Udostępnij za pośrednictwem


Zmienianie typu uwierzytelniania poddomeny w identyfikatorze Entra firmy Microsoft

Po dodaniu domeny głównej do identyfikatora Entra firmy Microsoft w ramach usługi Microsoft Entra wszystkie kolejne poddomeny dodane do tego katalogu głównego w organizacji Microsoft Entra automatycznie dziedziczą ustawienie uwierzytelniania z domeny głównej. Jeśli jednak chcesz zarządzać ustawieniami uwierzytelniania domeny niezależnie od ustawień domeny głównej, możesz teraz korzystać z interfejsu API programu Microsoft Graph. Jeśli na przykład masz federacyjną domenę główną, taką jak contoso.com, ten artykuł może pomóc w zweryfikowaniu poddomeny, takiej jak child.contoso.com, jako zarządzana, a nie federacyjna.

W witrynie Azure Portal, gdy domena nadrzędna jest federacyjna, a administrator próbuje zweryfikować zarządzaną poddomenę na stronie Niestandardowe nazwy domen, zostanie wyświetlony błąd "Nie można dodać domeny" z powodu "Jedna lub więcej właściwości zawiera nieprawidłowe wartości". Jeśli spróbujesz dodać tę poddomenę z Centrum administracyjne platformy Microsoft 365, zostanie wyświetlony podobny błąd. Aby uzyskać więcej informacji na temat błędu, zobacz Domena podrzędna nie dziedziczy zmian w domenie nadrzędnej w usłudze Office 365, na platformie Azure lub w usłudze Intune.

Ponieważ poddomeny dziedziczą typ uwierzytelniania domeny głównej domyślnie, musisz podwyższyć poziom poddomeny do domeny głównej w usłudze Microsoft Entra ID przy użyciu programu Microsoft Graph, aby można było ustawić typ uwierzytelniania na żądany typ.

Uwaga

Moduły usług Azure AD i MSOnline programu PowerShell są przestarzałe od 30 marca 2024 r. Aby dowiedzieć się więcej, przeczytaj aktualizację o wycofaniu. Po tej dacie obsługa tych modułów jest ograniczona do pomocy dotyczącej migracji do zestawu MICROSOFT Graph PowerShell SDK i poprawek zabezpieczeń. Przestarzałe moduły będą nadal działać do 30 marca 2025 r.

Zalecamy migrację do programu Microsoft Graph PowerShell w celu interakcji z identyfikatorem Entra firmy Microsoft (dawniej Azure AD). W przypadku typowych pytań dotyczących migracji zapoznaj się z często zadawanymi pytaniami dotyczącymi migracji. Uwaga: wersje 1.0.x usługi MSOnline mogą wystąpić zakłócenia po 30 czerwca 2024 r.

Ostrzeżenie

Ten kod jest dostarczany jako przykład do celów demonstracyjnych. Jeśli zamierzasz używać go w swoim środowisku, rozważ przetestowanie go najpierw na małą skalę lub w oddzielnej organizacji testowej. Może być konieczne dostosowanie kodu w celu spełnienia określonych potrzeb środowiska.

Dodawanie poddomeny

  1. Użyj programu PowerShell, aby dodać nową poddomenę, która ma domyślny typ uwierzytelniania domeny głównej. Identyfikator Entra firmy Microsoft i Centrum administracyjne platformy Microsoft 365 nie obsługują jeszcze tej operacji.

    Connect-MgGraph -Scopes "Domain.ReadWrite.All"
     $param = @{
       id="test.contoso.com"
       AuthenticationType="Federated"  
      }
    New-MgDomain -Name "child.mydomain.com" -Authentication Federated
    
  2. Użyj poniższego przykładu, aby pobrać domenę. Ponieważ domena nie jest domeną główną, dziedziczy typ uwierzytelniania domeny głównej. Twoje polecenie i wyniki mogą wyglądać następująco, używając własnego identyfikatora dzierżawy:

Uwaga

Wystawianie tego żądania można wykonać bezpośrednio w Eksploratorze programu Graph.

GET https://graph.microsoft.com/v1.0/domains/foo.contoso.com/

Return:
  {
      "authenticationType": "Federated",
      "availabilityStatus": null,
      "isAdminManaged": true,
      "isDefault": false,
      "isDefaultForCloudRedirections": false,
      "isInitial": false,
      "isRoot": false,          <---------------- Not a root domain, so it inherits parent domain's authentication type (federated)
      "isVerified": true,
      "name": "child.mydomain.com",
      "supportedServices": [],
      "forceDeleteState": null,
      "state": null,
      "passwordValidityPeriodInDays": null,
      "passwordNotificationWindowInDays": null
  },

Zmienianie poddomeny na domenę główną

Użyj następującego polecenia, aby podwyższyć poziom poddomeny:

POST https://graph.microsoft.com/v1.0/{tenant-id}/domains/foo.contoso.com/promote

Podwyższ poziom warunków błędu polecenia

Scenariusz Method Kod Komunikat
Wywoływanie interfejsu API przy użyciu poddomeny, której domena nadrzędna jest niezweryfikowana POST 400 Nie można promować niezweryfikowanych domen. Przed podwyższeniem poziomu sprawdź domenę.
Wywoływanie interfejsu API za pomocą zweryfikowanej poddomeny federacyjnej z odwołaniami użytkowników POST 400 Promowanie poddomeny przy użyciu odwołań użytkowników nie jest dozwolone. Przeprowadź migrację użytkowników do bieżącej domeny głównej przed podwyższeniem poziomu poddomeny.

Zmień typ uwierzytelniania poddomeny na zarządzany

Ważne

Jeśli zmieniasz typ uwierzytelniania dla poddomeny federacyjnej, przed wykonaniem poniższych kroków należy zanotować istniejące wartości konfiguracji federacji. Te informacje mogą stać się niezbędne, jeśli zdecydujesz się ponownie zaimplementować federację przed podwyższeniem poziomu domeny.

  1. Użyj następującego polecenia, aby zmienić typ uwierzytelniania poddomeny:

    Connect-MGGraph -Scopes "Domain.ReadWrite.All", "Directory.AccessAsUser.All"
    Update-MgDomain -DomainId "test.contoso.com" -BodyParameter @{AuthenticationType="Managed"}
    
  2. Sprawdź za pomocą polecenia GET w interfejsie API programu Microsoft Graph, że typ uwierzytelniania poddomeny jest teraz zarządzany:

    GET https://graph.microsoft.com/v1.0/domains/foo.contoso.com/
    
    Return:
      {
          "authenticationType": "Managed",   <---------- Now this domain is successfully added as Managed and not inheriting Federated status
          "availabilityStatus": null,
          "isAdminManaged": true,
          "isDefault": false,
          "isDefaultForCloudRedirections": false,
          "isInitial": false,
          "isRoot": true,   <------------------------------ Also a root domain, so not inheriting from parent domain any longer
          "isVerified": true,
          "name": "child.mydomain.com",
          "supportedServices": [
              "Email",
              "OfficeCommunicationsOnline",
              "Intune"
          ],
          "forceDeleteState": null,
          "state": null,
          "passwordValidityPeriodInDays": null,
          "passwordNotificationWindowInDays": null }
    

Następne kroki