以 Microsoft Entra ID 中的系統管理員身分接管非受控目錄
本文說明兩種接管 Microsoft Entra ID 之非受控目錄中 DNS 網域名稱的方式。 當自助使用者註冊使用 Microsoft Entra ID 的雲端服務時,系統會根據其電子郵件網域將其新增至非受控 Microsoft Entra 目錄。 若要深入了解自助式或「病毒式」服務註冊,請參閱什麼是 Microsoft Entra ID 的自助式註冊?
決定要如何接管非受控目錄
在管理員接管的過程中,您可以依照將自訂網域名稱新增到 Microsoft Entra ID 中所述,證明擁有權。 下一節會更詳細地說明管理員體驗,但其摘要如下:
執行非受控 Azure 目錄的「內部」系統管理員接管時,系統會將您新增為非受控目錄的全域系統管理員。 系統不會將任何使用者、網域或服務方案移轉至您所管理的其他目錄。
當您執行非受控 Azure 目錄的「外部」管理員接管時,需將非受控目錄的 DNS 網域名稱新增至受控 Azure 目錄。 當您新增網域名稱時,系統會在受控 Azure 目錄中建立使用者與資源的對應,以便讓使用者繼續存取服務而不中斷。
注意
「內部」系統管理員接管要求您對非受控目錄具有一定程度的存取權。 如果您無法存取嘗試接管的目錄,則必須執行「外部」管理員接管。
內部管理員接管
有些包含 SharePoint 和 OneDrive 的產品 (例如 Microsoft 365) 並不支援外部接管。 如果您的情況與此相符,或者您擔任系統管理員,而且想要接管使用自助式註冊之使用者所建立的非受控或「影子」Microsoft Entra 組織,則可以藉由內部系統管理員接管來執行此作業。
透過註冊 Power BI,在非受控的組織中建立使用者內容。 為了便於範例說明,這些步驟會假設該路徑。
開啟 Power BI 網站,然後選取 [免費開始]。 輸入使用組織網域名稱的使用者帳戶,例如
admin@fourthcoffee.xyz
。 輸入驗證碼之後,請查看您的電子郵件是否有確認碼。在來自 Power BI 的確認電子郵件中,選取 [是,這是我]。
使用 Power BI 使用者帳戶來登入 Microsoft 365 系統管理中心。
您會收到指導您成為管理員的訊息,這是已經在非受控組織中驗證的網域名稱的管理員。 請選取 [是,我想要成為管理員]。
在您的網域名稱登錄器新增 TXT 記錄,以證明您擁有網域名稱 fourthcoffee.xyz。 在此範例中為 GoDaddy.com。
在您的網域名稱註冊機構驗證 DNS TXT 記錄之後,您就可以管理 Microsoft Entra 組織。
完成上述步驟之後,您現在已成為 Microsoft 365 中 Fourth Coffee 組織的全域系統管理員。 若要將網域名稱與您的其他 Azure 服務整合,您可以將其從 Microsoft 365 中移除,然後新增至 Azure 中其他的受控組織。
將網域名稱新增至 Microsoft Entra ID 中的受控組織
提示
根據您從中開始的入口網站,本文中的步驟可能會略有不同。
選取 [使用者] 索引標籤,然後使用 user@fourthcoffeexyz.onmicrosoft.com 這類未使用自訂網域名稱的名稱來建立新使用者帳戶。
確定新使用者帳戶具有 Microsoft Entra 組織的全域系統管理員權限。
在 Microsoft 365 系統管理中心開啟 [網域] 索引標籤,選取網域名稱,然後選取 [移除]。
如果您在 Microsoft 365 中有任何使用者或群組參考已移除的網域名稱,就必須將他們重新命名為 .onmicrosoft.com 網域。 如果您強制刪除網域名稱,系統就會自動將所有使用者重新命名,在此範例中是重新命名為 user@fourthcoffeexyz.onmicrosoft.com。
以全域管理員 (部分機器翻譯) 的身分登入 Microsoft Entra 系統管理中心。
在頁面頂端的搜尋方塊中,搜尋 [網域名稱]。
選取 [+新增自訂網域名稱],然後新增網域名稱。 您將必須輸入 DNS TXT 記錄來驗證網域名稱擁有權。
注意
任何 Power BI 或 Azure Rights Management 服務使用者只要在 Microsoft 365 組織中已獲指派授權,如果將網域名稱移除,就必須儲存其儀表板。 他們必須使用 user@fourthcoffeexyz.onmicrosoft.com 這類使用者名稱而不是 user@fourthcoffee.xyz 來進行登入。
外部管理員接管
如果您已經使用 Azure 服務或 Microsoft 365 來管理組織,將無法新增自訂網域名稱,如果該網域名稱已經在另一個 Microsoft Entra 組織中經過驗證。 不過,您可以從 Microsoft Entra ID 中的受控組織,以外部管理員接管方式來接管非受控組織。 一般程序會按照將自訂網域名稱新增至 Microsoft Entra ID 一文所述。
驗證網域名稱的擁有權時,Microsoft Entra ID 會將網域名稱從非受控組織中移除,然後移至您現有的組織中。 非受控目錄之外部管理員接管所需的 DNS TXT 驗證程序與內部管理員接管相同。 差異在於下列項目也會隨著網域名稱一起移過去:
- 使用者
- 訂用帳戶
- 授權指派
對外部管理員接管的支援
以下是支援外部管理員接管的線上服務:
- Azure Rights Management
- Exchange Online
支援的服務方案包括:
- Power Apps 免費版
- Power Automate 免費
- 個人版 RMS
- Microsoft Stream
- Dynamics 365 免費試用版
服務方案中包括 SharePoint、OneDrive 或商務用 Skype (例如透過 Office 免費訂閱) 的任何服務,都不支援外部管理員接管。
注意
跨雲端界限不支援外部管理員接管 (例如Azure Commercial 至 Azure Government)。 在這些案例中,建議您執行外部管理員接管至另一個 Azure Commercial 租用戶,然後從此租用戶刪除該網域,以便您可以成功地向目的地 Azure Government 租用戶驗證。
個人版 RMS 的詳細資訊
對於個人版 RMS,當非受控組織與您擁有的組織位於相同區域中時,會額外移動自動建立的 Azure 資訊保護組織金鑰和預設保護範本並包含網域名稱。
當非受控組織位於不同國家/地區時,不會移動金鑰和範本。 例如,如果非受控組織位於歐洲,而您擁有的組織位於北美洲。
雖然個人版 RMS 是針對支援 Microsoft Entra 驗證來開啟受保護內容所設計,但並不會阻止使用者同時保護內容。 如果使用者的確使用 RMS 個人訂閱來保護內容,且金鑰和範本未移轉,則在網域接管之後將無法存取該內容。
Azure AD 的 ForceTakeover 選項 PowerShell Cmdlet
您可以在 PowerShell 範例中看到使用這些 Cmdlet。
注意
自 2024 年 3 月 30 日起,Azure AD 和 MSOnline PowerShell 模組已被淘汰。 若要深入了解,請閱讀淘汰更新。 在此日期之後,對這些模組的支援僅限於對 Microsoft Graph PowerShell SDK 的移轉協助和安全性修正。 淘汰的模組將繼續運作至 2025 年 3 月 30 日。
我們建議移轉至 Microsoft Graph PowerShell 以與 Microsoft Entra ID (以前稱為 Azure AD) 互動。 如需了解常見的移轉問題,請參閱移轉常見問題。 注意:MSOnline 1.0.x 版可能會在 2024 年 6 月 30 日之後發生中斷。
Cmdlet | 使用方式 |
---|---|
connect-mggraph |
出現提示時,登入您的受控組織。 |
get-mgdomain |
顯示與目前組織相關聯的網域名稱。 |
new-mgdomain -BodyParameter @{Id="<your domain name>"; IsDefault="False"} |
將網域名稱以「未驗證」狀態 (尚未執行任何 DNS 驗證) 新增至組織。 |
get-mgdomain |
網域名稱現在包含在與受控組織關聯的網域名稱清單中,但其狀態會是 [未驗證]。 |
Get-MgDomainVerificationDnsRecord |
提供要放到網域之新 DNS TXT 記錄中的資訊 (MS=xxxxx)。 驗證可能不會立即進行,因為 TXT 記錄需要一些時間傳播,所以請先稍候幾分鐘,再考慮使用 -ForceTakeover 選項。 |
confirm-mgdomain –Domainname <domainname> |
- 如果網域名稱仍未驗證,建議您著手使用 [-ForceTakeover] 選項。 它會驗證是否已建立 TXT 記錄,然後啟動接管程序。 - 應該只有在強制執行外部管理員接管時 (例如非受控組織的 Microsoft 365 服務封鎖接管時),才將 [-ForceTakeover] 選項新增至 Cmdlet。 |
get-mgdomain |
網域清單現在會將網域名稱顯示為 [已驗證]。 |
注意
執行外部接管強制選項之後,會在 10 天後刪除非受控 Microsoft Entra 組織。
PowerShell 範例
使用用來回應自助式供應項目的認證連線至 Microsoft Graph:
Install-Module -Name Microsoft.Graph Connect-MgGraph -Scopes "User.ReadWrite.All","Domain.ReadWrite.All"
取得網域清單:
Get-MgDomain
執行 New-MgDomain Cmdlet 以新增網域:
New-MgDomain -BodyParameter @{Id="<your domain name>"; IsDefault="False"}
執行 Get-MgDomainVerificationDnsRecord Cmdlet 來檢視 DNS 挑戰:
(Get-MgDomainVerificationDnsRecord -DomainId "<your domain name>" | ?{$_.recordtype -eq "Txt"}).AdditionalProperties.text
例如:
(Get-MgDomainVerificationDnsRecord -DomainId "contoso.com" | ?{$_.recordtype -eq "Txt"}).AdditionalProperties.text
複製從此命令傳回的值 (挑戰)。 例如:
MS=ms18939161
在公用 DNS 命名空間中,建立 DNS txt 記錄,其中包含您在上一個步驟中複製的值。 此記錄的名稱是父系網域的名稱,因此如果您使用 Windows Server 的 DNS 角色來建立此資源記錄,請將記錄名稱留白,而只要將此值貼到文字方塊中即可。
執行 Confirm-MgDomain Cmdlet 來驗證挑戰:
Confirm-MgDomain -DomainId "<your domain name>"
例如:
Confirm-MgDomain -DomainId "contoso.com"
注意
正在更新 Confirm-MgDomain Cmdlet。 您可以監視 Confirm-MgDomain Cmdlet 一文以確認是否有更新。
成功挑戰會讓您回到提示,但不會產生錯誤。