使用 Windows PowerShell 为委派访问权限 (DAP) 合作伙伴将域添加到客户端租赁
此文章适用于 Microsoft 365 企业版和 Office 365 企业版。
使用 PowerShell for Microsoft 365 创建新域并将其与客户的租户关联的速度比使用 Microsoft 365 管理中心 更快。
委派访问权限 (DAP) 合作伙伴是联合和云解决方案提供商 (CSP) 合作伙伴。 他们通常是其他公司的网络或电信提供商。 他们将 Microsoft 365 订阅捆绑到客户的服务产品中。 销售 Microsoft 365 订阅时,将自动授予他们代表 (AOBO 管理) 客户租赁的权限,以便他们可以管理和报告客户租赁。
开始前,有必要了解什么?
本文中的过程要求使用 PowerShell 连接到 Microsoft 365。
您也需要您的合作伙伴租户管理员凭据。
您也需要以下信息:
您需要客户所需的完全限定的域名 (FQDN)。
您需要客户的 TenantId 。
FQDN 必须在 Internet 域名服务 (DNS) 注册机构(如 GoDaddy)中注册。 有关如何公开注册域名的详细信息,请参阅 如何购买域名。
您需要了解如何为您的 DNS 注册机构的注册 DNS 区域添加 TXT 记录。 有关如何添加 TXT 记录的详细信息,请参阅 添加 DNS 记录以连接域。 如果这些过程不适用于你,则需要查找 DNS 注册机构的过程。
创建域
你的客户可能会要求你创建其他域来与其租户相关联,因为他们不希望默认 <域>.onmicrosoft.com 域成为代表其公司标识的主要域。 此步骤将引导您创建与您的客户租赁相关联的新域。
注意
若要执行其中一些操作,登录时要使用的合作伙伴管理员帐户必须设置为“为支持的公司分配管理访问权限”设置的“完全管理”,该设置位于Microsoft 365 管理中心管理员帐户的详细信息中。 有关管理合作伙伴管理员角色的详细信息,请参阅 合作伙伴:提供委派管理。
在 Microsoft Entra ID 中Create域
此命令在 Microsoft Entra ID 中创建域,但不将其与公开注册的域相关联。 当你证明你拥有 Microsoft 365 企业版公开注册的域时,
注意
Azure Active Directory 模块将替换为 Microsoft Graph PowerShell SDK。 可以使用 Microsoft Graph PowerShell SDK 访问所有 Microsoft Graph API。 有关详细信息,请参阅 Microsoft Graph PowerShell SDK 入门。
首先,使用 Microsoft Entra DC 管理员、云应用程序管理员或全局管理员帐户连接到 Microsoft 365 租户。
为用户分配和删除许可证需要 Domain.ReadWrite.All 权限范围或“分配许可证”图形 API参考页中列出的其他权限之一。
注意
自 2024 年 3 月 30 日起,Azure AD 和 MSOnline PowerShell 模块已弃用。 若要了解详细信息,请阅读 弃用更新。 在此日期之后,对这些模块的支持仅限于 Microsoft Graph PowerShell SDK 和安全修补程序的迁移帮助。 弃用的模块将继续运行到 2025 年 3 月 30 日。
建议迁移到 Microsoft Graph PowerShell,以便与以前为 Azure AD) Microsoft Entra ID (交互。 有关常见的迁移问题,请参阅 迁移常见问题解答。 注意: MSOnline 1.0.x 版可能会在 2024 年 6 月 30 日之后遇到中断。
Connect-MgGraph -Scopes "Domain.ReadWrite.All"
运行以下命令以创建新域:
New-MgDomain -Id <customer TenantId> -DomainNameReferences <FQDN of new domain>
获取 DNS TXT 验证记录的数据
Microsoft 365 生成需要放入 DNS TXT 验证记录的特定数据。 要获取数据,请运行以下命令。
Import-Module Microsoft.Graph.Identity.DirectoryManagement
(Get-MgDomainVerificationDnsRecord -DomainId <domain ID, i.e. contoso.com> | Where-Object {$_.RecordType -eq "Txt"}).AdditionalProperties.text
此命令提供如下所示的输出:
MS=ms########
注意
你将需要此文本以在公开注册的 DNS 区域中创建 TXT 记录。 请确保将其复制并保存。
在公开注册的 DNS 区域中添加 TXT 记录
在 Microsoft 365 开始接受定向到公开注册域名的流量之前,你必须证明你拥有并具有对该域的管理员权限。 您可通过在域中创建 TXT 记录来证明您拥有该域。 TXT 记录不会在您的域中执行任何操作,并且可以在建立您对域的所有权后删除。 若要创建 TXT 记录,请按照 添加 DNS 记录中的过程连接域。 如果这些过程不起作用,则需要查找 DNS 注册机构的过程。
通过 nslookup 确认已成功创建 TXT 记录。 遵循下面的语法。
nslookup -type=TXT <FQDN of registered domain>
此命令提供如下所示的输出:
Non-authoritative answer:
FQDN of the registered domain
text=MS=ms########
在 Microsoft 365 中验证域所有权
在最后一步中,向 Microsoft 365 验证你是否拥有公开注册的域。 此步骤完成后,Microsoft 365 将开始接受路由到新域名的流量。 若要完成域创建和注册过程,请运行此命令。
Confirm-MgDomain -DomainId <FQDN of new domain> -InputObject @{TenantId=<customer TenantId>}
此命令不返回任何输出,因此若要确认命令是否正常工作,请运行此命令。
Get-MgDomain -DomainId <FQDN of new domain>
这将返回如下所示的内容:
Id AuthenticationType AvailabilityStatus IsAdminManaged IsDefault IsInitial IsRoot IsVerified Manufact
urer
-- ------------------ ------------------ -------------- --------- --------- ------ ---------- --------
contoso.com Managed True True True True True
另请参阅
反馈
即将发布:在整个 2024 年,我们将逐步淘汰作为内容反馈机制的“GitHub 问题”,并将其取代为新的反馈系统。 有关详细信息,请参阅:https://aka.ms/ContentUserFeedback。
提交和查看相关反馈