Obsługa wielu domen na potrzeby federacji z identyfikatorem Entra firmy Microsoft

Poniższa dokumentacja zawiera wskazówki dotyczące używania wielu domen najwyższego poziomu i domen podrzędnych podczas federacji z domenami platformy Microsoft 365 lub Microsoft Entra.

Obsługa wielu domen najwyższego poziomu

Federowanie wielu domen najwyższego poziomu za pomocą identyfikatora Entra firmy Microsoft wymaga dodatkowej konfiguracji, która nie jest wymagana w przypadku federacji z jedną domeną najwyższego poziomu.

Gdy domena jest sfederowane z identyfikatorem Entra firmy Microsoft, kilka właściwości jest ustawionych w domenie na platformie Azure. Jednym z ważnych jest identyfikator IssuerUri. Ta właściwość jest identyfikatorem URI używanym przez identyfikator firmy Microsoft Entra do identyfikowania domeny, z którą jest skojarzony token. Identyfikator URI nie musi być rozpoznawany jako dowolny, ale musi być prawidłowym identyfikatorem URI. Domyślnie identyfikator Entra firmy Microsoft ustawia identyfikator URI na wartość identyfikatora usługi federacyjnej w lokalnej konfiguracji usług AD FS.

Uwaga

Identyfikator usługi federacyjnej jest identyfikatorem URI, który jednoznacznie identyfikuje usługę federacyjną. Usługa federacyjna jest wystąpieniem usług AD FS, które działa jako usługa tokenu zabezpieczającego.

Identyfikator IssuerUri można wyświetlić za pomocą polecenia Get-MsolDomainFederationSettings -DomainName <your domain>programu PowerShell .

Uwaga

Moduły usług Azure AD i MSOnline programu PowerShell są przestarzałe od 30 marca 2024 r. Aby dowiedzieć się więcej, przeczytaj aktualizację o wycofaniu. Po tej dacie obsługa tych modułów jest ograniczona do pomocy dotyczącej migracji do zestawu MICROSOFT Graph PowerShell SDK i poprawek zabezpieczeń. Przestarzałe moduły będą nadal działać do 30 marca 2025 r.

Zalecamy migrację do programu Microsoft Graph PowerShell w celu interakcji z identyfikatorem Entra firmy Microsoft (dawniej Azure AD). W przypadku typowych pytań dotyczących migracji zapoznaj się z często zadawanymi pytaniami dotyczącymi migracji. Uwaga: wersje 1.0.x usługi MSOnline mogą wystąpić zakłócenia po 30 czerwca 2024 r.

Występuje problem podczas dodawania więcej niż jednej domeny najwyższego poziomu. Załóżmy na przykład, że skonfigurowaliśmy federację między identyfikatorem Entra firmy Microsoft i środowiskiem lokalnym. W tym dokumencie używana jest domena bmcontoso.com. Teraz dodano drugą domenę najwyższego poziomu bmfabrikam.com.

Podczas próby przekonwertowania domeny bmfabrikam.com na federacyjną wystąpi błąd. Przyczyną jest to, że identyfikator Entra firmy Microsoft ma ograniczenie, które nie zezwala właściwości IssuerUri na taką samą wartość dla więcej niż jednej domeny.

SupportMultipleDomain , parametr

Aby obejść to ograniczenie, należy dodać inny identyfikator IssuerUri, który można wykonać za pomocą parametru -SupportMultipleDomain . Ten parametr jest używany z następującymi poleceniami cmdlet:

• New-MsolFederatedDomain
• Convert-MsolDomaintoFederated
• Update-MsolFederatedDomain

Ten parametr sprawia, że identyfikator Entra firmy Microsoft konfiguruje identyfikator wystawcy, tak aby był oparty na nazwie domeny. Identyfikator IssuerUri będzie unikatowy dla katalogów w identyfikatorze Entra firmy Microsoft. Użycie parametru umożliwia pomyślne ukończenie polecenia programu PowerShell.

Na zrzucie ekranu przedstawiający domenę bmfabrikam.com można zobaczyć następujące ustawienia:

-SupportMultipleDomain nie zmienia innych punktów końcowych, które są nadal skonfigurowane tak, aby wskazywały usługę federacyjną na adfs.bmcontoso.com.

-SupportMultipleDomain Zapewnia również, że system usług AD FS zawiera odpowiednią wartość wystawcy w tokenach wystawionych dla identyfikatora Entra firmy Microsoft. Ta wartość jest ustawiana przez pobranie części domeny nazwy UPN użytkownika i użycie jej jako domeny w identyfikatorze IssuerUri, czyli https://{upn suffix}/adfs/services/trust.

W związku z tym podczas uwierzytelniania w usłudze Microsoft Entra ID lub Microsoft 365 element IssuerUri w tokenie użytkownika jest używany do lokalizowania domeny w identyfikatorze Entra firmy Microsoft. Jeśli nie można odnaleźć dopasowania, uwierzytelnianie zakończy się niepowodzeniem.

Jeśli na przykład nazwa UPN użytkownika to bsimon@bmcontoso.com, element IssuerUri w tokenie, wystawca usług AD FS, zostanie ustawiony na http://bmcontoso.com/adfs/services/trust. Ten element będzie zgodny z konfiguracją firmy Microsoft Entra, a uwierzytelnianie zakończy się pomyślnie.

Następująca niestandardowa reguła oświadczeń implementuje tę logikę:

c:[Type == "http://schemas.xmlsoap.org/claims/UPN"] => issue(Type = "http://schemas.microsoft.com/ws/2008/06/identity/claims/issuerid", Value = regexreplace(c.Value, ".+@(?<domain>.+)", "http://${domain}/adfs/services/trust/"));

Ważne

Aby można było użyć przełącznika -SupportMultipleDomain podczas próby dodania nowych lub przekonwertowania już istniejących domen, twoje federacyjne zaufanie musi już zostać skonfigurowane w celu ich obsługi.

Jak zaktualizować relację zaufania między usługami AD FS i identyfikatorem entra firmy Microsoft

Jeśli nie skonfigurowaliśmy relacji zaufania federacyjnego między usługami AD FS i wystąpieniem identyfikatora Entra firmy Microsoft, może być konieczne ponowne utworzenie tego zaufania. Przyczyną jest to, że gdy jest ona pierwotnie skonfigurowana bez parametru -SupportMultipleDomain , identyfikator IssuerUri jest ustawiany z wartością domyślną. Na poniższym zrzucie ekranu widać, że wartość IssuerUri jest ustawiona na https://adfs.bmcontoso.com/adfs/services/trust.

Jeśli pomyślnie dodano nową domenę w centrum administracyjnym firmy Microsoft Entra, a następnie spróbujesz ją przekonwertować przy użyciu Convert-MsolDomaintoFederated -DomainName <your domain>polecenia , zostanie wyświetlony następujący błąd.

Jeśli spróbujesz dodać -SupportMultipleDomain przełącznik, zostanie wyświetlony następujący błąd:

Po prostu próba uruchomienia Update-MsolFederatedDomain -DomainName <your domain> -SupportMultipleDomain w oryginalnej domenie spowoduje również błąd.

Wykonaj poniższe kroki, aby dodać dodatkową domenę najwyższego poziomu. Jeśli już dodano domenę i nie użyto parametru -SupportMultipleDomain , zacznij od kroków usuwania i aktualizowania oryginalnej domeny. Jeśli jeszcze nie dodano domeny najwyższego poziomu, możesz rozpocząć od kroków dodawania domeny przy użyciu programu PowerShell programu Microsoft Entra Połączenie.

Wykonaj poniższe kroki, aby usunąć zaufanie usługi Microsoft Online i zaktualizować oryginalną domenę.

1. Na serwerze federacyjnym usług AD FS otwórz zarządzanie usługami AD FS.
2. Po lewej stronie rozwiń węzeł Relacje zaufania i Relacje jednostki uzależnionej.
3. Po prawej stronie usuń wpis Platforma tożsamości usługi Microsoft Office 365.
4. Na maszynie z zainstalowanym modułem programu Azure AD PowerShell uruchom następujący program PowerShell: $cred=Get-Credential.
5. Wprowadź nazwę użytkownika i hasło Administracja istrator tożsamości hybrydowej dla domeny Microsoft Entra, z którą jest sfederowane.
6. W programie PowerShell wprowadź .Connect-MsolService -Credential $cred
7. W programie PowerShell wprowadź .Update-MSOLFederatedDomain -DomainName <Federated Domain Name> -SupportMultipleDomain Ta aktualizacja dotyczy oryginalnej domeny. Dlatego użycie powyższych domen będzie następujące: Update-MsolFederatedDomain -DomainName bmcontoso.com -SupportMultipleDomain

Wykonaj poniższe kroki, aby dodać nową domenę najwyższego poziomu przy użyciu programu PowerShell

1. Na maszynie z zainstalowanym modułem programu Azure AD PowerShell uruchom następujący program PowerShell: $cred=Get-Credential.
2. Wprowadź nazwę użytkownika i hasło Administracja istrator tożsamości hybrydowej dla domeny Microsoft Entra, z którą sfederujesz
3. W programie PowerShell wprowadź Connect-MsolService -Credential $cred
4. W programie PowerShell wprowadź New-MsolFederatedDomain –SupportMultipleDomain –DomainName

Wykonaj poniższe kroki, aby dodać nową domenę najwyższego poziomu przy użyciu usługi Microsoft Entra Połączenie.

1. Uruchom Połączenie Firmy Microsoft z poziomu pulpitu lub menu Start
2. Wybierz pozycję "Dodaj dodatkową domenę firmy Microsoft Entra"
3. Wprowadź identyfikator entra firmy Microsoft i poświadczenia usługi Active Directory
4. Wybierz drugą domenę, którą chcesz skonfigurować dla federacji.
5. Kliknięcie pozycji Zainstaluj

Weryfikowanie nowej domeny najwyższego poziomu

Za pomocą polecenia Get-MsolDomainFederationSettings -DomainName <your domain>programu PowerShell można wyświetlić zaktualizowany identyfikator IssuerUri. Poniższy zrzut ekranu przedstawia ustawienia federacji, które zostały zaktualizowane w oryginalnej domenie http://bmcontoso.com/adfs/services/trust

Identyfikator IssuerUri w nowej domenie został ustawiony na wartość https://bmcontoso.com/adfs/services/trust

Obsługa poddomen

Po dodaniu poddomeny ze względu na sposób obsługi domen entra firmy Microsoft będzie dziedziczyć ustawienia elementu nadrzędnego. Dlatego identyfikator IssuerUri musi być zgodny z elementami nadrzędnymi.

Załóżmy na przykład, że mam bmcontoso.com, a następnie dodaję corp.bmcontoso.com. Identyfikator IssuerUri dla użytkownika z corp.bmcontoso.com musi mieć wartość http://bmcontoso.com/adfs/services/trust. Jednak reguła standardowa zaimplementowana powyżej dla identyfikatora Entra firmy Microsoft wygeneruje token z wystawcą jako http://corp.bmcontoso.com/adfs/services/trust. które nie będą zgodne z wymaganą wartością domeny, a uwierzytelnianie zakończy się niepowodzeniem.

Jak włączyć obsługę poddomen

Aby obejść to zachowanie, należy zaktualizować zaufanie jednostki uzależnionej usług AD FS dla usługi Microsoft Online. W tym celu należy skonfigurować niestandardową regułę oświadczenia, tak aby usuwała wszystkie poddomeny z sufiksu nazwy UPN użytkownika podczas konstruowania niestandardowej wartości wystawcy.

Użyj następującego oświadczenia:

c:[Type == "http://schemas.xmlsoap.org/claims/UPN"] => issue(Type = "http://schemas.microsoft.com/ws/2008/06/identity/claims/issuerid", Value = regexreplace(c.Value, "^.*@([^.]+\.)*?(?<domain>([^.]+\.?){2})$", "http://${domain}/adfs/services/trust/"));

[! UWAGA] Ostatnia liczba w zestawie wyrażeń regularnych to liczba domen nadrzędnych w domenie głównej. W tym bmcontoso.com jest używana, więc konieczne są dwie domeny nadrzędne. Gdyby trzy domeny nadrzędne były przechowywane (tj. corp.bmcontoso.com), liczba byłaby trzy. W końcu można wskazać zakres, dopasowanie będzie zawsze zgodne z maksymalną wartością domen. "{2,3}" będzie pasować do dwóch do trzech domen (czyli bmfabrikam.com i corp.bmcontoso.com).

Wykonaj poniższe kroki, aby dodać oświadczenie niestandardowe do obsługi poddomen.

1. Otwórz zarządzanie usługami AD FS

2. Kliknij prawym przyciskiem myszy zaufanie dostawcy usług online firmy Microsoft i wybierz polecenie Edytuj reguły oświadczeń

3. Wybierz trzecią regułę oświadczenia i zastąp

4. Zastąp bieżące oświadczenie:

   c:[Type == "http://schemas.xmlsoap.org/claims/UPN"] => issue(Type = "http://schemas.microsoft.com/ws/2008/06/identity/claims/issuerid", Value = regexreplace(c.Value, ".+@(?<domain>.+)","http://${domain}/adfs/services/trust/"));
   

   with

   c:[Type == "http://schemas.xmlsoap.org/claims/UPN"] => issue(Type = "http://schemas.microsoft.com/ws/2008/06/identity/claims/issuerid", Value = regexreplace(c.Value, "^.*@([^.]+\.)*?(?<domain>([^.]+\.?){2})$", "http://${domain}/adfs/services/trust/"));
   

   

5. Kliknij przycisk OK. Kliknij Zastosuj. Kliknij przycisk OK. Zamknij przystawkę zarządzania usługami AD FS.

Następne kroki

Teraz, gdy masz zainstalowaną Połączenie firmy Microsoft, możesz zweryfikować instalację i przypisać licencje.

Dowiedz się więcej o tych funkcjach, które zostały włączone z instalacją: Automatyczne uaktualnianie, Zapobieganie przypadkowym usuwaniu i Microsoft Entra Połączenie Health.

Dowiedz się więcej na te popularne tematy: harmonogram i sposób włączania synchronizacji.

Dowiedz się więcej na temat integrowania tożsamości lokalnych z identyfikatorem Entra firmy Microsoft.