Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Informazioni generali
Dopo l'aggiunta di un dominio radice all'ID Microsoft Entra, parte di Microsoft Entra, tutti i sottodomini successivi aggiunti a tale radice nell'organizzazione Microsoft Entra ereditano automaticamente l'impostazione di autenticazione dal dominio radice. Tuttavia, se si vogliono gestire le impostazioni di autenticazione del dominio indipendentemente dalle impostazioni del dominio radice, è ora possibile farlo con l'API Microsoft Graph. Ad esempio, se si dispone di un dominio radice federato, come contoso.com, questo articolo consente di verificare un sottodominio, ad esempio child.contoso.com, come gestito anziché federato.
Nel portale di Azure, quando il dominio padre è federato e l'amministratore tenta di verificare un sottodominio gestito nella pagina Nomi di dominio personalizzati , nella pagina Viene visualizzato un errore 'Failed to add domain' con il motivo "Una o più proprietà contengono valori non validi". Se si tenta di aggiungere questo sottodominio dall'interfaccia di amministrazione di Microsoft 365, viene visualizzato un errore simile. Per altre informazioni sull'errore, vedere Un dominio figlio non eredita le modifiche al dominio padre in Office 365, Azure o Intune.
Poiché i sottodomini ereditano il tipo di autenticazione del dominio radice per impostazione predefinita, è necessario alzare di livello il sottodominio a un dominio radice in Microsoft Entra ID usando Microsoft Graph in modo da poter impostare il tipo di autenticazione sul tipo desiderato.
Avvertimento
Questo piccolo script è un esempio a scopo dimostrativo. Se si intende usarlo nell'ambiente, eseguire prima il test. È consigliabile modificare il codice per soddisfare i requisiti.
Aggiungere il sottodominio
Annotazioni
Negli esempi seguenti viene usato <your-root-domain> come segnaposto. Sostituirlo con il proprio nome di dominio radice verificato (ad esempio, contoso.com).
Usare PowerShell per aggiungere il nuovo sottodominio, con il tipo di autenticazione predefinito del dominio radice. L'ID Microsoft Entra e le interfacce di amministrazione di Microsoft 365 non supportano ancora questa operazione.
# Connect to Microsoft Graph with the required scopes Connect-MgGraph -Scopes "Domain.ReadWrite.All" # Define the parameters for the new domain $domainParams = @{ Id = "child6.<your-root-domain>" AuthenticationType = "Federated" } # Create a new domain with the specified parameters New-MgDomain @domainParamsUsare l'esempio seguente per OTTENERE il dominio. Poiché il dominio non è un dominio radice, eredita il tipo di autenticazione del dominio radice. Il comando e i relativi risultati potrebbero apparire come segue, utilizzando il proprio ID tenant:
Annotazioni
L'emissione di questa richiesta può essere eseguita direttamente in Graph Explorer.
GET https://graph.microsoft.com/v1.0/domains/foo.contoso.com/ Return: { "authenticationType": "Federated", "availabilityStatus": null, "isAdminManaged": true, "isDefault": false, "isDefaultForCloudRedirections": false, "isInitial": false, "isRoot": false, <---------------- Not a root domain, so it inherits parent domain's authentication type (federated) "isVerified": true, "name": "child.<your-root-domain>", "supportedServices": [], "forceDeleteState": null, "state": null, "passwordValidityPeriodInDays": null, "passwordNotificationWindowInDays": null },
Modificare il sottodominio in un dominio radice
Usare il comando seguente per alzare di livello il sottodominio:
POST https://graph.microsoft.com/v1.0/{tenant-id}/domains/foo.contoso.com/promote
Alzare di livello le condizioni di errore del comando
| Sceneggiatura | Metodo | Codice | Messaggio |
|---|---|---|---|
| Chiamata dell'API con un sottodominio il cui dominio padre non è verificato | INSERISCI | 400 | I domini non verificati non possono essere alzati di livello. Verificare il dominio prima dell'innalzamento di livello. |
| Richiamo dell'API con un sottodominio verificato federato con riferimenti utente | INSERISCI | 400 | L'innalzamento di livello di un sottodominio con riferimenti utente non è consentito. Eseguire la migrazione degli utenti al dominio radice corrente prima della promozione del sottodominio. |
Modificare il tipo di autenticazione del sottodominio in gestito
Importante
Se si modifica il tipo di autenticazione per un sottodominio federato, è necessario prendere nota dei valori di configurazione della federazione esistenti prima di completare i passaggi successivi. Le informazioni sono necessarie se si decide di riapplicare la federazione prima di promuovere un dominio.
Utilizzare il seguente comando per modificare il tipo di autenticazione del sottodominio:
Connect-MGGraph -Scopes "Domain.ReadWrite.All", "Directory.AccessAsUser.All" Update-MgDomain -DomainId "test.contoso.com" -BodyParameter @{AuthenticationType="Managed"}Verificare tramite GET nell'API Microsoft Graph che il tipo di autenticazione del sottodominio sia ora gestito:
GET https://graph.microsoft.com/v1.0/domains/foo.contoso.com/ Return: { "authenticationType": "Managed", <---------- Now this domain is successfully added as Managed and not inheriting Federated status "availabilityStatus": null, "isAdminManaged": true, "isDefault": false, "isDefaultForCloudRedirections": false, "isInitial": false, "isRoot": true, <------------------------------ Also a root domain, so not inheriting from parent domain any longer "isVerified": true, "name": "child.<your-root-domain>", "supportedServices": [ "Email", "OfficeCommunicationsOnline", "Intune" ], "forceDeleteState": null, "state": null, "passwordValidityPeriodInDays": null, "passwordNotificationWindowInDays": null }