Добавление имени личного домена в клиент

Клиенты Microsoft Entra приходят с начальным доменным именем, domainname.onmicrosoft.comнапример. Вы не можете изменить или удалить исходное доменное имя, но вы можете добавить DNS-имя вашей организации в качестве личного домена и задать его в качестве основного домена. Добавив доменное имя, вы можете добавить имена пользователей, знакомые пользователям, например alain@contoso.com.

Необходимые компоненты

Прежде чем вы сможете добавлять личное имя домена, его нужно создать с помощью регистратора доменных имен. Аккредитованные регистраторы перечислены на этой странице.

Создание каталога

Совет

Действия, описанные в этой статье, могут немного отличаться на портале, с который вы начинаете работу.

После получения доменного имени вы можете создать свой первый каталог. Войдите в портал Azure каталога, используя учетную запись с ролью владельца подписки.

  1. Создайте новый каталог, выполнив действия из этого раздела.

    Внимание

    Пользователь, создающий клиент, автоматически предоставляет права глобального администратора . Эта роль имеет высокий уровень привилегий и может добавлять дополнительных администраторов в клиент.

  2. Дополнительные сведения о ролях в подписке см. в разделе Роли Azure.

    Совет

    Если вы планируете федеративный локальный сервер Windows Server Active Directory с идентификатором Microsoft Entra ID, необходимо выбрать этот домен для настройки этого домена для единого входа с помощью локального active Directory при запуске средства Microsoft Entra Connect для синхронизации каталогов.

    Кроме того, необходимо зарегистрировать то же доменное имя, выбранное для федерации с локальным каталогом, на шаге домена Microsoft Entra в мастере. Сведения о том, как выглядит эта настройка, см. в разделе "Проверка домена, выбранного для федерации". Если у вас нет средства Microsoft Entra Connect, его можно скачать здесь.

Добавление имени личного домена

После создания каталога вы можете добавить в него имя личного домена.

Внимание

При обновлении сведений о домене возможно не удается завершить процесс и столкнуться с сообщением об ошибке внутреннего сервера HTTP 500. В некоторых условиях эта ошибка может ожидаться. Это сообщение может появиться, если вы пытаетесь использовать защищенный DNS-суффикс. Защищенные DNS-суффиксы могут использоваться только корпорацией Майкрософт. Если вы считаете, что эта операция должна быть выполнена успешно, обратитесь к представителю Майкрософт за помощью.

  1. Войдите в Центр администрирования Microsoft Entra, как минимум, в качестве Администратора доменных имен.

  2. Перейдите к доменным именам>>параметров удостоверений.>

    Снимок экрана: страница

  3. В поле "Имя личного домена" введите домен вашей организации, в этом примере contoso.com. Щелкните Добавить домен.

    Снимок экрана: страница

    Внимание

    Для работы необходимо включить .com, .net или любое другое расширение верхнего уровня. При добавлении личного домена значения политики паролей наследуются от исходного домена.

  4. Добавлен непроверенный домен. Откроется страница contoso.com с сведениями DNS, необходимыми для проверки владения доменом. Сохраните эти сведения.

    Снимок экрана: страница Contoso с сведениями о записи DNS.

Добавление сведений DNS в регистратор домена

Выполните следующие действия:

  1. После добавления имени пользовательского домена в Azure AD необходимо вернуться на сайт регистратора доменных имен и настроить сведения о DNS, которые вы скопировали на предыдущем шаге. Запись типа TXT или MX создается для домена, чтобы подтвердить права владения доменным именем.

  2. Перейдите к регистратору домена и создайте новую запись типа TXT или MX для своего домена на основе скопированных данных DNS. Задайте срок жизни (TTL) 3600 секунд (60 минут), а затем сохраните запись.

    Внимание

    Вы можете зарегистрировать любое количество доменных имен. Однако каждый домен получает собственную запись TXT или MX. Будьте осторожны при вводе сведений в регистраторе доменов. Если вы случайно введете или скопируете неправильную информацию, перед попыткой исправить ее вам придется подождать, пока истечет указанное время ожидания (60 минут).

Проверка имени личного домена

После регистрации имени личного домена убедитесь, что он действителен в Microsoft Entra. Время распространения может быть мгновенно или может занять несколько дней в зависимости от регистратора домена.

Чтобы проверить имя пользовательского домена, выполните следующие действия.

  1. Войдите в Центр администрирования Microsoft Entra, как минимум, в качестве Администратора доменных имен.

  2. Перейдите к доменным именам> параметров удостоверений.>

  3. В разделе Custom domain names выберите пользовательское имя домена. В этом примере выберите contoso.com.

    Снимок экрана: страница

  4. На странице contoso.com выберите "Убедитесь, что личный домен зарегистрирован правильно и является допустимым".

    Снимок экрана: страница Contoso с сведениями о записи DNS и кнопкой

Распространенные проблемы с проверкой

Если вы не можете проверить имя личного домена, попробуйте выполнить следующие предложения:

  1. Подождите не менее часа и повторите попытку. Записи DNS должны распространяться, прежде чем проверить домен. Для этого может понадобиться один или несколько часов.

  2. Проверьте правильность записи DNS. Вернитесь на сайт регистратора доменных имен. Убедитесь, что запись есть, и что она соответствует сведениям о записи DNS, предоставленной в Центре администрирования Microsoft Entra.

    • Если вы не можете обновить запись на сайте регистратора, передайте эту запись тому, кто имеет нужные разрешения для ее добавления. Затем проверьте, что данные внесены правильно.
  3. Убедитесь, что введенное доменное имя не используется в другом каталоге. Доменное имя может быть подтверждено только в одном каталоге. Если это доменное имя уже считается подтвержденным в другом каталоге, вы не сможете подтвердить его в новом. Чтобы устранить эту проблему дублирования, удалите доменное имя из старого каталога. Дополнительные сведения об удалении доменных имен см. в статье об управлении именами личных доменов.

  4. Убедитесь, что у вас нет неуправляемых клиентов Power BI. Если пользователи активировали Power BI через функцию самостоятельной регистрации и создали неуправляемый клиент для организации, необходимо взять на себя управление в качестве внутреннего или внешнего администратора с помощью PowerShell. Дополнительные сведения см. в разделе "Взять на себя неуправляемый каталог".