루트 도메인이 Microsoft Entra의 일부인 Microsoft Entra ID에 추가된 후 Microsoft Entra 조직의 해당 루트에 추가된 모든 후속 하위 도메인은 루트 도메인에서 인증 설정을 자동으로 상속합니다. 그러나 루트 도메인 설정과 독립적으로 도메인 인증 설정을 관리하려는 경우 이제 Microsoft Graph API를 사용할 수 있습니다. 예를 들어, contoso.com과 같은 페더레이션된 루트 도메인이 있는 경우 이 문서를 통해 페더레이션되는 것이 아니라 관리형 child.contoso.com과 같은 하위 도메인을 확인할 수 있습니다.
Azure Portal에서 부모 도메인이 페더레이션되고 관리자가 사용자 지정 도메인 이름 페이지에서 관리되는 하위 도메인을 확인하려고 하면 페이지에 "하나 이상의 속성에 잘못된 값이 포함되어 있습니다."라는 이유와 함께 '도메인을 추가하지 못했습니다'라는 오류가 표시됩니다. Microsoft 365 관리 센터에서 이 하위 도메인을 추가하려고 하면 비슷한 오류가 발생합니다. 오류에 대한 자세한 내용은 자식 도메인이 Office 365, Azure 또는 Intune에서 부모 도메인 변경 내용을 상속하지 않음을 참조하세요.
하위 도메인은 기본적으로 루트 도메인의 인증 유형을 상속하므로 Microsoft Graph를 사용하여 Microsoft Entra ID의 루트 도메인으로 하위 도메인을 승격해야 인증 유형을 원하는 형식으로 설정할 수 있습니다.
경고
이 작은 스크립트는 데모용 예제입니다. 사용자 환경에서 사용하려는 경우 먼저 테스트합니다. 요구 사항에 맞게 코드를 조정해야 합니다.
하위 도메인 추가
- PowerShell을 사용하여 루트 도메인의 기본 인증 유형이 있는 새 하위 도메인을 추가합니다. Microsoft Entra ID 및 Microsoft 365 관리 센터는 아직 이 작업을 지원하지 않습니다.
# Connect to Microsoft Graph with the required scopes
Connect-MgGraph -Scopes "Domain.ReadWrite.All"
# Define the parameters for the new domain
$domainParams = @{
Id = "child6.mydomain.com"
AuthenticationType = "Federated"
}
# Create a new domain with the specified parameters
New-MgDomain @domainParams
- 다음 예제를 사용하여 도메인을 가져옵니다. 도메인은 루트 도메인이 아니므로 루트 도메인 인증 유형을 상속합니다. 명령 및 결과는 사용자 고유의 테넌트 ID를 사용하여 다음과 같이 표시될 수 있습니다.
비고
이 요청 발급은 Graph Explorer에서 직접 수행할 수 있습니다.
GET https://graph.microsoft.com/v1.0/domains/foo.contoso.com/
Return:
{
"authenticationType": "Federated",
"availabilityStatus": null,
"isAdminManaged": true,
"isDefault": false,
"isDefaultForCloudRedirections": false,
"isInitial": false,
"isRoot": false, <---------------- Not a root domain, so it inherits parent domain's authentication type (federated)
"isVerified": true,
"name": "child.mydomain.com",
"supportedServices": [],
"forceDeleteState": null,
"state": null,
"passwordValidityPeriodInDays": null,
"passwordNotificationWindowInDays": null
},
하위 도메인을 루트 도메인으로 변경
다음 명령을 사용하여 하위 도메인을 승격합니다.
POST https://graph.microsoft.com/v1.0/{tenant-id}/domains/foo.contoso.com/promote
명령 오류 조건을 상승시키기
| 시나리오 | 메서드 | 코드 | 메시지 |
|---|---|---|---|
| 부모 도메인이 확인되지 않은 하위 도메인을 사용하여 API 호출 | 게시하기 | 400 | 확인되지 않은 도메인은 승격할 수 없습니다. 승격 전에 도메인을 확인합니다. |
| 사용자 참조를 사용하여 페더레이션된 확인된 하위 도메인을 사용하여 API 호출 | 게시하기 | 400 | 사용자 참조를 사용하여 하위 도메인을 승격할 수 없습니다. 하위 도메인을 승격하기 전에 사용자를 현재 루트 도메인으로 마이그레이션합니다. |
하위 도메인 인증 유형을 관리형으로 변경
중요합니다
페더레이션된 하위 도메인에 대한 인증 유형을 변경하는 경우 다음 단계를 완료하기 전에 기존 페더레이션 구성 값을 기록해 두어야 합니다. 도메인을 승격하기 전에 페더레이션을 다시 가져오기로 결정한 경우 정보가 필요합니다.
다음 명령을 사용하여 하위 도메인 인증 유형을 변경합니다.
Connect-MGGraph -Scopes "Domain.ReadWrite.All", "Directory.AccessAsUser.All" Update-MgDomain -DomainId "test.contoso.com" -BodyParameter @{AuthenticationType="Managed"}Microsoft Graph API에서 GET을 통해 이제 하위 도메인 인증 유형이 관리되는지 확인합니다.
GET https://graph.microsoft.com/v1.0/domains/foo.contoso.com/ Return: { "authenticationType": "Managed", <---------- Now this domain is successfully added as Managed and not inheriting Federated status "availabilityStatus": null, "isAdminManaged": true, "isDefault": false, "isDefaultForCloudRedirections": false, "isInitial": false, "isRoot": true, <------------------------------ Also a root domain, so not inheriting from parent domain any longer "isVerified": true, "name": "child.mydomain.com", "supportedServices": [ "Email", "OfficeCommunicationsOnline", "Intune" ], "forceDeleteState": null, "state": null, "passwordValidityPeriodInDays": null, "passwordNotificationWindowInDays": null }