本文告知管理员如何创建 DNS CNAME,以使用 Microsoft Intune 简化和自定义登录体验。
当组织注册Microsoft基于云的服务(如 Intune)时,系统会提供托管在 Microsoft Entra ID 中的初始域名,该域名类似于 your-domain.onmicrosoft.com。 在此示例中, 你的域 是你在注册时选择的域名。 onmicrosoft.com 是分配给添加到订阅的帐户的后缀。 可通过为组织配置自定义域来访问 Intune,而不是使用订阅提供的域名。
在创建用户帐户或同步本地 Active Directory之前,强烈建议你决定是仅使用 .onmicrosoft.com 域还是添加一个或多个自定义域名。 要简化用户管理,请在添加用户前先设置自定义域。 通过设置客户域,用户就能使用访问其他域资源所用的凭据进行登录。
从 Microsoft 订阅基于云的服务时,该服务的实例将成为Microsoft Entra租户。 Entra 租户为Intune和其他基于云的服务提供标识和目录服务。 由于配置Intune以使用组织自定义域名的任务与其他服务相同,因此可以使用管理Microsoft Entra ID中的自定义域名中的信息和过程。
提示
可以添加、验证或删除与 Intune 一起使用的自定义域名,以保持业务标识清晰,但无法重命名或删除初始 onmicrosoft.com 域名。
若要了解有关自定义域的详细信息,请参阅 Microsoft Entra ID 中的自定义域名的概念性概述。
基于角色的访问控制
以下Microsoft Entra内置 RBAC 角色是包含管理自定义域名的足够权限的最低特权角色:
(RBAC) 使用基于角色的访问控制时,Microsoft建议仅使用具有任务最低所需权限的帐户,并限制特权管理角色的使用和分配,从而遵循最小权限原则。
添加并验证自定义域
管理Microsoft Entra组织的自定义域需要使用在 Entra ID 中具有足够权限的帐户。 有关在Microsoft Entra中添加并验证自定义域名是否有效的指南,请参阅Entra ID文档中的将自定义域名添加到租户。
详细了解 Microsoft 365 中的初始 onmicrosoft.com 域。