Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
Nadat een hoofddomein is toegevoegd aan Microsoft Entra-id, onderdeel van Microsoft Entra, nemen alle volgende subdomeinen die zijn toegevoegd aan die hoofdmap in uw Microsoft Entra-organisatie automatisch de verificatie-instelling over van het hoofddomein. Als u echter instellingen voor domeinverificatie onafhankelijk van de hoofddomeininstellingen wilt beheren, kunt u nu de Microsoft Graph API gebruiken. Als u bijvoorbeeld een federatief hoofddomein hebt, zoals contoso.com, kan dit artikel u helpen om een subdomein zoals child.contoso.com als beheerd in plaats van federatief te verifiëren.
Wanneer het bovenliggende domein federatief is en de beheerder probeert een beheerd subdomein op de pagina Aangepaste domeinnamen te verifiëren, wordt op de pagina de fout 'Domein toevoegen mislukt' weergegeven met de reden 'Een of meer eigenschappen bevatten ongeldige waarden'. Als u dit subdomein probeert toe te voegen vanuit het Microsoft 365-beheercentrum, krijgt u een vergelijkbare fout. Voor meer informatie over de fout, zie Een onderliggend domein erft geen wijzigingen van een bovenliggend domein in Office 365, Azure of Intune.
Omdat subdomeinen standaard het verificatietype van het hoofddomein overnemen, moet u het subdomein promoveren naar een hoofddomein in Microsoft Entra-id met behulp van Microsoft Graph, zodat u het verificatietype kunt instellen op het gewenste type.
Waarschuwing
Dit kleine script is een voorbeeld voor demonstratiedoeleinden. Als u deze wilt gebruiken in uw omgeving, test u eerst. U moet de code aanpassen aan uw vereisten.
Het subdomein toevoegen
- Gebruik PowerShell om het nieuwe subdomein toe te voegen, dat het standaardverificatietype van het hoofddomein heeft. De Microsoft Entra ID en Microsoft 365-beheercentra ondersteunen deze bewerking nog niet.
# Connect to Microsoft Graph with the required scopes
Connect-MgGraph -Scopes "Domain.ReadWrite.All"
# Define the parameters for the new domain
$domainParams = @{
Id = "child6.mydomain.com"
AuthenticationType = "Federated"
}
# Create a new domain with the specified parameters
New-MgDomain @domainParams
- Gebruik het volgende voorbeeld om het domein op te halen. Omdat het domein geen hoofddomein is, neemt het het verificatietype van het hoofddomein over. Uw opdracht en resultaten kunnen er als volgt uitzien met uw eigen tenant-id:
Notitie
Het uitgeven van deze aanvraag kan rechtstreeks in Graph Explorer worden uitgevoerd.
GET https://graph.microsoft.com/v1.0/domains/foo.contoso.com/
Return:
{
"authenticationType": "Federated",
"availabilityStatus": null,
"isAdminManaged": true,
"isDefault": false,
"isDefaultForCloudRedirections": false,
"isInitial": false,
"isRoot": false, <---------------- Not a root domain, so it inherits parent domain's authentication type (federated)
"isVerified": true,
"name": "child.mydomain.com",
"supportedServices": [],
"forceDeleteState": null,
"state": null,
"passwordValidityPeriodInDays": null,
"passwordNotificationWindowInDays": null
},
Subdomein wijzigen in een hoofddomein
Gebruik de volgende opdracht om het subdomein te promoveren:
POST https://graph.microsoft.com/v1.0/{tenant-id}/domains/foo.contoso.com/promote
Promoot foutcondities voor commando's
| Scenariobeschrijving | Methode | Code | Bericht |
|---|---|---|---|
| API aanroepen met een subdomein waarvan het bovenliggende domein niet is geverifieerd | VERZENDEN | 400 | Niet-geverifieerde domeinen kunnen niet worden gepromoveerd. Controleer het domein vóór promotie. |
| API aanroepen met een federatief geverifieerd subdomein met gebruikersverwijzingen | VERZENDEN | 400 | Het promoveren van een subdomein met gebruikersverwijzingen is niet toegestaan. Migreer de gebruikers naar het huidige hoofddomein vóór de promotie van het subdomein. |
Het verificatietype van het subdomein wijzigen in beheerd
Belangrijk
Als u het verificatietype voor een federatief subdomein wijzigt, moet u rekening houden met de bestaande federatieconfiguratiewaarden voordat u de volgende stappen uitvoert. De informatie is nodig als u besluit de federatie opnieuw in te stellen voordat u een domein promoveert.
Gebruik de volgende opdracht om het verificatietype subdomein te wijzigen:
Connect-MGGraph -Scopes "Domain.ReadWrite.All", "Directory.AccessAsUser.All" Update-MgDomain -DomainId "test.contoso.com" -BodyParameter @{AuthenticationType="Managed"}Controleer via GET in Microsoft Graph API of het verificatietype voor subdomeinen nu wordt beheerd:
GET https://graph.microsoft.com/v1.0/domains/foo.contoso.com/ Return: { "authenticationType": "Managed", <---------- Now this domain is successfully added as Managed and not inheriting Federated status "availabilityStatus": null, "isAdminManaged": true, "isDefault": false, "isDefaultForCloudRedirections": false, "isInitial": false, "isRoot": true, <------------------------------ Also a root domain, so not inheriting from parent domain any longer "isVerified": true, "name": "child.mydomain.com", "supportedServices": [ "Email", "OfficeCommunicationsOnline", "Intune" ], "forceDeleteState": null, "state": null, "passwordValidityPeriodInDays": null, "passwordNotificationWindowInDays": null }