Управление именами личного домена в идентификаторе Microsoft Entra
Доменное имя является важной частью идентификатора ресурсов во многих развертываниях Microsoft Entra. Это часть имени пользователя или адреса электронной почты для пользователя, части адреса группы и иногда является частью URI идентификатора приложения для приложения. Ресурс в идентификаторе Microsoft Entra может включать доменное имя, принадлежащее организации Microsoft Entra (иногда называемый клиентом), которое содержит ресурс. Глобальные Администратор istrator иадминистраторы доменных имен могут управлять доменами в идентификаторе Microsoft Entra.
Задание основного доменного имени для вашей организации Microsoft Entra
Совет
Действия, описанные в этой статье, могут немного отличаться на портале, с который вы начинаете работу.
При создании каталога организации исходное доменное имя, например contoso.onmicrosoft.com, также становится основным доменным именем. Основной домен задает доменное имя по умолчанию, применяемое для каждого создаваемого пользователя. При установке основного доменного имени упрощается процесс создания пользователей на портале для администратора. Чтобы изменить основное доменное имя, выполните следующее.
Войдите в Центр администрирования Microsoft Entra как минимум глобальный Администратор istrator.
Выберите Microsoft Entra ID.
Выберите Имена пользовательских доменов.
Выберите имя домена, который будет основным.
Выберите команду Назначить основным. При появлении запроса подтвердите свой выбор.
Вы можете изменить основное доменное имя организации, чтобы оно было проверенным пользовательским доменом, который не является федеративным. При изменении основного домена для каталога имена существующих пользователей не изменятся.
Добавление имен личного домена в организацию Microsoft Entra
Можно добавить до 5000 имен управляемых доменов. Если вы настраиваете все домены для федерации с локальными Active Directory, можно добавить до 2500 доменных имен в каждой организации.
Добавление поддоменов для личного домена
Если вы хотите добавить в организацию имя поддомена, например europe.contoso.com, необходимо сначала добавить и проверить корневой домен, например contoso.com. Поддомен автоматически проверяется идентификатором Microsoft Entra. Чтобы убедиться, что добавленный поддомен проверен, обновите список доменов в браузере.
Если вы уже добавили домен contoso.com в одну организацию Microsoft Entra, вы также можете проверить поддомен europe.contoso.com в другой организации Microsoft Entra. При добавлении поддомена вам будет предложено добавить запись типа TXT в поставщик услуг размещения DNS.
Что делать, если вы изменили регистратор DNS для пользовательского доменного имени
При изменении регистраторов DNS другие задачи конфигурации в идентификаторе Microsoft Entra отсутствуют. Вы можете продолжать использовать доменное имя с идентификатором Microsoft Entra без прерывания. Если вы используете имя личного домена с Microsoft 365, Intune или другими службами, которые используют пользовательские доменные имена в идентификаторе Microsoft Entra ID, ознакомьтесь с документацией по этим службам.
Удаление имени личного домена
Личное доменное имя можно удалить из Microsoft Entra ID, если ваша организация не использует его или если это доменное имя нужно использовать с другой организацией Microsoft Entra.
Перед удалением личного доменного имени необходимо убедиться, что от этого имени не зависят никакие ресурсы в каталоге организации. Нельзя удалить доменное имя из организации, если:
- Какой-либо пользователь имеет имя пользователя, электронный адрес или адрес прокси-сервера, которые включают это доменное имя.
- Какая-либо группа имеет адрес электронной почты или адрес прокси-сервера, которые включают это доменное имя.
- Любое приложение в идентификаторе Microsoft Entra имеет URI идентификатора приложения, который включает доменное имя.
Перед удалением имени личного домена необходимо изменить или удалить любой такой ресурс в организации Microsoft Entra.
Примечание.
Чтобы удалить личный домен, используйте учетную запись глобального администратора, основанную на домене по умолчанию (onmicrosoft.com) или другом личном домене (mydomainname.com).
Параметр ForceDelete
Вы можете принудительно создать доменное имя в портал Azure или с помощью API Microsoft Graph. В обоих случаях используется асинхронная операция и все ссылки обновляются с имени личного домена, например user@contoso.com, до начального имени домена по умолчанию, например user@contoso.onmicrosoft.com.
Чтобы вызвать ForceDelete на портале Azure, вы должны убедиться, что существует менее 1000 ссылок на доменное имя, а любые ссылки, в которых Exchange является службой подготовки, должны быть обновлены или удалены в Центре администрирования Exchange. Сюда входят группы безопасности Exchange с включенной поддержкой почты и распределенные списки. Дополнительные сведения см. в разделе Удаление групп безопасности с включенной почтой. Кроме того, операция ForceDelete не будет выполнена, если выполняется любое из следующих условий:
- Вы приобрели домен через службы подписки домена Office 365
- Вы являетесь партнером, управляющим от имени другой организации пользователя.
Следующие действия выполняются как часть операции ForceDelete:
- Имя участника-пользователя (UPN), электронный адрес (EmailAddress) и адрес прокси-сервера (ProxyAddress) пользователей со ссылками на имя личного домена переименовываются на основе начального имени домена по умолчанию.
- Электронный адрес (EmailAddress) групп со ссылками на имя личного домена переименовывается на основе начального имени домена по умолчанию.
- Идентификаторы URI (identifierUris) приложений со ссылками на имя личного домена переименовываются на основе начального имени домена по умолчанию.
- Отключает учетные записи пользователей, затронутые параметром ForceDelete в Центре администрирования Azure или Microsoft Entra, а также при необходимости при использовании API Graph.
Возвращается сообщение об ошибке, если:
- Количество объектов, подлежащих переименованию, превышает 1000.
- Одним из приложений, которые необходимо переименовать, является мультитенантное приложение
Рекомендации по гигиене домена
Используйте надежный регистратор, предоставляющий достаточное количество уведомлений об изменениях доменных имен, истечении срока регистрации, льготном периоде для доменов с истекшим сроком действия и обеспечивает высокий уровень безопасности для контроля доступа к конфигурации доменного имени и записям TXT. Сохраняйте свои доменные имена в актуальном состоянии с помощью регистратора и проверяйте записи TXT для точности.
- Если вы намеренно истекаете срок действия доменного имени или передаете владение другому пользователю (отдельно от клиента Microsoft Entra), необходимо удалить его из клиента Microsoft Entra до истечения срока действия или передачи.
- Если вы разрешаете срок действия доменного имени, если вы можете повторно активировать его или восстановить контроль над ним, внимательно просмотрите все записи TXT с регистратором, чтобы убедиться, что изменение имени домена не произошло.
- Если вы не можете повторно активировать или восстановить управление доменным именем немедленно, удалите его из клиента Microsoft Entra. Не считывайте или повторно проверяйте, пока не сможете разрешить владение доменным именем и проверить полную запись TXT для правильности.
Примечание.
Корпорация Майкрософт не позволит проверить доменное имя с помощью нескольких клиентов Microsoft Entra. После удаления доменного имени из клиента вы не сможете повторно добавить или повторно проверить его с помощью клиента Microsoft Entra, если он будет добавлен и проверен другим клиентом Microsoft Entra.
Часто задаваемые вопросы
В. Удаление домена завершается ошибкой, указывающей, что у меня есть группы Exchange, которые были зарегистрированы в этом доменном имени. Почему?
О. Сегодня определенные группы, такие как группы безопасности с поддержкой почты и распределенные списки, предоставляются Exchange, и их необходимо вручную удалить в Центре администрирования Exchange. Может потребоваться затяжка ProxyAddresses, которая зависит от имени личного домена и должна быть обновлена вручную на другое доменное имя.
В. Войдя с использованием учетной записи пользователя admin@contoso.com, я не могу удалить доменное имя contoso.com?
Ответ. Вы не можете ссылаться на имя личного домена, на который вы пытаетесь удалить имя учетной записи пользователя. Убедитесь, что учетная запись глобального администратора использует имя домена по умолчанию (.onmicrosoft.com), например admin@contoso.onmicrosoft.com. Войдите в систему с другой учетной записью глобального администратора, например admin@contoso.onmicrosoft.com, или другим именем личного домена, например fabrikam.com, где учетная запись — admin@fabrikam.com.
Вопрос. Я щелкнул кнопку "Удалить домен" и просмотреть In Progress состояние операции "Удалить". Сколько времени это занимает? Что произойдет, если операцию не удастся выполнить?
О. Операция удаления домена — это асинхронная фоновая задача, которая переименовывает все ссылки на доменное имя. Выполнение может занять до 24 часов. Если удаление домена не выполняется, убедитесь, что у вас нет:
- приложений с настроенным доменным именем в appIdentifierURI;
- любой группы с поддержкой почты, ссылающейся на имя личного домена;
- более 1000 ссылок на доменное имя.
- Домен, который необходимо удалить в качестве основного домена организации.
Кроме того, обратите внимание, что параметр ForceDelete не будет работать, если домен использует федеративный тип проверки подлинности. В этом случае пользователи или группы в домене должны быть переименованы или удалены с помощью локальная служба Active Directory перед повторной отменой удаления домена. Если вы обнаружите, что какие-либо условия не выполнены, вручную очистите ссылки и повторите попытку удалить домен.
Использование PowerShell или API Microsoft Graph для управления доменными именами
Большинство задач управления для доменных имен в идентификаторе Microsoft Entra также можно выполнить с помощью Microsoft PowerShell или программно с помощью API Microsoft Graph.
- Использование PowerShell для управления доменными именами в идентификаторе Microsoft Entra
DomainТип ресурса