Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
После добавления корневого домена в Microsoft Entra ID, часть Microsoft Entra, все последующие поддомены, добавленные в этот корневой домен в организации Microsoft Entra, автоматически наследуют настройку аутентификации от корневого домена. Однако если вы хотите управлять параметрами проверки подлинности домена независимо от корневых параметров домена, теперь можно использовать API Microsoft Graph. Например, если у вас есть федеративный корневой домен, например contoso.com, эта статья поможет проверить поддомен, например, child.contoso.com как управляемый, а не федеративный.
На портале Azure, когда родительский домен федеративный, а администратор пытается проверить управляемый поддомен на странице " Пользовательские доменные имена ", на странице отображается ошибка "Не удалось добавить домен" с причиной "Одно или несколько свойств содержит недопустимые значения". Если вы попытаетесь добавить этот поддомен из Центра администрирования Microsoft 365, вы получите аналогичную ошибку. Дополнительные сведения об ошибке см. в статье "Дочерний домен" не наследует изменения родительского домена в Office 365, Azure или Intune.
Так как поддомены наследуют тип проверки подлинности корневого домена по умолчанию, необходимо повысить поддомен в корневой домен в идентификаторе Microsoft Entra с помощью Microsoft Graph, чтобы можно было задать тип проверки подлинности в нужный тип.
Предупреждение
Этот маленький скрипт пример для демонстрационных целей. Если вы планируете использовать его в вашей среде, сначала протестируйте его. Необходимо настроить код в соответствии с вашими требованиями.
Добавление поддомена
- Используйте PowerShell, чтобы добавить новый поддомен, имеющий тип проверки подлинности корневого домена по умолчанию. Идентификатор Microsoft Entra и центры администрирования Microsoft 365 пока не поддерживают эту операцию.
# Connect to Microsoft Graph with the required scopes
Connect-MgGraph -Scopes "Domain.ReadWrite.All"
# Define the parameters for the new domain
$domainParams = @{
Id = "child6.mydomain.com"
AuthenticationType = "Federated"
}
# Create a new domain with the specified parameters
New-MgDomain @domainParams
- Используйте следующий пример, чтобы ПОЛУЧИТЬ домен. Так как домен не является корневым доменом, он наследует тип проверки подлинности корневого домена. Команда и результаты могут выглядеть следующим образом при использовании вашего собственного идентификатора арендатора:
Заметка
Выдача этого запроса может выполняться непосредственно в обозревателе Graph.
GET https://graph.microsoft.com/v1.0/domains/foo.contoso.com/
Return:
{
"authenticationType": "Federated",
"availabilityStatus": null,
"isAdminManaged": true,
"isDefault": false,
"isDefaultForCloudRedirections": false,
"isInitial": false,
"isRoot": false, <---------------- Not a root domain, so it inherits parent domain's authentication type (federated)
"isVerified": true,
"name": "child.mydomain.com",
"supportedServices": [],
"forceDeleteState": null,
"state": null,
"passwordValidityPeriodInDays": null,
"passwordNotificationWindowInDays": null
},
Изменение поддомена на корневой домен
Используйте следующую команду, чтобы повысить уровень поддомена:
POST https://graph.microsoft.com/v1.0/{tenant-id}/domains/foo.contoso.com/promote
Повышение условий ошибки команды
| Сценарий | Метод | Код | Сообщение |
|---|---|---|---|
| Вызов API с поддоменом, родительский домен которого недоверен | ПОСТ | 400 | Непроверенные домены не могут быть рекламированы. Проверьте домен перед повышением уровня. |
| Вызов API с использованием федеративного проверенного субдомена, содержащего ссылки на пользователей | ПОСТ | 400 | Повышение поддомена с помощью ссылок пользователей не допускается. Перед повышением уровня поддомена пользователи перемещаются в текущий корневой домен. |
Изменение типа проверки подлинности поддомена на управляемое
Важный
Перед тем как выполнить следующие шаги, следует учесть существующие значения конфигурации федерации при изменении типа проверки подлинности для федеративного поддомена. Сведения необходимы, если вы решите повторно настроить федерацию перед повышением домена.
Чтобы изменить тип проверки подлинности поддомена, используйте следующую команду:
Connect-MGGraph -Scopes "Domain.ReadWrite.All", "Directory.AccessAsUser.All" Update-MgDomain -DomainId "test.contoso.com" -BodyParameter @{AuthenticationType="Managed"}Убедитесь, что с помощью API GET в Microsoft Graph теперь управляется тип проверки подлинности поддомена:
GET https://graph.microsoft.com/v1.0/domains/foo.contoso.com/ Return: { "authenticationType": "Managed", <---------- Now this domain is successfully added as Managed and not inheriting Federated status "availabilityStatus": null, "isAdminManaged": true, "isDefault": false, "isDefaultForCloudRedirections": false, "isInitial": false, "isRoot": true, <------------------------------ Also a root domain, so not inheriting from parent domain any longer "isVerified": true, "name": "child.mydomain.com", "supportedServices": [ "Email", "OfficeCommunicationsOnline", "Intune" ], "forceDeleteState": null, "state": null, "passwordValidityPeriodInDays": null, "passwordNotificationWindowInDays": null }