Przejmowanie niezarządzanego katalogu jako administratora w identyfikatorze Entra firmy Microsoft
W tym artykule opisano dwa sposoby przejęcia nazwy domeny DNS w katalogu niezarządzanym w usłudze Microsoft Entra ID. Gdy użytkownik samoobsługi zarejestruje się w usłudze w chmurze korzystającej z identyfikatora Entra firmy Microsoft, zostanie dodany do niezarządzanego katalogu Microsoft Entra na podstawie domeny poczty e-mail. Aby uzyskać więcej informacji na temat samoobsługowej lub "wirusowej" rejestracji w usłudze, zobacz Co to jest rejestracja samoobsługowa w usłudze Microsoft Entra ID?
Zdecyduj, jak chcesz przejąć katalog niezarządzany
W ramach procesu przejęcia przez administratora możesz udowodnić własność w sposób opisany w artykule Dodawanie niestandardowej nazwy domeny Microsoft Entra ID. W kolejnych sekcjach objaśniono środowisko pracy administratora bardziej szczegółowo, ale w tym miejscu znajduje się podsumowanie:
Po wykonaniu "wewnętrznego" przejęcia przez administratora niezarządzanego katalogu platformy Azure zostaniesz dodany jako administrator globalny katalogu niezarządzanego. Użytkownicy, domeny ani plany usług nie są migrowane do żadnych innych administrowanych przez Ciebie katalogów.
W przypadku wykonania „zewnętrznego” przejęcia przez administratora niezarządzanego katalogu platformy Azure dodajesz nazwę domeny DNS katalogu niezarządzanego do swojego zarządzanego katalogu platformy Azure. W przypadku dodania nazwy domeny mapowanie użytkowników do zasobów jest tworzone w Twoim zarządzanym katalogu usługi Azure, dzięki czemu użytkownicy mogą nadal bez przeszkód uzyskiwać dostęp do usług.
Uwaga
Przejęcie administratora "wewnętrznego" wymaga pewnego poziomu dostępu do katalogu niezarządzanego. Jeśli nie możesz uzyskać dostępu do katalogu, który próbujesz przejąć, musisz wykonać "zewnętrzne" przejęcie administratora.
Przejęcie przez administratora wewnętrznego
Niektóre produkty, które obejmują programy SharePoint i OneDrive, takie jak Platforma Microsoft 365, nie obsługują przejęcia zewnętrznego. Jeśli jest to Twój scenariusz lub jeśli jesteś administratorem i chcesz przejąć organizację niezarządzaną lub "w tle" firmy Microsoft Entra utworzoną przez użytkowników, którzy korzystali z rejestracji samoobsługowej, możesz to zrobić za pomocą wewnętrznego przejęcia przez administratora wewnętrznego.
Utwórz kontekst użytkownika w organizacji niezarządzanej za pomocą rejestracji w usłudze Power BI. Dla wygody na przykład te kroki zakładają, że ścieżka.
Otwórz witrynę usługi Power BI i wybierz pozycję Rozpocznij bezpłatnie. Wprowadź konto użytkownika, które używa nazwy domeny dla organizacji; na przykład
admin@fourthcoffee.xyz
. Po wprowadzeniu kodu weryfikacyjnego sprawdź swój adres e-mail pod kątem kodu potwierdzenia.W wiadomości e-mail z potwierdzeniem z usługi Power BI wybierz pozycję Tak, to ja.
Zaloguj się do Centrum administracyjne platformy Microsoft 365 przy użyciu konta użytkownika usługi Power BI.
Zostanie wyświetlony komunikat informujący o tym, że zostaniesz Administracja nazwy domeny, która została już zweryfikowana w organizacji niezarządzanej. wybierz pozycję Tak, chcę być administratorem.
Dodaj rekord TXT, aby udowodnić, że jesteś właścicielem nazwy domeny fourthcoffee.xyz u rejestratora nazw domen. W tym przykładzie jest to GoDaddy.com.
Gdy rekordy TXT DNS są weryfikowane u rejestratora nazw domen, możesz zarządzać organizacją Firmy Microsoft Entra.
Po wykonaniu powyższych kroków jesteś teraz administratorem globalnym organizacji Czwartej kawy na platformie Microsoft 365. Aby zintegrować nazwę domeny z innymi usługami platformy Azure, możesz usunąć ją z platformy Microsoft 365 i dodać ją do innej organizacji zarządzanej na platformie Azure.
Dodawanie nazwy domeny do organizacji zarządzanej w usłudze Microsoft Entra ID
Napiwek
Kroki opisane w tym artykule mogą się nieznacznie różnić w zależności od portalu, od którego zaczynasz.
Wybierz kartę Użytkownicy i utwórz nowe konto użytkownika o takiej nazwie, jak user@fourthcoffeexyz.onmicrosoft.com nie używa niestandardowej nazwy domeny.
Upewnij się, że nowe konto użytkownika ma uprawnienia globalnego Administracja istratora dla organizacji Microsoft Entra.
Otwórz kartę Domeny w Centrum administracyjne platformy Microsoft 365, wybierz nazwę domeny i wybierz pozycję Usuń.
Jeśli masz użytkowników lub grupy na platformie Microsoft 365 odwołujących się do usuniętej nazwy domeny, należy zmienić ich nazwę na domenę .onmicrosoft.com. Jeśli wymusisz usunięcie nazwy domeny, wszyscy użytkownicy zostaną automatycznie zmienioni, w tym przykładzie na user@fourthcoffeexyz.onmicrosoft.com.
Zaloguj się do centrum administracyjnego firmy Microsoft Entra jako co najmniej administrator globalny Administracja istrator.
W polu wyszukiwania w górnej części strony wyszukaj ciąg Nazwy domen.
Wybierz pozycję + Dodaj niestandardowe nazwy domen, a następnie dodaj nazwę domeny. Musisz wprowadzić rekordy TXT SYSTEMU DNS, aby zweryfikować własność nazwy domeny.
Uwaga
Wszyscy użytkownicy usługi Power BI lub Azure Rights Management, którzy mają przypisane licencje w organizacji platformy Microsoft 365, muszą zapisać swoje pulpity nawigacyjne, jeśli nazwa domeny zostanie usunięta. Muszą się zalogować przy użyciu nazwy użytkownika, takiej jak user@fourthcoffeexyz.onmicrosoft.com , a user@fourthcoffee.xyznie .
Przejęcie przez administratora zewnętrznego
Jeśli zarządzasz już organizacją za pomocą usług platformy Azure lub platformy Microsoft 365, nie możesz dodać niestandardowej nazwy domeny, jeśli została ona już zweryfikowana w innej organizacji firmy Microsoft Entra. Jednak z poziomu organizacji zarządzanej w usłudze Microsoft Entra ID możesz przejąć organizację niezarządzaną jako przejęcie przez administratora zewnętrznego. Ogólna procedura jest zgodna z artykułem Dodawanie domeny niestandardowej do identyfikatora Entra firmy Microsoft.
Po zweryfikowaniu własności nazwy domeny identyfikator Entra firmy Microsoft usuwa nazwę domeny z organizacji niezarządzanej i przenosi ją do istniejącej organizacji. Przejęcie przez administratora zewnętrznego katalogu niezarządzanego wymaga tego samego procesu weryfikacji TXT SYSTEMU DNS co przejęcie przez administratora wewnętrznego. Różnica polega na tym, że następujące elementy są również przenoszone z nazwą domeny:
- Użytkownicy
- Subskrypcje
- Przypisania licencji
Obsługa przejęcia przez administratora zewnętrznego
Przejęcie przez administratora zewnętrznego jest obsługiwane przez następujące Usługi online:
- Azure Rights Management
- Exchange Online
Obsługiwane plany usług obejmują:
- Power Apps — wersja bezpłatna
- Bezpłatna usługa Power Automate
- Usługi RMS dla użytkowników indywidualnych
- Usługa Microsoft Stream
- Bezpłatna wersja próbna usługi Dynamics 365
Przejęcie przez administratora zewnętrznego nie jest obsługiwane w przypadku żadnej usługi, która zawiera plany usług obejmujące program SharePoint, oneDrive lub Skype dla firm; na przykład za pośrednictwem bezpłatnej subskrypcji pakietu Office.
Uwaga
Przejęcie przez administratora zewnętrznego nie jest obsługiwane przez granice chmury (np. Azure Commercial to Azure Government). W tych scenariuszach zaleca się przeprowadzenie przejęcia przez administratora zewnętrznego do innej dzierżawy komercyjnej platformy Azure, a następnie usunięcie domeny z tej dzierżawy, aby można było pomyślnie zweryfikować docelową dzierżawę platformy Azure Government.
Więcej informacji o usłudze RMS dla użytkowników indywidualnych
W przypadku usługi RMS dla użytkowników indywidualnych, gdy organizacja niezarządzana znajduje się w tym samym regionie co organizacja, której jesteś właścicielem, automatycznie utworzony klucz organizacji usługi Azure Information Protection i domyślne szablony ochrony są dodatkowo przenoszone z nazwą domeny.
Klucz i szablony nie są przenoszone, gdy organizacja niezarządzana znajduje się w innym regionie. Jeśli na przykład organizacja niezarządzana znajduje się w Europie, a organizacja, której jesteś właścicielem, znajduje się w Ameryka Północna.
Chociaż usługa RMS dla użytkowników indywidualnych jest przeznaczona do obsługi uwierzytelniania firmy Microsoft Entra w celu otwierania chronionej zawartości, nie uniemożliwia również użytkownikom ochrony zawartości. Jeśli użytkownicy chronili zawartość za pomocą subskrypcji usługi RMS dla użytkowników indywidualnych, a klucz i szablony nie zostały przeniesione, ta zawartość nie jest dostępna po przejęciu domeny.
Polecenia cmdlet programu PowerShell usługi Azure AD dla opcji ForceTakeover
Te polecenia cmdlet są używane w przykładzie programu PowerShell.
Uwaga
Moduły usług Azure AD i MSOnline programu PowerShell są przestarzałe od 30 marca 2024 r. Aby dowiedzieć się więcej, przeczytaj aktualizację o wycofaniu. Po tej dacie obsługa tych modułów jest ograniczona do pomocy dotyczącej migracji do zestawu MICROSOFT Graph PowerShell SDK i poprawek zabezpieczeń. Przestarzałe moduły będą nadal działać do 30 marca 2025 r.
Zalecamy migrację do programu Microsoft Graph PowerShell w celu interakcji z identyfikatorem Entra firmy Microsoft (dawniej Azure AD). W przypadku typowych pytań dotyczących migracji zapoznaj się z często zadawanymi pytaniami dotyczącymi migracji. Uwaga: wersje 1.0.x usługi MSOnline mogą wystąpić zakłócenia po 30 czerwca 2024 r.
Polecenie cmdlet | Użycie |
---|---|
connect-mggraph |
Po wyświetleniu monitu zaloguj się do organizacji zarządzanej. |
get-mgdomain |
Wyświetla nazwy domen skojarzone z bieżącą organizacją. |
new-mgdomain -BodyParameter @{Id="<your domain name>"; IsDefault="False"} |
Dodaje nazwę domeny do organizacji jako Niezweryfikowane (nie przeprowadzono jeszcze weryfikacji DNS). |
get-mgdomain |
Nazwa domeny jest teraz zawarta na liście nazw domen skojarzonych z organizacją zarządzaną, ale jest wyświetlana jako Niezweryfikowana. |
Get-MgDomainVerificationDnsRecord |
Zawiera informacje, które można umieścić w nowym rekordzie TXT DNS dla domeny (MS=xxxxx). Weryfikacja może nie nastąpić natychmiast, ponieważ propagacja rekordu TXT zajmuje trochę czasu, więc poczekaj kilka minut przed rozważeniem opcji -ForceTakeover . |
confirm-mgdomain –Domainname <domainname> |
— Jeśli nazwa domeny nadal nie została zweryfikowana, możesz przejść do opcji -ForceTakeover . Sprawdza, czy rekord TXT został utworzony i rozpoczyna proces przejęcia. - Opcja -ForceTakeover powinna zostać dodana do polecenia cmdlet tylko wtedy, gdy wymuszanie przejęcia przez administratora zewnętrznego, na przykład gdy organizacja niezarządzana ma usługi Platformy Microsoft 365 blokujące przejęcie. |
get-mgdomain |
Na liście domen jest teraz wyświetlana nazwa domeny zweryfikowana. |
Uwaga
Niezarządzana organizacja firmy Microsoft Entra zostanie usunięta 10 dni po wykonaniu opcji zewnętrznego przejęcia.
Przykład programu PowerShell
Połączenie do programu Microsoft Graph przy użyciu poświadczeń, które zostały użyte do reagowania na ofertę samoobsługi:
Install-Module -Name Microsoft.Graph Connect-MgGraph -Scopes "User.ReadWrite.All","Domain.ReadWrite.All"
Pobierz listę domen:
Get-MgDomain
Uruchom polecenie cmdlet New-MgDomain, aby dodać nową domenę:
New-MgDomain -BodyParameter @{Id="<your domain name>"; IsDefault="False"}
Uruchom polecenie cmdlet Get-MgDomainVerificationDnsRecord, aby wyświetlić wyzwanie DNS:
(Get-MgDomainVerificationDnsRecord -DomainId "<your domain name>" | ?{$_.recordtype -eq "Txt"}).AdditionalProperties.text
Na przykład:
(Get-MgDomainVerificationDnsRecord -DomainId "contoso.com" | ?{$_.recordtype -eq "Txt"}).AdditionalProperties.text
Skopiuj wartość (wyzwanie), która jest zwracana z tego polecenia. Na przykład:
MS=ms18939161
W publicznej przestrzeni nazw DNS utwórz rekord txt DNS zawierający wartość skopiowaną w poprzednim kroku. Nazwa tego rekordu to nazwa domeny nadrzędnej, więc jeśli ten rekord zasobu zostanie utworzony przy użyciu roli DNS z systemu Windows Server, pozostaw pole Nazwa rekordu puste i po prostu wklej wartość w polu Tekst.
Uruchom polecenie cmdlet Confirm-MgDomain, aby sprawdzić wyzwanie:
Confirm-MgDomain -DomainId "<your domain name>"
Na przykład:
Confirm-MgDomain -DomainId "contoso.com"
Uwaga
Polecenie cmdlet Confirm-MgDomain jest aktualizowane. Aby uzyskać aktualizacje, możesz monitorować artykuł Cmdlet Confirm-MgDomain.
Pomyślne wyzwanie zwraca monit bez błędu.