Modificare il tipo di autenticazione del sottodominio in Microsoft Entra ID
Dopo l'aggiunta di un dominio radice all'ID Microsoft Entra, parte di Microsoft Entra, tutti i sottodomini successivi aggiunti a tale radice nell'organizzazione Microsoft Entra ereditano automaticamente l'impostazione di autenticazione dal dominio radice. Tuttavia, se si vogliono gestire le impostazioni di autenticazione del dominio indipendentemente dalle impostazioni del dominio radice, è ora possibile usare l'API Microsoft Graph. Ad esempio, se si dispone di un dominio radice federato, come contoso.com, questo articolo consente di verificare un sottodominio, ad esempio child.contoso.com, come gestito anziché federato.
Nella portale di Azure, quando il dominio padre è federato e l'amministratore tenta di verificare un sottodominio gestito nella pagina Nomi di dominio personalizzati, viene visualizzato un errore "Impossibile aggiungere il dominio" con il motivo "Una o più proprietà contengono valori non validi". Se si tenta di aggiungere questo sottodominio dalla interfaccia di amministrazione di Microsoft 365, verrà visualizzato un errore simile. Per altre informazioni sull'errore, vedere Un dominio figlio non eredita le modifiche al dominio padre in Office 365, Azure o Intune.
Poiché i sottodomini ereditano il tipo di autenticazione del dominio radice per impostazione predefinita, è necessario alzare di livello il sottodominio a un dominio radice in Microsoft Entra ID usando Microsoft Graph in modo da poter impostare il tipo di autenticazione sul tipo desiderato.
Nota
I moduli Azure AD e MSOnline PowerShell sono deprecati a partire dal 30 marzo 2024. Per maggiori informazioni, leggere l'aggiornamento sulla deprecazione. Dopo questa data, il supporto per questi moduli è limitato all'assistenza alla migrazione a Microsoft Graph PowerShell SDK e alle correzioni di sicurezza. I moduli deprecati continueranno a funzionare fino al 30 marzo 2025.
È consigliabile eseguire la migrazione a Microsoft Graph PowerShell per interagire con Microsoft Entra ID (in precedenza Azure AD). Per domande comuni sulla migrazione, consultare le Domande frequenti sulla migrazione. Nota: le versioni 1.0.x di MSOnline potrebbero subire interruzioni dopo il 30 giugno 2024.
Avviso
Il codice viene fornito come esempio a scopo dimostrativo. Se si intende usarlo nell'ambiente, provare a testarlo prima su scala ridotta o in un'organizzazione di test separata. Potrebbe essere necessario modificare il codice per soddisfare le esigenze specifiche dell'ambiente.
Aggiungere il sottodominio
Usare PowerShell per aggiungere il nuovo sottodominio, con il tipo di autenticazione predefinito del dominio radice. Microsoft Entra ID e interfaccia di amministrazione di Microsoft 365 non supportano ancora questa operazione.
Connect-MgGraph -Scopes "Domain.ReadWrite.All" $param = @{ id="test.contoso.com" AuthenticationType="Federated" } New-MgDomain -Name "child.mydomain.com" -Authentication Federated
Usare l'esempio seguente per OTTENERE il dominio. Poiché il dominio non è un dominio radice, eredita il tipo di autenticazione del dominio radice. Il comando e i risultati potrebbero avere un aspetto simile al seguente, usando il proprio ID tenant:
Nota
L'emissione di questa richiesta può essere eseguita direttamente in Graph Explorer.
GET https://graph.microsoft.com/v1.0/domains/foo.contoso.com/
Return:
{
"authenticationType": "Federated",
"availabilityStatus": null,
"isAdminManaged": true,
"isDefault": false,
"isDefaultForCloudRedirections": false,
"isInitial": false,
"isRoot": false, <---------------- Not a root domain, so it inherits parent domain's authentication type (federated)
"isVerified": true,
"name": "child.mydomain.com",
"supportedServices": [],
"forceDeleteState": null,
"state": null,
"passwordValidityPeriodInDays": null,
"passwordNotificationWindowInDays": null
},
Modificare il sottodominio in un dominio radice
Usare il comando seguente per alzare di livello il sottodominio:
POST https://graph.microsoft.com/v1.0/{tenant-id}/domains/foo.contoso.com/promote
Alzare di livello le condizioni di errore del comando
Scenario | metodo | Codice | Messaggio |
---|---|---|---|
Chiamata dell'API con un sottodominio il cui dominio padre non è verificato | POST | 400 | I domini non verificati non possono essere alzati di livello. Verificare il dominio prima dell'innalzamento di livello. |
Richiamo dell'API con un sottodominio verificato federato con riferimenti utente | POST | 400 | L'innalzamento di livello di un sottodominio con riferimenti utente non è consentito. Eseguire la migrazione degli utenti al dominio radice corrente prima della promozione del sottodominio. |
Modificare il tipo di autenticazione del sottodominio in gestito
Importante
Se si modifica il tipo di autenticazione per un sottodominio federato, è necessario prendere nota dei valori di configurazione della federazione esistenti prima di completare i passaggi seguenti. Queste informazioni possono risultare necessarie se si decide di ripristinare la federazione prima di promuovere un dominio.
Usare il comando seguente per modificare il tipo di autenticazione del sottodominio:
Connect-MGGraph -Scopes "Domain.ReadWrite.All", "Directory.AccessAsUser.All" Update-MgDomain -DomainId "test.contoso.com" -BodyParameter @{AuthenticationType="Managed"}
Verificare tramite GET nell'API Microsoft Graph che il tipo di autenticazione del sottodominio sia ora gestito:
GET https://graph.microsoft.com/v1.0/domains/foo.contoso.com/ Return: { "authenticationType": "Managed", <---------- Now this domain is successfully added as Managed and not inheriting Federated status "availabilityStatus": null, "isAdminManaged": true, "isDefault": false, "isDefaultForCloudRedirections": false, "isInitial": false, "isRoot": true, <------------------------------ Also a root domain, so not inheriting from parent domain any longer "isVerified": true, "name": "child.mydomain.com", "supportedServices": [ "Email", "OfficeCommunicationsOnline", "Intune" ], "forceDeleteState": null, "state": null, "passwordValidityPeriodInDays": null, "passwordNotificationWindowInDays": null }