Настройка пользовательских доменов и управление ими

  • 10 мин

Доменное имя является частью идентификатора для многих ресурсов идентификатора Microsoft Entra ID: это часть имени пользователя или адреса электронной почты для пользователя, часть адреса группы и иногда является частью URI идентификатора приложения для приложения. Ресурс в идентификаторе Microsoft Entra может содержать доменное имя, принадлежащее организации, содержащей ресурс. Только глобальный Администратор istrator может управлять доменами в идентификаторе Microsoft Entra.

Задание основного доменного имени для вашей организации Microsoft Entra

При создании каталога организации исходное доменное имя, например contoso.onmicrosoft.com, также становится основным доменным именем.

Важно!

Создатель клиента автоматически становится глобальным администратором для этого клиента. Глобальный администратор может добавить других администраторов для клиента.

Основной домен задает доменное имя по умолчанию, применяемое для каждого создаваемого пользователя. При установке основного доменного имени упрощается процесс создания пользователей на портале для администратора. Чтобы изменить основное доменное имя, выполните следующее.

  1. Войдите на портал Azure с учетной записью глобального администратора в организации.

  2. Выберите идентификатор Microsoft Entra.

  3. Выберите Имена пользовательских доменов.

    Screenshot of the Add custom user dialog box. Opening the user management page.

  4. Выберите имя домена, который будет основным.

  5. Выберите команду Назначить основным. При появлении запроса подтвердите свой выбор.

    Screenshot of the configure domain dialog. You can make a domain name the primary.

Вы можете изменить основное доменное имя организации, чтобы оно было проверенным пользовательским доменом, который не является федеративным. При изменении основного домена для каталога имена существующих пользователей не изменятся.

Добавление имен личного домена в организацию Microsoft Entra

Можно добавить до 900 имен управляемых доменов. Если вы настраиваете все домены для федерации с локальными Active Directory, можно добавить до 450 доменных имен в каждой организации.

Добавление поддоменов для личного домена

Если вы хотите добавить в организацию имя поддомена, например europe.contoso.com, необходимо сначала добавить и проверить корневой домен, например contoso.com. Поддомен автоматически проверяется идентификатором Microsoft Entra. Чтобы просмотреть добавленный поддомен, обновите список доменов в браузере.

Если вы уже добавили домен contoso.com в одну организацию Microsoft Entra, вы также можете проверить поддомен europe.contoso.com в другой организации Microsoft Entra. При добавлении поддомена вам будет предложено добавить запись типа TXT в поставщик услуг размещения DNS.

Что делать, если вы изменили регистратор DNS для пользовательского доменного имени

При изменении регистраторов DNS дополнительные задачи конфигурации в идентификаторе Microsoft Entra отсутствуют. Вы можете продолжать использовать доменное имя с идентификатором Microsoft Entra без прерывания. Если вы используете имя личного домена с Microsoft 365, Intune или другими службами, которые используют пользовательские доменные имена в идентификаторе Microsoft Entra ID, ознакомьтесь с документацией по этим службам.

Удаление имени личного домена

Вы можете удалить имя личного домена из идентификатора Microsoft Entra, если ваша организация больше не использует это доменное имя или если вам нужно использовать это доменное имя с другим идентификатором Microsoft Entra.

Перед удалением личного доменного имени необходимо убедиться, что от этого имени не зависят никакие ресурсы в каталоге организации. Нельзя удалить доменное имя из организации, если:

  • Какой-либо пользователь имеет имя пользователя, электронный адрес или адрес прокси-сервера, которые включают это доменное имя.
  • Какая-либо группа имеет адрес электронной почты или адрес прокси-сервера, которые включают это доменное имя.
  • Любое приложение в идентификаторе Microsoft Entra имеет URI идентификатора приложения, который включает доменное имя.

Перед удалением имени личного домена необходимо изменить или удалить любой такой ресурс в организации Microsoft Entra.

Параметр ForceDelete

ForceDelete можно использовать для удаления доменного имени в Центре администрирования Microsoft Entra или с помощью API Microsoft Graph. В обоих случаях используется асинхронная операция и все ссылки обновляются с имени личного домена, например user@contoso.com, до начального имени домена по умолчанию, например user@contoso.onmicrosoft.com.

Чтобы вызватьForceDelete на портале Azure, вы должны убедиться, что существует менее 1000 ссылок на доменное имя, а любые ссылки, в которых Exchange является службой подготовки, должны быть обновлены или удалены в Центре администрирования Exchange. Сюда входят группы безопасности Exchange с включенной поддержкой почты и списки рассылки. Кроме того, операция ForceDelete не будет выполнена, если выполняется любое из следующих условий:

  • Вы приобрели домен через службы подписки домена Office 365
  • Вы являетесь партнером, управляющим от имени другой организации пользователя

Следующие действия выполняются как часть операции ForceDelete:

  • Имя участника-пользователя (UPN), электронный адрес (EmailAddress) и адрес прокси-сервера (ProxyAddress) пользователей со ссылками на имя личного домена переименовываются на основе начального имени домена по умолчанию.
  • Электронный адрес (EmailAddress) групп со ссылками на имя личного домена переименовывается на основе начального имени домена по умолчанию.
  • Идентификаторы URI (identifierUris) приложений со ссылками на имя личного домена переименовываются на основе начального имени домена по умолчанию.

Возвращается сообщение об ошибке, если:

  • Количество объектов, подлежащих переименованию, превышает 1000.
  • Одним из приложений, которые необходимо переименовать, является мультитенантное приложение