Hantera anpassade domännamn i ditt Microsoft Entra-ID

Ett domännamn är en viktig del av identifieraren för resurser i många Microsoft Entra-distributioner. Det är en del av ett användarnamn eller en e-postadress för en användare, en del av adressen för en grupp, och är ibland en del av app-ID-URI:n för ett program. En resurs i Microsoft Entra-ID kan innehålla ett domännamn som ägs av Microsoft Entra-organisationen (kallas ibland en klientorganisation) som innehåller resursen. Globala administratörer och domännamnsadministratörer kan hantera domäner i Microsoft Entra-ID.

Ange det primära domännamnet för din Microsoft Entra-organisation

Dricks

Stegen i den här artikeln kan variera något beroende på vilken portal du börjar från.

När din organisation skapas är det första domännamnet, till exempel "contoso.onmicrosoft.com", också det primära domännamnet. Den primära domänen är standarddomännamnet för en ny användare när du skapar en ny användare. Om du anger ett primärt domännamn effektiviseras processen för en administratör att skapa nya användare i portalen. Så här ändrar du det primära domännamnet:

1. Logga in på administrationscentret för Microsoft Entra som minst global administratör.

2. Välj Microsoft Entra ID.

3. Välj Egna domännamn.

   

4. Välj namnet på den domän som du vill vara den primära domänen.

5. Välj kommandot Gör till primär. Bekräfta ditt val när du uppmanas att göra det.

   

Du kan ändra det primära domännamnet för din organisation till en verifierad anpassad domän som inte är federerad. Om du ändrar den primära domänen för din organisation, ändras inte användarnamnet för befintliga användare.

Lägga till anpassade domännamn i din Microsoft Entra-organisation

Du kan lägga till upp till 5 000 hanterade domännamn. Om du konfigurerar alla domäner för federation med lokal Active Directory kan du lägga till upp till 2 500 domännamn i varje organisation.

Lägga till underdomäner för en anpassad domän

Om du vill lägga till ett underdomännamn, till exempel "europe.contoso.com" i din organisation, bör du först lägga till och verifiera rotdomänen, till exempel contoso.com. Underdomänen verifieras automatiskt av Microsoft Entra-ID. Om du vill se att underdomänen som du har lagt till är verifierad uppdaterar du domänlistan i webbläsaren.

Om du redan har lagt till en contoso.com domän i en Microsoft Entra-organisation kan du också verifiera underdomänen europe.contoso.com i en annan Microsoft Entra-organisation. När du lägger till underdomänen uppmanas du att lägga till en TXT-post i DNS-värdleverantören.

Vad gör du om du ändrar DNS-registratorn för ditt anpassade domännamn

Om du ändrar DNS-registratorerna finns det inga andra konfigurationsuppgifter i Microsoft Entra-ID. Du kan fortsätta att använda domännamnet med Microsoft Entra-ID utan avbrott. Om du använder ditt anpassade domännamn med Microsoft 365, Intune eller andra tjänster som förlitar sig på anpassade domännamn i Microsoft Entra-ID kan du läsa dokumentationen för dessa tjänster.

Ta bort ett anpassat domännamn

Du kan ta bort ett anpassat domännamn från Microsoft Entra ID om din organisation inte längre använder domännamnet, eller om du behöver använda domännamnet i en annan Microsoft Entra-organisation.

Om du vill ta bort ett anpassat domännamn måste du först se till att inga resurser i din organisation förlitar sig på domännamnet. Du kan inte ta bort ett domännamn från din organisation om:

• Alla användare har ett användarnamn, en e-postadress eller en proxyadress som innehåller domännamnet.
• Alla grupper har en e-postadress eller proxyadress som innehåller domännamnet.
• Alla program i ditt Microsoft Entra-ID har en app-ID-URI som innehåller domännamnet.

Du måste ändra eller ta bort en sådan resurs i din Microsoft Entra-organisation innan du kan ta bort det anpassade domännamnet.

Kommentar

Om du vill ta bort den anpassade domänen använder du ett globalt administratörskonto som baseras på antingen standarddomänen (onmicrosoft.com) eller en annan anpassad domän (mydomainname.com).

Alternativet ForceDelete

Du kan ForceDelete ett domännamn i Azure-portalen eller med hjälp av Microsoft Graph API. De här alternativen använder en asynkron åtgärd och uppdaterar alla referenser från det anpassade domännamnet som "user@contoso.com" till det ursprungliga standarddomännamnet, till exempel "user@contoso.onmicrosoft.com".

Om du vill anropa ForceDelete i Azure-portalen måste du se till att det finns färre än 1 000 referenser till domännamnet och alla referenser där Exchange är etableringstjänsten måste uppdateras eller tas bort i Administrationscenter för Exchange. Detta inkluderar Exchange Mail-aktiverade säkerhetsgrupper och distribuerade listor. Mer information finns i Ta bort e-postaktiverade säkerhetsgrupper. ForceDelete-åtgärden lyckas inte heller om något av följande är sant:

• Du har köpt en domän via Microsoft 365-domänprenumerationstjänster
• Du är en partner som administrerar åt en annan kundorganisation

Följande åtgärder utförs som en del av ForceDelete-åtgärden :

• Byter namn på UPN, EmailAddress och ProxyAddress för användare med referenser till det anpassade domännamnet till det ursprungliga standarddomännamnet.
• Byter namn på e-postadressen för grupper med referenser till det anpassade domännamnet till det ursprungliga standarddomännamnet.
• Byter namn på identifierarenUris för program med referenser till det anpassade domännamnet till det ursprungliga standarddomännamnet.
• Inaktiverar användarkonton som påverkas av alternativet ForceDelete i administrationscentret för Azure/Microsoft Entra och valfritt när du använder Graph API.

Ett fel returneras när:

• Antalet objekt som ska byta namn är större än 1 000
• Ett av de program som ska byta namn är en app med flera klienter

Metodtips för domänhygien

Använd en välrenommerad registrator som tillhandahåller gott om meddelanden om domännamnsändringar, förfallodatum för registrering, en respitperiod för utgångna domäner och upprätthåller höga säkerhetsstandarder för att kontrollera vem som har åtkomst till din domännamnskonfiguration och TXT-poster. Håll dina domännamn aktuella med din registrator och verifiera TXT-poster för noggrannhet.

• Om du avsiktligt upphör att gälla ditt domännamn eller lämnar över ägarskapet till någon annan (separat från din Microsoft Entra-klientorganisation) bör du ta bort det från din Microsoft Entra-klientorganisation innan du upphör att gälla eller överförs.
• Om du tillåter att domännamnet upphör att gälla, om du kan återaktivera det/återta kontrollen över det, bör du noggrant granska alla TXT-poster med registratorn för att säkerställa att inget manipulering av domännamnet har ägt rum.
• Om du inte kan återaktivera eller återfå kontrollen över ditt domännamn omedelbart bör du ta bort det från din Microsoft Entra-klientorganisation. Läs/verifiera inte igen förrän du kan lösa ägarskapet för domännamnet och verifiera den fullständiga TXT-posten för korrekthet.

Kommentar

Microsoft tillåter inte att ett domännamn verifieras med fler än en Microsoft Entra-klientorganisation. När du har tagit bort ett domännamn från din klientorganisation kan du inte lägga till/verifiera det igen med din Microsoft Entra-klientorganisation om det senare läggs till och verifieras med en annan Microsoft Entra-klientorganisation.

Vanliga frågor och svar

F: Varför misslyckas domänborttagningen med ett fel som anger att jag har Exchange-huvudgrupper i det här domännamnet?
S: I dag etableras vissa grupper som e-postaktiverade säkerhetsgrupper och distribuerade listor av Exchange och måste rensas manuellt i Exchange Admin Center (EAC). Det kan finnas kvardröjande ProxyAddresses, som förlitar sig på det anpassade domännamnet och måste uppdateras manuellt till ett annat domännamn.

F: Jag är inloggad som admin@contoso.com men jag kan inte ta bort domännamnet "contoso.com"?
S: Du kan inte referera till det anpassade domännamnet som du försöker ta bort i ditt användarkontonamn. Kontrollera att det globala administratörskontot använder det första standarddomännamnet (.onmicrosoft.com) som admin@contoso.onmicrosoft.com. Logga in med ett annat globalt administratörskonto som till exempel admin@contoso.onmicrosoft.com eller ett annat anpassat domännamn som "fabrikam.com" där kontot är admin@fabrikam.com.

F: Jag klickade på knappen Ta bort domän och ser In Progress status för åtgärden Ta bort. Hur lång tid tar det? Vad händer om det misslyckas?
S: Borttagningsdomänåtgärden är en asynkron bakgrundsaktivitet som byter namn på alla referenser till domännamnet. Det kan ta upp till 24 timmar att slutföra. Om domänborttagningen misslyckas kontrollerar du att du inte har:

• Appar som konfigurerats på domännamnet med appIdentifierURI
• Alla e-postaktiverade grupper som refererar till det anpassade domännamnet
• Mer än 1 000 referenser till domännamnet
• Domänen som ska tas bort som organisationens primära domän

Observera också att alternativet ForceDelete inte fungerar om domänen använder federerad autentiseringstyp. I så fall måste användare/grupper i domänen byta namn eller tas bort med hjälp av lokal Active Directory innan domänen tas bort igen. Om du upptäcker att något av villkoren inte har uppfyllts rensar du referenserna manuellt och försöker ta bort domänen igen.

Använda PowerShell eller Microsoft Graph API för att hantera domännamn

De flesta hanteringsuppgifter för domännamn i Microsoft Entra-ID kan också slutföras med Hjälp av Microsoft PowerShell eller programmatiskt med hjälp av Microsoft Graph API.

• Använda PowerShell för att hantera domännamn i Microsoft Entra-ID
• Domain resurstyp

Nästa steg

• Lägga till anpassade domännamn
• Ta bort Exchange-e-postaktiverade säkerhetsgrupper i Administrationscenter för Exchange på ett anpassat domännamn i Microsoft Entra-ID
• ForceDelete ett anpassat domännamn med Microsoft Graph API