Partilhar via


Alterar o tipo de autenticação de subdomínio no Microsoft Entra ID

Depois que um domínio raiz é adicionado ao ID do Microsoft Entra, parte do Microsoft Entra, todos os subdomínios subsequentes adicionados a essa raiz em sua organização do Microsoft Entra herdam automaticamente a configuração de autenticação do domínio raiz. No entanto, se você quiser gerenciar as configurações de autenticação de domínio independentemente das configurações de domínio raiz, agora você pode com a API do Microsoft Graph. Por exemplo, se tiver um domínio raiz federado, como contoso.com, este artigo pode ajudá-lo a verificar um subdomínio como child.contoso.com como gerido em vez de federado.

No portal do Azure, quando o domínio pai é federado e o administrador tenta verificar um subdomínio gerenciado na página Nomes de domínio personalizados, você receberá um erro "Falha ao adicionar domínio" com o motivo "Uma ou mais propriedades contêm valores inválidos". Se tentar adicionar este subdomínio a partir do centro de administração do Microsoft 365, receberá um erro semelhante. Para obter mais informações sobre o erro, consulte Um domínio filho não herda alterações de domínio pai no Office 365, Azure ou Intune.

Como os subdomínios herdam o tipo de autenticação do domínio raiz por padrão, você deve promover o subdomínio para um domínio raiz no Microsoft Entra ID usando o Microsoft Graph para poder definir o tipo de autenticação para o tipo desejado.

Nota

Os módulos Azure AD e MSOnline PowerShell foram preteridos a partir de 30 de março de 2024. Para saber mais, leia a atualização de descontinuação. Após essa data, o suporte para esses módulos é limitado à assistência de migração para o SDK do Microsoft Graph PowerShell e correções de segurança. Os módulos preteridos continuarão a funcionar até 30 de março de 2025.

Recomendamos migrar para o Microsoft Graph PowerShell para interagir com o Microsoft Entra ID (anteriormente Azure AD). Para perguntas comuns sobre migração, consulte as Perguntas frequentes sobre migração. Nota: As versões 1.0.x do MSOnline podem sofrer interrupções após 30 de junho de 2024.

Aviso

Este código é fornecido como um exemplo para fins de demonstração. Se você pretende usá-lo em seu ambiente, considere testá-lo primeiro em pequena escala ou em uma organização de teste separada. Talvez seja necessário ajustar o código para atender às necessidades específicas do seu ambiente.

Adicionar o subdomínio

  1. Use o PowerShell para adicionar o novo subdomínio, que tem o tipo de autenticação padrão do domínio raiz. Os centros de administração do Microsoft Entra ID e do Microsoft 365 ainda não suportam esta operação.

    Connect-MgGraph -Scopes "Domain.ReadWrite.All"
     $param = @{
       id="test.contoso.com"
       AuthenticationType="Federated"  
      }
    New-MgDomain -Name "child.mydomain.com" -Authentication Federated
    
  2. Use o exemplo a seguir para OBTER o domínio. Como o domínio não é um domínio raiz, ele herda o tipo de autenticação de domínio raiz. O comando e os resultados podem ter a seguinte aparência, usando seu próprio ID de locatário:

Nota

A emissão dessa solicitação pode ser executada diretamente no Graph Explorer.

GET https://graph.microsoft.com/v1.0/domains/foo.contoso.com/

Return:
  {
      "authenticationType": "Federated",
      "availabilityStatus": null,
      "isAdminManaged": true,
      "isDefault": false,
      "isDefaultForCloudRedirections": false,
      "isInitial": false,
      "isRoot": false,          <---------------- Not a root domain, so it inherits parent domain's authentication type (federated)
      "isVerified": true,
      "name": "child.mydomain.com",
      "supportedServices": [],
      "forceDeleteState": null,
      "state": null,
      "passwordValidityPeriodInDays": null,
      "passwordNotificationWindowInDays": null
  },

Alterar subdomínio para um domínio raiz

Use o seguinte comando para promover o subdomínio:

POST https://graph.microsoft.com/v1.0/{tenant-id}/domains/foo.contoso.com/promote

Promover condições de erro de comando

Cenário Método Código Mensagem
Invocando a API com um subdomínio cujo domínio pai não está verificado POST 400 Domínios não verificados não podem ser promovidos. Verifique o domínio antes da promoção.
Invocando API com um subdomínio verificado federado com referências de usuário POST 400 Não é permitido promover um subdomínio com referências de usuário. Migre os usuários para o domínio raiz atual antes da promoção do subdomínio.

Alterar o tipo de autenticação de subdomínio para gerenciado

Importante

Se você estiver alterando o tipo de autenticação para um subdomínio federado, deverá anotar os valores de configuração de federação existentes antes de concluir as etapas abaixo. Essas informações podem se tornar necessárias se você decidir reimplementar a federação antes de promover um domínio.

  1. Use o seguinte comando para alterar o tipo de autenticação de subdomínio:

    Connect-MGGraph -Scopes "Domain.ReadWrite.All", "Directory.AccessAsUser.All"
    Update-MgDomain -DomainId "test.contoso.com" -BodyParameter @{AuthenticationType="Managed"}
    
  2. Verifique via GET na API do Microsoft Graph se o tipo de autenticação de subdomínio agora é gerenciado:

    GET https://graph.microsoft.com/v1.0/domains/foo.contoso.com/
    
    Return:
      {
          "authenticationType": "Managed",   <---------- Now this domain is successfully added as Managed and not inheriting Federated status
          "availabilityStatus": null,
          "isAdminManaged": true,
          "isDefault": false,
          "isDefaultForCloudRedirections": false,
          "isInitial": false,
          "isRoot": true,   <------------------------------ Also a root domain, so not inheriting from parent domain any longer
          "isVerified": true,
          "name": "child.mydomain.com",
          "supportedServices": [
              "Email",
              "OfficeCommunicationsOnline",
              "Intune"
          ],
          "forceDeleteState": null,
          "state": null,
          "passwordValidityPeriodInDays": null,
          "passwordNotificationWindowInDays": null }
    

Próximos passos