Assuma um diretório não gerenciado como administrador no Microsoft Entra ID

Este artigo descreve duas maneiras de assumir um nome de domínio DNS em um diretório não gerenciado no Microsoft Entra ID. Quando um usuário de autoatendimento se inscreve em um serviço de nuvem que usa a ID do Microsoft Entra, ele é adicionado a um diretório não gerenciado do Microsoft Entra com base em seu domínio de email. Para obter mais informações sobre a inscrição de autoatendimento ou "viral" para um serviço, consulte O que é a inscrição de autoatendimento para o Microsoft Entra ID?

Decida como quer adquirir um diretório não gerido

Durante o processo de obtenção de uma aquisição administrativa, pode provar a propriedade, conforme descrito em Adicionar um nome de domínio personalizado ao Microsoft Entra ID. As secções seguintes explicam a experiência de administração mais detalhadamente, mas pode ver este resumo:

• Quando você executa uma aquisição de administrador "interno" de um diretório não gerenciado do Azure, você é adicionado como administrador global do diretório não gerenciado. Nenhum utilizador, domínio ou plano de serviço é migrado para qualquer outro diretório administrado por si.

• Quando faz uma obtenção do controlo administrativo “externo” de um diretório do Azure não gerido, adiciona o nome de domínio DNS desse diretório ao seu diretório do Azure gerido. Quando adiciona o nome de domínio, é criado um mapeamento dos utilizadores para os recursos no diretório do Azure gerido, para que os utilizadores possam continuar a aceder a serviços sem interrupções.

Aquisição de administrador interno

Alguns produtos que incluem o SharePoint e o OneDrive, como o Microsoft 365, não suportam aquisição externa. Se esse for o seu cenário, ou se você for um administrador e quiser assumir uma organização não gerenciada ou "sombra" do Microsoft Entra criada por usuários que usaram a inscrição de autoatendimento, você pode fazer isso com uma aquisição de administrador interno.

1. Crie um contexto de usuário na organização não gerenciada inscrevendo-se no Power BI. Por conveniência de exemplo, estas etapas assumem esse caminho.

2. Abra o site do Power BI e selecione Iniciar Livre. Insira uma conta de usuário que use o nome de domínio para a organização; por exemplo, admin@fourthcoffee.xyz. Depois de inserir o código de verificação, verifique o seu e-mail para o código de confirmação.

3. No email de confirmação do Power BI, selecione Sim, sou eu.

4. Entre no centro de administração do Microsoft 365 com a conta de usuário do Power BI.

   

5. Você recebe uma mensagem instruindo você a se tornar o administrador do nome de domínio que já foi verificado na organização não gerenciada. selecione Sim, quero ser o administrador.

   

6. Adicione o registro TXT para provar que você possui o nome de domínio fourthcoffee.xyz em seu registrador de nomes de domínio. Neste exemplo, é GoDaddy.com.

   

Quando os registros TXT DNS são verificados em seu registrador de nomes de domínio, você pode gerenciar a organização Microsoft Entra.

Ao concluir as etapas anteriores, você será o administrador global da organização Fourth Coffee no Microsoft 365. Para integrar o nome de domínio com seus outros serviços do Azure, você pode removê-lo do Microsoft 365 e adicioná-lo a uma organização gerenciada diferente no Azure.

Adicionando o nome de domínio a uma organização gerenciada no Microsoft Entra ID

Gorjeta

As etapas neste artigo podem variar ligeiramente com base no portal a partir do qual você começou.

1. Abra o centro de administração do Microsoft 365.

2. Selecione a guia Usuários e crie uma nova conta de usuário com um nome como user@fourthcoffeexyz.onmicrosoft.com esse que não usa o nome de domínio personalizado.

3. Verifique se a nova conta de usuário tem privilégios de Administrador Global para a organização do Microsoft Entra.

4. Abra a guia Domínios no centro de administração do Microsoft 365, selecione o nome de domínio e selecione Remover.

   

5. Se você tiver usuários ou grupos no Microsoft 365 que façam referência ao nome de domínio removido, eles deverão ser renomeados para o domínio .onmicrosoft.com. Se você forçar a exclusão do nome de domínio, todos os usuários serão automaticamente renomeados, neste exemplo para user@fourthcoffeexyz.onmicrosoft.com.

6. Entre no centro de administração do Microsoft Entra como pelo menos um Administrador Global.

7. Na caixa de pesquisa na parte superior da página, procure por Nomes de Domínio.

8. Selecione + Adicionar nomes de domínio personalizados e, em seguida, adicione o nome de domínio. Você terá que inserir os registros TXT DNS para verificar a propriedade do nome de domínio.

   

Nota

Todos os usuários do serviço Power BI ou Azure Rights Management que tenham licenças atribuídas na organização do Microsoft 365 devem salvar seus painéis se o nome de domínio for removido. Eles devem entrar com um nome de usuário como user@fourthcoffeexyz.onmicrosoft.com em vez de user@fourthcoffee.xyz.

Aquisição de administrador externo

Se você já gerencia uma organização com os serviços do Azure ou o Microsoft 365, não poderá adicionar um nome de domínio personalizado se ele já estiver verificado em outra organização do Microsoft Entra. No entanto, a partir da sua organização gerenciada no Microsoft Entra ID, você pode assumir uma organização não gerenciada como uma aquisição de administrador externo. O procedimento geral segue o artigo Adicionar um domínio personalizado ao Microsoft Entra ID.

Quando você verifica a propriedade do nome de domínio, o Microsoft Entra ID remove o nome de domínio da organização não gerenciada e o move para sua organização existente. A aquisição de um diretório não gerenciado por administradores externos requer o mesmo processo de validação de TXT de DNS que a aquisição de administradores internos. A diferença é que os seguintes também são movidos com o nome de domínio:

• Utilizadores
• Subscrições
• Atribuições de licenças

Suporte para aquisição de administradores externos

A aquisição de administradores externos é suportada pelos seguintes serviços online:

• Azure Rights Management
• Exchange Online

Os planos de serviço suportados incluem:

• Power Apps Grátis
• Power Automate Livre
• RMS para utilizadores
• Microsoft Stream
• Versão experimental gratuita do Dynamics 365

A aquisição de administradores externos não é suportada por nenhum serviço que tenha planos de serviço que incluam SharePoint, OneDrive ou Skype for Business; por exemplo, através de uma subscrição gratuita do Office.

Nota

Não há suporte para aquisição de administrador externo entre limites de nuvem (por exemplo, Azure Commercial para Azure Government). Nesses cenários, é recomendável executar a aquisição de administrador externo em outro locatário comercial do Azure e, em seguida, excluir o domínio desse locatário para que você possa verificar com êxito o locatário de destino do Azure Government.

Mais informações sobre o RMS para particulares

Para o RMS para indivíduos, quando a organização não gerenciada está na mesma região que a organização de sua propriedade, a chave da organização da Proteção de Informações do Azure criada automaticamente e os modelos de proteção padrão são adicionalmente movidos com o nome de domínio.

A chave e os modelos não são movidos quando a organização não gerenciada está em uma região diferente. Por exemplo, se a organização não gerenciada estiver na Europa e a organização que você possui estiver na América do Norte.

Embora o RMS para indivíduos tenha sido projetado para oferecer suporte à autenticação do Microsoft Entra para abrir conteúdo protegido, ele não impede que os usuários também protejam o conteúdo. Se os usuários protegeram o conteúdo com a assinatura do RMS para indivíduos e a chave e os modelos não foram movidos, esse conteúdo não estará acessível após a aquisição do domínio.

Cmdlets do Azure AD PowerShell para a opção ForceTakeover

Você pode ver esses cmdlets usados no exemplo do PowerShell.

Importante

O Azure AD PowerShell está planejado para substituição em 30 de março de 2024. Para saber mais, leia a atualização de descontinuação. Recomendamos migrar para o Microsoft Graph PowerShell para interagir com o Microsoft Entra ID (anteriormente Azure AD). O Microsoft Graph PowerShell permite acesso a todas as APIs do Microsoft Graph e está disponível no PowerShell 7. Para obter respostas a consultas comuns de migração, consulte as Perguntas frequentes sobre migração.

cmdlet	Utilização
connect-mggraph	Quando solicitado, inicie sessão na sua organização gerida.
get-mgdomain	Mostra seus nomes de domínio associados à organização atual.
new-mgdomain -BodyParameter @{Id="<your domain name>"; IsDefault="False"}	Adiciona o nome de domínio à organização como Não verificado (nenhuma verificação de DNS foi executada ainda).
get-mgdomain	O nome de domínio agora está incluído na lista de nomes de domínio associados à sua organização gerenciada, mas está listado como Não verificado.
Get-MgDomainVerificationDnsRecord	Fornece as informações a serem colocadas no novo registro TXT DNS para o domínio (MS=xxxxx). A verificação pode não acontecer imediatamente porque leva algum tempo para o registro TXT se propagar, então aguarde alguns minutos antes de considerar a opção -ForceTakeover .
confirm-mgdomain –Domainname <domainname>	- Se o seu nome de domínio ainda não estiver verificado, você pode prosseguir com a opção -ForceTakeover . Ele verifica se o registro TXT foi criado e inicia o processo de aquisição. - A opção -ForceTakeover deve ser adicionada ao cmdlet somente quando forçar uma aquisição de administrador externo, como quando a organização não gerenciada tem serviços do Microsoft 365 bloqueando a aquisição.
get-mgdomain	A lista de domínios agora mostra o nome de domínio como Verificado.

Nota

A organização não gerenciada do Microsoft Entra é excluída 10 dias após o exercício da opção de força de aquisição externa.

Exemplo do PowerShell

1. Conecte-se ao Microsoft Graph usando as credenciais que foram usadas para responder à oferta de autoatendimento:

   Install-Module -Name Microsoft.Graph
   
   Connect-MgGraph -Scopes "User.ReadWrite.All","Domain.ReadWrite.All"
   

2. Obtenha uma lista de domínios:

   Get-MgDomain
   

3. Execute o cmdlet New-MgDomain para adicionar um novo domínio:

   New-MgDomain -BodyParameter @{Id="<your domain name>"; IsDefault="False"}
   

4. Execute o cmdlet Get-MgDomainVerificationDnsRecord para exibir o desafio DNS:

   (Get-MgDomainVerificationDnsRecord -DomainId "<your domain name>" | ?{$_.recordtype -eq "Txt"}).AdditionalProperties.text
   

   Por exemplo:

   (Get-MgDomainVerificationDnsRecord -DomainId "contoso.com" | ?{$_.recordtype -eq "Txt"}).AdditionalProperties.text
   

5. Copie o valor (o desafio) retornado deste comando. Por exemplo:

   MS=ms18939161
   

6. Em seu namespace DNS público, crie um registro txt DNS que contenha o valor copiado na etapa anterior. O nome desse registro é o nome do domínio pai, portanto, se você criar esse registro de recurso usando a função DNS do Windows Server, deixe o Nome do registro em branco e cole o valor na caixa Texto.

7. Execute o cmdlet Confirm-MgDomain para verificar o desafio:

   Confirm-MgDomain -DomainId "<your domain name>"
   

   Por exemplo:

   Confirm-MgDomain -DomainId "contoso.com"
   

Nota

O cmdlet Confirm-MgDomain está sendo atualizado. Você pode monitorar o artigo Confirm-MgDomain Cmdlet para atualizações.

Um desafio bem-sucedido retorna ao prompt sem erro.

Próximos passos

• Adicionar um nome de domínio personalizado ao Microsoft Entra ID
• Como instalar e configurar o Azure PowerShell
• Azure PowerShell
• Referência de Cmdlet do Azure
• Set-MsolCompanySettings