Compartilhar via


Alterar o tipo de autenticação de subdomínio no Microsoft Entra ID

Depois que um domínio raiz é adicionado ao Microsoft Entra ID, parte do Microsoft Entra, todos os subdomínios subsequentes adicionados a essa raiz na organização do Microsoft Entra ID herdam automaticamente a configuração de autenticação do domínio raiz. No entanto, se você quiser gerenciar as configurações de autenticação de domínio independentemente das configurações de domínio raiz, agora você poderá com a API do Microsoft Graph. Por exemplo, se você tem um domínio raiz federado como contoso.com, este artigo ajuda a verificar um subdomínio como child.contoso.com como gerenciado, em vez de federado.

No portal do Azure, quando o domínio pai é federado e o administrador tenta verificar um subdomínio gerenciado na página Nomes de domínio personalizados , a página exibe um erro "Falha ao adicionar domínio" com o motivo "Uma ou mais propriedades contêm valores inválidos". Se você tentar adicionar esse subdomínio do Centro de administração do Microsoft 365, receberá um erro semelhante. Veja mais informações sobre o erro em Um domínio filho não herda alterações do domínio pai no Office 365, no Azure ou no Intune.

Como os subdomínios herdam o tipo de autenticação do domínio raiz por padrão, é necessário promover o subdomínio a domínio raiz no Microsoft Entra ID usando o Microsoft Graph para que você possa definir o tipo de autenticação desejado.

Aviso

Esse pequeno script é um exemplo para fins de demonstração. Se você pretende usá-lo em seu ambiente, teste primeiro. Você deve ajustar o código para atender aos seus requisitos.

Adicionar o subdomínio

  1. Use o PowerShell para adicionar o novo subdomínio, que tem o tipo de autenticação padrão do domínio raiz. Os centros de administração do Microsoft Entra ID e do Microsoft 365 ainda não dão suporte para essa operação.

    # Connect to Microsoft Graph with the required scopes
    Connect-MgGraph -Scopes "Domain.ReadWrite.All"
    
    # Define the parameters for the new domain
    $domainParams = @{
        Id = "child6.mydomain.com"
        AuthenticationType = "Federated"
    }
    
    # Create a new domain with the specified parameters
    New-MgDomain @domainParams

  1. Use o exemplo a seguir para obter o domínio via GET. Como o domínio não é um domínio raiz, ele herda o tipo de autenticação de domínio raiz. O comando e os resultados podem ter a seguinte aparência, usando sua própria ID de locatário:

Observação

A emissão desta solicitação pode ser feita diretamente no Explorador do Graph.

GET https://graph.microsoft.com/v1.0/domains/foo.contoso.com/

Return:
  {
      "authenticationType": "Federated",
      "availabilityStatus": null,
      "isAdminManaged": true,
      "isDefault": false,
      "isDefaultForCloudRedirections": false,
      "isInitial": false,
      "isRoot": false,          <---------------- Not a root domain, so it inherits parent domain's authentication type (federated)
      "isVerified": true,
      "name": "child.mydomain.com",
      "supportedServices": [],
      "forceDeleteState": null,
      "state": null,
      "passwordValidityPeriodInDays": null,
      "passwordNotificationWindowInDays": null
  },

Alterar o subdomínio para um domínio raiz

Use o seguinte comando para promover o subdomínio:

POST https://graph.microsoft.com/v1.0/{tenant-id}/domains/foo.contoso.com/promote

Promover condições de erro de comando

Cenário Método Código Mensagem
Invocar a API com um subdomínio cujo domínio pai não é verificado PUBLICAR 400 Os domínios não verificados não podem ser promovidos. Verifique o domínio antes da promoção.
Invocar a API com um subdomínio verificado federado com referências de usuário PUBLICAR 400 Não é permitido promover um subdomínio com referências de usuário. Migre os usuários para o domínio raiz atual antes da promoção do subdomínio.

Alterar o tipo de autenticação de subdomínio para gerenciado

Importante

Se você alterar o tipo de autenticação de um subdomínio federado, deverá tomar nota dos valores de configuração de federação existentes antes de concluir as próximas etapas. As informações serão necessárias se você decidir reimplementar a federação antes de promover um domínio.

  1. Use o seguinte comando para alterar o tipo de autenticação do subdomínio:

    Connect-MGGraph -Scopes "Domain.ReadWrite.All", "Directory.AccessAsUser.All"
    Update-MgDomain -DomainId "test.contoso.com" -BodyParameter @{AuthenticationType="Managed"}
    
  2. Confirme, por meio de GET na API do Microsoft Graph, que o tipo de autenticação de subdomínio agora é gerenciado:

    GET https://graph.microsoft.com/v1.0/domains/foo.contoso.com/
    
    Return:
      {
          "authenticationType": "Managed",   <---------- Now this domain is successfully added as Managed and not inheriting Federated status
          "availabilityStatus": null,
          "isAdminManaged": true,
          "isDefault": false,
          "isDefaultForCloudRedirections": false,
          "isInitial": false,
          "isRoot": true,   <------------------------------ Also a root domain, so not inheriting from parent domain any longer
          "isVerified": true,
          "name": "child.mydomain.com",
          "supportedServices": [
              "Email",
              "OfficeCommunicationsOnline",
              "Intune"
          ],
          "forceDeleteState": null,
          "state": null,
          "passwordValidityPeriodInDays": null,
          "passwordNotificationWindowInDays": null }
    

Próximas etapas