID.