Obsługa wielu domen na potrzeby federacji z identyfikatorem Entra firmy Microsoft

Poniższa dokumentacja zawiera wskazówki dotyczące używania wielu domen najwyższego poziomu i domen podrzędnych podczas federacji z domenami platformy Microsoft 365 lub Microsoft Entra.

Obsługa wielu domen najwyższego poziomu

Federowanie wielu domen najwyższego poziomu za pomocą identyfikatora Entra firmy Microsoft wymaga dodatkowej konfiguracji, która nie jest wymagana w przypadku federacji z jedną domeną najwyższego poziomu.

Gdy domena jest sfederowana z Microsoft Entra ID, kilka właściwości jest ustawionych w domenie w Azure. Jednym z ważnych elementów jest IssuerUri. Ta właściwość jest identyfikatorem URI używanym przez identyfikator firmy Microsoft Entra do identyfikowania domeny, z którą jest skojarzony token. Identyfikator URI nie musi prowadzić do konkretnego zasobu, ale musi być prawidłowym URI. Domyślnie Microsoft Entra ID ustawia URI na wartość identyfikatora usługi federacyjnej w Twojej lokalnej konfiguracji AD FS.

Uwaga

Identyfikator usługi federacyjnej jest identyfikatorem URI, który jednoznacznie identyfikuje usługę federacyjną. Usługa federacyjna jest wystąpieniem usług AD FS, która działa jako usługa tokenu zabezpieczającego.

Identyfikator IssuerUri można wyświetlić za pomocą polecenia programu PowerShell Get-EntraDomainFederationSettings -DomainName <your domain>.

Występuje problem podczas dodawania więcej niż jednej domeny najwyższego poziomu. Załóżmy na przykład, że skonfigurowaliśmy federację między identyfikatorem Entra firmy Microsoft i środowiskiem lokalnym. W tym dokumencie używana jest domena bmcontoso.com. Teraz dodano drugą domenę najwyższego poziomu bmfabrikam.com.

Podczas próby przekonwertowania domeny bmfabrikam.com na federacyjną wystąpi błąd. Przyczyną jest to, że identyfikator Entra firmy Microsoft ma ograniczenie, które nie zezwala właściwości IssuerUri na taką samą wartość dla więcej niż jednej domeny.

SupportMultipleDomain , parametr

Aby obejść to ograniczenie, należy dodać inny identyfikator IssuerUri, który można wykonać za pomocą parametru -SupportMultipleDomain . Ten parametr jest używany z następującymi cmdletami:

• New-MgDomainFederationConfiguration
• Update-MgDomainFederationConfiguration

Ten parametr sprawia, że Microsoft Entra ID konfiguruje IssuerUri, aby był oparty na nazwie domeny. Identyfikator IssuerUri będzie unikatowy dla katalogów w Microsoft Entra ID. Użycie parametru umożliwia pomyślne ukończenie polecenia programu PowerShell.

-SupportMultipleDomain nie zmienia innych punktów końcowych, które są nadal skonfigurowane tak, aby wskazywały usługę federacyjną na adfs.bmcontoso.com.

-SupportMultipleDomain Zapewnia również, że system AD FS zawiera odpowiednią wartość wystawcy w tokenach wystawianych dla Microsoft Entra ID. Ta wartość jest ustawiana przez pobranie części domeny UPN użytkownika i użycie jej jako domeny w IssuerUri, czyli https://{upn suffix}/adfs/services/trust.

W związku z tym podczas uwierzytelniania w usłudze Microsoft Entra ID lub Microsoft 365 element IssuerUri w tokenie użytkownika jest używany do lokalizowania domeny w identyfikatorze Entra firmy Microsoft. Jeśli nie można odnaleźć dopasowania, uwierzytelnianie zakończy się niepowodzeniem.

Na przykład, jeśli nazwa UPN użytkownika to bsimon@bmcontoso.com, element IssuerUri w tokenie jest ustawiony na http://bmcontoso.com/adfs/services/trust przez wystawcę usług AD FS. Ten element jest zgodny z konfiguracją firmy Microsoft Entra i uwierzytelnianie powiedzie się.

Następująca niestandardowa reguła oświadczeń implementuje tę logikę:

c:[Type == "http://schemas.xmlsoap.org/claims/UPN"] => issue(Type = "http://schemas.microsoft.com/ws/2008/06/identity/claims/issuerid", Value = regexreplace(c.Value, ".+@(?<domain>.+)", "http://${domain}/adfs/services/trust/"));

Ważne

Aby można było użyć przełącznika -SupportMultipleDomain podczas próby dodania nowych lub przekonwertowania już istniejących domen, twoje federacyjne zaufanie musi już zostać skonfigurowane w celu ich obsługi.

Jak zaktualizować relację zaufania między usługami AD FS i identyfikatorem entra firmy Microsoft

Jeśli nie skonfigurowałeś zaufania federacyjnego między usługami AD FS a twoim wystąpieniem Microsoft Entra ID, może być konieczne ponowne odtworzenie tego zaufania. Przyczyną jest to, że gdy jest ona pierwotnie skonfigurowana bez parametru -SupportMultipleDomain , identyfikator IssuerUri jest ustawiany z wartością domyślną. Na poniższym zrzucie ekranu widać, że wartość IssuerUri jest ustawiona na https://adfs.bmcontoso.com/adfs/services/trust.

Jeśli pomyślnie dodano nową domenę w centrum administracyjnym Microsoft Entra, a następnie spróbujesz przekonwertować ją przy użyciu New-MgDomainFederationConfiguration -DomainName <your domain>, zostanie wyświetlony błąd.

Wykonaj poniższe kroki, aby dodać dodatkową domenę najwyższego poziomu. Jeśli już dodano domenę i nie użyto parametru -SupportMultipleDomain , zacznij od kroków usuwania i aktualizowania oryginalnej domeny. Jeśli jeszcze nie dodano domeny najwyższego poziomu, możesz rozpocząć od kroków dodawania domeny przy użyciu programu PowerShell programu Microsoft Entra Connect.

Wykonaj poniższe kroki, aby usunąć zaufanie usługi Microsoft Online i zaktualizować oryginalną domenę.

1. Na serwerze federacyjnym AD FS otwórz przystawkę Zarządzanie AD FS.
2. Po lewej stronie rozwiń Relacje zaufania i Zaufanie stron polegających.
3. Po prawej stronie usuń wpis Platforma tożsamości usługi Microsoft Office 365.
4. W programie PowerShell wprowadź .Connect-Entra -Scopes 'Domain.ReadWrite.All'
5. W programie PowerShell wprowadź .Update-MgDomainFederationConfiguration -DomainName <Federated Domain Name> -SupportMultipleDomain Ta aktualizacja dotyczy oryginalnej domeny. Dlatego użycie powyższych domen będzie następujące: Update-MgDomainFederationConfiguration -DomainName bmcontoso.com -SupportMultipleDomain

Wykonaj poniższe kroki, aby dodać nową domenę najwyższego poziomu przy użyciu programu PowerShell

1. Na maszynie z zainstalowanym modułem programu Azure AD PowerShell uruchom następujący program PowerShell: $cred=Get-Credential.
2. Wprowadź nazwę użytkownika i hasło administratora tożsamości hybrydowej dla domeny firmy Microsoft Entra, z którą sfederujesz
3. W programie PowerShell wprowadź Connect-Entra -Scopes 'Domain.ReadWrite.All'
4. W programie PowerShell wprowadź New-MgDomainFederationConfiguration –SupportMultipleDomain –DomainName

Wykonaj poniższe kroki, aby dodać nową domenę najwyższego poziomu przy użyciu programu Microsoft Entra Connect.

1. Uruchom program Microsoft Entra Connect z poziomu pulpitu lub menu Start
2. Wybierz pozycję "Dodaj dodatkową domenę firmy Microsoft Entra"
3. Wprowadź identyfikator Microsoft Entra ID i poświadczenia Active Directory
4. Wybierz drugą domenę, którą chcesz skonfigurować dla federacji.
5. Kliknij Zainstaluj

Weryfikowanie nowej domeny najwyższego poziomu

Za pomocą polecenia Get-MgDomainFederationConfiguration -DomainName <your domain> programu PowerShell można wyświetlić zaktualizowany IssuerUri. Poniższy zrzut ekranu przedstawia ustawienia federacji, które zostały zaktualizowane w oryginalnej domenie http://bmcontoso.com/adfs/services/trust

Identyfikator IssuerUri w nowej domenie został ustawiony na wartość https://bmcontoso.com/adfs/services/trust

Obsługa poddomen

Po dodaniu poddomeny, ze względu na sposób, w jaki Microsoft Entra ID obsługuje domeny, dziedziczy ustawienia domeny nadrzędnej. Dlatego identyfikator IssuerUri musi być zgodny z elementami nadrzędnymi.

Załóżmy na przykład, że mam bmcontoso.com, a następnie dodaję corp.bmcontoso.com. Identyfikator IssuerUri dla użytkownika z corp.bmcontoso.com musi mieć wartość http://bmcontoso.com/adfs/services/trust. Jednak reguła standardowa zaimplementowana powyżej dla identyfikatora Entra firmy Microsoft generuje token z wystawcą jako http://corp.bmcontoso.com/adfs/services/trust, który nie będzie zgodny z wymaganą wartością domeny i uwierzytelnianie nie powiedzie się.

Jak włączyć obsługę poddomen

Aby obejść to zachowanie, należy zaktualizować zaufanie partnera opartego na AD FS dla Microsoft Online. Aby to zrobić, należy skonfigurować niestandardową regułę oświadczenia, która usuwa wszystkie poddomeny z sufiksu UPN użytkownika podczas tworzenia niestandardowej wartości wystawcy.

Użyj następującego oświadczenia:

c:[Type == "http://schemas.xmlsoap.org/claims/UPN"] => issue(Type = "http://schemas.microsoft.com/ws/2008/06/identity/claims/issuerid", Value = regexreplace(c.Value, "^.*@([^.]+\.)*?(?<domain>([^.]+\.?){2})$", "http://${domain}/adfs/services/trust/"));

[! UWAGA] Ostatnia liczba w zestawie wyrażeń regularnych to liczba domen nadrzędnych w domenie głównej. W tym bmcontoso.com jest używana, więc konieczne są dwie domeny nadrzędne. Gdyby trzy domeny nadrzędne były przechowywane (tj. corp.bmcontoso.com), liczba byłaby trzy. W końcu można wskazać zakres, a porównanie jest przeprowadzane w celu dopasowania do maksymalnej liczby domen. "{2,3}" pasuje do dwóch do trzech domen (czyli bmfabrikam.com i corp.bmcontoso.com).

Wykonaj poniższe kroki, aby dodać niestandardowe twierdzenie wspierające poddomeny.

1. Otwórz zarządzanie usługami AD FS
2. Kliknij prawym przyciskiem myszy zaufanie Microsoft Online RP i wybierz polecenie Edytuj reguły oświadczeń
3. Wybierz trzecią regułę oświadczenia i zastąp
4. Zastąp bieżące oświadczenie:

c:[Type == "http://schemas.xmlsoap.org/claims/UPN"] => issue(Type = "http://schemas.microsoft.com/ws/2008/06/identity/claims/issuerid", Value = regexreplace(c.Value, ".+@(?<domain>.+)","http://${domain}/adfs/services/trust/"));

z

c:[Type == "http://schemas.xmlsoap.org/claims/UPN"] => issue(Type = "http://schemas.microsoft.com/ws/2008/06/identity/claims/issuerid", Value = regexreplace(c.Value, "^.*@([^.]+\.)*?(?<domain>([^.]+\.?){2})$", "http://${domain}/adfs/services/trust/"));

5. Kliknij przycisk OK. Kliknij Zastosuj. Kliknij przycisk OK. Zamknij zarządzanie AD FS.

Następne kroki

Po zainstalowaniu programu Microsoft Entra Connect możesz zweryfikować instalację i przypisać licencje.

Dowiedz się więcej o tych funkcjach, które zostały włączone z instalacją: Automatyczne uaktualnianie, Zapobieganie przypadkowym usunięciom i Microsoft Entra Connect Health.

Dowiedz się więcej na te popularne tematy: harmonogram i sposób włączania synchronizacji.

Dowiedz się więcej na temat integrowania tożsamości lokalnych z identyfikatorem Entra firmy Microsoft.