Dela via

Stöd för flera domäner för federering med Microsoft Entra-ID

  • Artikel

Följande dokumentation innehåller vägledning om hur du använder flera toppnivådomäner och underdomäner när du federerar med Microsoft 365- eller Microsoft Entra-domäner.

Stöd för flera toppnivådomäner

Federering av flera toppnivådomäner med Microsoft Entra-ID kräver lite extra konfiguration som inte krävs när du federerar med en toppnivådomän.

När en domän federeras med Microsoft Entra-ID anges flera egenskaper på domänen i Azure. En viktig fråga är IssuerUri. Den här egenskapen är en URI som används av Microsoft Entra-ID för att identifiera domänen som token är associerad med. URI:n behöver inte matcha något, men det måste vara en giltig URI. Som standard anger Microsoft Entra-ID URI:n till värdet för federationstjänstidentifieraren i din lokala AD FS-konfiguration.

Kommentar

Federationstjänstidentifieraren är en URI som unikt identifierar en federationstjänst. Federationstjänsten är en instans av AD FS som fungerar som säkerhetstokentjänst.

Du kan visa IssuerUri med hjälp av PowerShell-kommandot Get-MsolDomainFederationSettings -DomainName <your domain>.

Skärmbild som visar resultat när du har angett kommandot

Kommentar

Azure AD- och MSOnline PowerShell-moduler är inaktuella från och med den 30 mars 2024. Mer information finns i utfasningsuppdateringen. Efter det här datumet är stödet för dessa moduler begränsat till migreringshjälp till Microsoft Graph PowerShell SDK och säkerhetskorrigeringar. De inaktuella modulerna fortsätter att fungera till och med mars 30 2025.

Vi rekommenderar att du migrerar till Microsoft Graph PowerShell för att interagera med Microsoft Entra-ID (tidigare Azure AD). Vanliga migreringsfrågor finns i Vanliga frågor och svar om migrering. Obs! Versioner 1.0.x av MSOnline kan uppleva störningar efter den 30 juni 2024.

Ett problem uppstår när du lägger till mer än en toppnivådomän. Anta till exempel att du har konfigurerat federation mellan Microsoft Entra-ID och din lokala miljö. För det här dokumentet används domänen bmcontoso.com. Nu har en andra toppnivådomän, bmfabrikam.com lagts till.

En skärmbild som visar flera toppnivådomäner

När du försöker konvertera den bmfabrikam.com domänen som ska federeras uppstår ett fel. Anledningen är att Microsoft Entra-ID:t har en begränsning som inte tillåter att Egenskapen IssuerUri har samma värde för mer än en domän.

Skärmbild som visar ett federationsfel i PowerShell.

Parametern SupportMultipleDomain

För att kringgå den här begränsningen måste du lägga till en annan IssuerUri, vilket kan göras med hjälp av parametern -SupportMultipleDomain . Den här parametern används med följande cmdletar:

  • New-MsolFederatedDomain
  • Convert-MsolDomaintoFederated
  • Update-MsolFederatedDomain

Den här parametern gör att Microsoft Entra ID konfigurerar IssuerUri så att den baseras på domänens namn. IssuerUri kommer att vara unikt för kataloger i Microsoft Entra-ID. Med hjälp av parametern kan PowerShell-kommandot slutföras.

Skärmbild som visar att PowerShell-kommandot har slutförts.

Om du tittar på skärmbilden för den bmfabrikam.com domänen kan du se följande inställningar:

Skärmbild som visar inställningarna för domänen

-SupportMultipleDomain ändrar inte de andra slutpunkterna, som fortfarande är konfigurerade för att peka på federationstjänsten på adfs.bmcontoso.com.

-SupportMultipleDomain säkerställer också att AD FS-systemet innehåller rätt utfärdarvärde i token som utfärdats för Microsoft Entra-ID. Det här värdet anges genom att ta domändelen av användarens UPN och använda det som domän i IssuerUri, dvs https://{upn suffix}/adfs/services/trust. .

Under autentisering till Microsoft Entra-ID eller Microsoft 365 används därför IssuerUri-elementet i användarens token för att hitta domänen i Microsoft Entra-ID. Om det inte går att hitta en matchning misslyckas autentiseringen.

Om en användares UPN till exempel är bsimon@bmcontoso.comanges IssuerUri-elementet i token, AD FS-utfärdare, till http://bmcontoso.com/adfs/services/trust. Det här elementet matchar Microsoft Entra-konfigurationen och autentiseringen lyckas.

Följande anpassade anspråksregel implementerar den här logiken:

c:[Type == "http://schemas.xmlsoap.org/claims/UPN"] => issue(Type = "http://schemas.microsoft.com/ws/2008/06/identity/claims/issuerid", Value = regexreplace(c.Value, ".+@(?<domain>.+)", "http://${domain}/adfs/services/trust/"));

Viktigt!

För att kunna använda växeln -SupportMultipleDomain när du försöker lägga till nya eller konvertera redan befintliga domäner måste ditt federerade förtroende redan ha konfigurerats för att stödja dem.

Så här uppdaterar du förtroendet mellan AD FS och Microsoft Entra-ID

Om du inte har konfigurerat det federerade förtroendet mellan AD FS och din instans av Microsoft Entra-ID kan du behöva återskapa det här förtroendet. Orsaken är att när den ursprungligen har konfigurerats utan parametern -SupportMultipleDomain anges IssuerUri med standardvärdet. På skärmbilden nedan kan du se att IssuerUri är inställt på https://adfs.bmcontoso.com/adfs/services/trust.

Om du har lagt till en ny domän i administrationscentret för Microsoft Entra och sedan försöker konvertera den med Convert-MsolDomaintoFederated -DomainName <your domain>får du följande fel.

Skärmbild som visar ett federationsfel i PowerShell när du har försökt konvertera en ny domän med kommandot

Om du försöker lägga till växeln -SupportMultipleDomain får du följande fel:

Skärmbild som visar ett federationsfel när du har lagt till växeln

Att bara försöka köra Update-MsolFederatedDomain -DomainName <your domain> -SupportMultipleDomain på den ursprungliga domänen resulterar också i ett fel.

Federationsfel

Använd stegen nedan för att lägga till ytterligare en toppnivådomän. Om du redan har lagt till en domän och inte använde parametern -SupportMultipleDomain börjar du med stegen för att ta bort och uppdatera den ursprungliga domänen. Om du inte har lagt till en toppnivådomän ännu kan du börja med stegen för att lägga till en domän med Hjälp av PowerShell i Microsoft Entra Anslut.

Använd följande steg för att ta bort Microsoft Online-förtroendet och uppdatera din ursprungliga domän.

  1. Öppna AD FS Management på AD FS-federationsservern.
  2. Till vänster expanderar du Förtroenderelationer och förlitande partförtroenden.
  3. Till höger tar du bort posten Microsoft Office 365 Identity Platform . Ta bort Microsoft Online
  4. Kör följande PowerShell på en dator med Azure AD PowerShell-modulen installerad på den: $cred=Get-Credential.
  5. Ange användarnamnet och lösenordet för en hybrididentitetsadministratör för Den Microsoft Entra-domän som du federerar med.
  6. I PowerShell anger du Connect-MsolService -Credential $cred.
  7. I PowerShell anger du Update-MSOLFederatedDomain -DomainName <Federated Domain Name> -SupportMultipleDomain. Den här uppdateringen gäller för den ursprungliga domänen. Så med hjälp av ovanstående domäner skulle det vara: Update-MsolFederatedDomain -DomainName bmcontoso.com -SupportMultipleDomain

Använd följande steg för att lägga till den nya toppnivådomänen med Hjälp av PowerShell

  1. Kör följande PowerShell på en dator med Azure AD PowerShell-modulen installerad på den: $cred=Get-Credential.
  2. Ange användarnamnet och lösenordet för en hybrididentitetsadministratör för Den Microsoft Entra-domän som du federerar med
  3. I PowerShell anger du Connect-MsolService -Credential $cred
  4. I PowerShell anger du New-MsolFederatedDomain –SupportMultipleDomain –DomainName

Använd följande steg för att lägga till den nya toppnivådomänen med Hjälp av Microsoft Entra Anslut.

  1. Starta Microsoft Entra-Anslut från skrivbordet eller startmenyn
  2. Välj "Lägg till ytterligare en Microsoft Entra-domän" Skärmbild som visar sidan
  3. Ange dina Microsoft Entra-ID och Active Directory-autentiseringsuppgifter
  4. Välj den andra domän som du vill konfigurera för federation. Lägga till ytterligare en Microsoft Entra-domän
  5. Klicka på Installera

Verifiera den nya toppnivådomänen

Med hjälp av PowerShell-kommandot Get-MsolDomainFederationSettings -DomainName <your domain>kan du visa den uppdaterade IssuerUri. Skärmbilden nedan visar att federationsinställningarna har uppdaterats på den ursprungliga domänen http://bmcontoso.com/adfs/services/trust

Skärmbild som visar federationsinställningarna uppdaterade på den ursprungliga domänen.

Och IssuerUri på den nya domänen har ställts in på https://bmcontoso.com/adfs/services/trust

Get-MsolDomainFederationSettings

Stöd för underdomäner

När du lägger till en underdomän på grund av hur Microsoft Entra ID hanterade domäner ärver det inställningarna för den överordnade domänen. Så, IssuerUri, måste matcha föräldrarna.

Så låt oss till exempel säga att jag har bmcontoso.com och sedan lägga till corp.bmcontoso.com. IssuerUri för en användare från corp.bmcontoso.com måste vara http://bmcontoso.com/adfs/services/trust. Standardregeln som implementerades ovan för Microsoft Entra-ID genererar dock en token med en utfärdare som http://corp.bmcontoso.com/adfs/services/trust. som inte matchar domänens nödvändiga värde och autentiseringen misslyckas.

Så här aktiverar du stöd för underdomäner

För att kunna kringgå det här beteendet måste ad FS-förlitande partförtroende för Microsoft Online uppdateras. För att göra detta måste du konfigurera en anpassad anspråksregel så att den tar bort alla underdomäner från användarens UPN-suffix när du skapar det anpassade utfärdarvärdet.

Använd följande anspråk:

c:[Type == "http://schemas.xmlsoap.org/claims/UPN"] => issue(Type = "http://schemas.microsoft.com/ws/2008/06/identity/claims/issuerid", Value = regexreplace(c.Value, "^.*@([^.]+\.)*?(?<domain>([^.]+\.?){2})$", "http://${domain}/adfs/services/trust/"));

[! Obs! Det sista talet i uppsättningen med reguljära uttryck är hur många överordnade domäner som finns i rotdomänen. Här används bmcontoso.com, så två överordnade domäner är nödvändiga. Om tre överordnade domäner skulle behållas (d.v.s. corp.bmcontoso.com) skulle talet ha varit tre. Så småningom kan ett intervall anges, matchningen kommer alltid att göras för att matcha det maximala antalet domäner. "{2,3}" matchar två till tre domäner (det vill: bmfabrikam.com och corp.bmcontoso.com).

Använd följande steg för att lägga till ett anpassat anspråk som stöd för underdomäner.

  1. Öppna AD FS-hantering

  2. Högerklicka på Microsoft Online RP-förtroendet och välj Redigera anspråksregler

  3. Välj den tredje anspråksregeln och ersätt Redigera anspråk

  4. Ersätt det aktuella anspråket:

    c:[Type == "http://schemas.xmlsoap.org/claims/UPN"] => issue(Type = "http://schemas.microsoft.com/ws/2008/06/identity/claims/issuerid", Value = regexreplace(c.Value, ".+@(?<domain>.+)","http://${domain}/adfs/services/trust/"));

    med

    c:[Type == "http://schemas.xmlsoap.org/claims/UPN"] => issue(Type = "http://schemas.microsoft.com/ws/2008/06/identity/claims/issuerid", Value = regexreplace(c.Value, "^.*@([^.]+\.)*?(?<domain>([^.]+\.?){2})$", "http://${domain}/adfs/services/trust/"));

    Ersätt anspråk

  5. Klicka på OK. Klicka på Använd. Klicka på OK. Stäng AD FS-hantering.

Nästa steg

Nu när du har installerat Microsoft Entra Anslut kan du verifiera installationen och tilldela licenser.

Läs mer om de här funktionerna, som har aktiverats med installationen: Automatisk uppgradering, Förhindra oavsiktliga borttagningar och Microsoft Entra Anslut Health.

Läs mer om schemaläggaren och hur du utlöser synkronisering.

Läs mer om att integrera dina lokala identiteter med Microsoft Entra-ID.