Uwaga
Dostęp do tej strony wymaga autoryzacji. Może spróbować zalogować się lub zmienić katalogi.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Po dodaniu domeny głównej do Microsoft Entra ID, części Microsoft Entra, wszystkie kolejne poddomeny dodane do tej domeny głównej w Twojej organizacji Microsoft Entra automatycznie dziedziczą ustawienie uwierzytelniania z domeny głównej. Jeśli jednak chcesz zarządzać ustawieniami uwierzytelniania domeny niezależnie od ustawień domeny głównej, możesz teraz korzystać z interfejsu API programu Microsoft Graph. Jeśli na przykład masz federacyjną domenę główną, taką jak contoso.com, ten artykuł może pomóc w zweryfikowaniu poddomeny, takiej jak child.contoso.com, jako zarządzana, a nie federacyjna.
W witrynie Azure Portal, gdy domena nadrzędna jest federacyjna, a administrator próbuje zweryfikować zarządzaną poddomenę na stronie Niestandardowe nazwy domen , na stronie zostanie wyświetlony błąd "Nie można dodać domeny" z powodu "Co najmniej jedna właściwości zawiera nieprawidłowe wartości". Jeśli spróbujesz dodać tę poddomenę z centrum administracyjnego platformy Microsoft 365, zostanie wyświetlony podobny błąd. Aby uzyskać więcej informacji na temat błędu, zobacz Domena podrzędna nie dziedziczy zmian w domenie nadrzędnej w usłudze Office 365, na platformie Azure lub w usłudze Intune.
Ponieważ poddomeny dziedziczą typ uwierzytelniania domeny głównej domyślnie, musisz podwyższyć poziom poddomeny do domeny głównej w usłudze Microsoft Entra ID przy użyciu programu Microsoft Graph, aby można było ustawić typ uwierzytelniania na żądany typ.
Ostrzeżenie
Ten mały skrypt jest przykładem dla celów demonstracyjnych. Jeśli zamierzasz używać go w swoim środowisku, najpierw przetestuj. Należy dostosować kod, aby spełnić wymagania.
Dodawanie poddomeny
- Użyj programu PowerShell, aby dodać nową poddomenę, która ma domyślny typ uwierzytelniania domeny głównej. Centra administracyjne microsoft Entra ID i Microsoft 365 nie obsługują jeszcze tej operacji.
# Connect to Microsoft Graph with the required scopes
Connect-MgGraph -Scopes "Domain.ReadWrite.All"
# Define the parameters for the new domain
$domainParams = @{
Id = "child6.mydomain.com"
AuthenticationType = "Federated"
}
# Create a new domain with the specified parameters
New-MgDomain @domainParams
- Użyj poniższego przykładu, aby pobrać domenę. Ponieważ domena nie jest domeną główną, dziedziczy typ uwierzytelniania domeny głównej. Twoje polecenie i wyniki mogą wyglądać następująco, korzystając z własnego ID dzierżawcy:
Uwaga / Notatka
Wystawianie tego żądania można wykonać bezpośrednio w Eksploratorze programu Graph.
GET https://graph.microsoft.com/v1.0/domains/foo.contoso.com/
Return:
{
"authenticationType": "Federated",
"availabilityStatus": null,
"isAdminManaged": true,
"isDefault": false,
"isDefaultForCloudRedirections": false,
"isInitial": false,
"isRoot": false, <---------------- Not a root domain, so it inherits parent domain's authentication type (federated)
"isVerified": true,
"name": "child.mydomain.com",
"supportedServices": [],
"forceDeleteState": null,
"state": null,
"passwordValidityPeriodInDays": null,
"passwordNotificationWindowInDays": null
},
Zmienianie poddomeny na domenę główną
Użyj następującego polecenia, aby podwyższyć poziom poddomeny:
POST https://graph.microsoft.com/v1.0/{tenant-id}/domains/foo.contoso.com/promote
Podwyższ poziom warunków błędu polecenia
| Scenariusz | Metoda | Kod | Komunikat |
|---|---|---|---|
| Wywoływanie interfejsu API przy użyciu poddomeny, której domena nadrzędna jest niezweryfikowana | Bez znajomości kontekstu, w którym "POST" jest używany, nie mogę zaproponować dokładnego tłumaczenia. Jeżeli dotyczy HTTP, pozostaw jako "POST". | 400 | Nie można promować niezweryfikowanych domen. Przed podwyższeniem poziomu sprawdź domenę. |
| Wywoływanie API przy użyciu federacyjnej, zweryfikowanej poddomeny z odniesieniami do użytkowników. | Bez znajomości kontekstu, w którym "POST" jest używany, nie mogę zaproponować dokładnego tłumaczenia. Jeżeli dotyczy HTTP, pozostaw jako "POST". | 400 | Promowanie poddomeny przy użyciu odwołań użytkowników nie jest dozwolone. Przeprowadź migrację użytkowników do aktualnej domeny głównej przed promocją poddomeny. |
Zmień typ uwierzytelniania poddomeny na zarządzany
Ważne
Jeśli zmienisz typ uwierzytelniania dla poddomeny federacyjnej, przed wykonaniem następnych kroków należy zanotować istniejące wartości konfiguracji federacji. Informacje są potrzebne w przypadku podjęcia decyzji o ponownym zaimplementowaniu federacji przed promocją domeny.
Użyj następującego polecenia, aby zmienić typ uwierzytelniania poddomeny:
Connect-MGGraph -Scopes "Domain.ReadWrite.All", "Directory.AccessAsUser.All" Update-MgDomain -DomainId "test.contoso.com" -BodyParameter @{AuthenticationType="Managed"}Sprawdź za pomocą polecenia GET w interfejsie API Microsoft Graph, że typ uwierzytelniania poddomeny jest teraz zarządzany:
GET https://graph.microsoft.com/v1.0/domains/foo.contoso.com/ Return: { "authenticationType": "Managed", <---------- Now this domain is successfully added as Managed and not inheriting Federated status "availabilityStatus": null, "isAdminManaged": true, "isDefault": false, "isDefaultForCloudRedirections": false, "isInitial": false, "isRoot": true, <------------------------------ Also a root domain, so not inheriting from parent domain any longer "isVerified": true, "name": "child.mydomain.com", "supportedServices": [ "Email", "OfficeCommunicationsOnline", "Intune" ], "forceDeleteState": null, "state": null, "passwordValidityPeriodInDays": null, "passwordNotificationWindowInDays": null }