以 Microsoft Entra ID 中的系統管理員身分接管非受控目錄

  • 發行項

本文說明兩種方式,以接管 Microsoft Entra ID 中 Unmanaged 目錄中的 DNS 功能變數名稱。 當自助用戶註冊使用 Microsoft Entra 識別符的雲端服務時,會根據其電子郵件網域新增至 Unmanaged Microsoft Entra 目錄。 如需自助式或「病毒」註冊服務的詳細資訊,請參閱 什麼是 Microsoft Entra ID 的自助式註冊?

決定要如何接管非受控目錄

在管理員接管的過程中,您可以依照將自訂網域名稱新增到 Microsoft Entra ID 中所述,證明擁有權。 下一節會更詳細地說明管理員體驗,但其摘要如下:

  • 當您執行 非受控 Azure 目錄的「內部」系統管理員接管 時,會新增為 Unmanaged 目錄的全域管理員。 系統不會將任何使用者、網域或服務方案移轉至您所管理的其他目錄。

  • 當您執行非受控 Azure 目錄的「外部」管理員接管時,需將非受控目錄的 DNS 網域名稱新增至受控 Azure 目錄。 當您新增網域名稱時,系統會在受控 Azure 目錄中建立使用者與資源的對應,以便讓使用者繼續存取服務而不中斷。

內部管理員接管

某些包含 SharePoint 和 OneDrive 的產品,例如 Microsoft 365,不支援外部接管。 如果是您的案例,或者如果您是系統管理員,而且想要接管使用自助式註冊的使用者所建立的非受控或「陰影」Microsoft Entra 組織,您可以使用內部系統管理員接管來執行此動作。

  1. 透過註冊 Power BI,在 Unmanaged 組織中建立用戶內容。 為了方便起見,這些步驟會假設路徑。

  2. 開啟 Power BI 網站,然後選取 [免費啟動]。 輸入使用組織功能變數名稱的用戶帳戶;例如, admin@fourthcoffee.xyz。 在驗證碼中輸入之後,請檢查您的電子郵件是否有確認碼。

  3. 在 Power BI 的確認電子郵件中,選取 [是],這就是我

  4. 使用 Power BI 使用者帳戶登入 Microsoft 365 系統管理中心

    Microsoft 365 歡迎頁面的螢幕快照。

  5. 您會收到訊息,指示您成為已在 Unmanaged 組織中驗證的功能變數名稱 管理員。 選取 [ 是],我想成為系統管理員

    [成為 管理員] 的螢幕快照。

  6. 新增 TXT 記錄,以證明您在功能變數名稱註冊機構擁有功能變數名稱 fourthcoffee.xyz 。 在此範例中,它會 GoDaddy.com。

    新增功能變數名稱 TXT 記錄的螢幕快照。

當您的功能變數名稱註冊機構驗證 DNS TXT 記錄時,您可以管理 Microsoft Entra 組織。

當您完成上述步驟時,您現在是 Microsoft 365 中 Fourth Coffee 組織的全域管理員。 若要將功能變數名稱與其他 Azure 服務整合,您可以從 Microsoft 365 中移除功能變數名稱,並將它新增至 Azure 中的不同受控組織。

在 Microsoft Entra ID 中將功能變數名稱新增至受控組織

提示

本文中的步驟可能會根據您從開始的入口網站稍有不同。

  1. 開啟 Microsoft 365 系統管理中心

  2. 選取 [使用者] 索引標籤,然後建立名稱不 user@fourthcoffeexyz.onmicrosoft.com 使用自定義功能變數名稱的新用戶帳戶。

  3. 確定新的用戶帳戶具有 Microsoft Entra 組織的全域 管理員 istrator 許可權。

  4. 在 Microsoft 365 系統管理中心 中開啟 [網域] 索引標籤,選取域名,然後選取 [移除]。

    顯示從 Microsoft 365 移除功能變數名稱選項的螢幕快照。

  5. 如果您的 Microsoft 365 中有任何使用者或群組參考已移除的功能變數名稱,則必須將其重新命名為 .onmicrosoft.com 網域。 如果您強制刪除網域名稱,則所有使用者都會自動重新命名,在此範例中為 user@fourthcoffeexyz.onmicrosoft.com

  6. 以至少全域 管理員 istrator 身分登入 Microsoft Entra 系統管理中心

  7. 在頁面頂端的搜尋方塊中,搜尋 [功能變數名稱]。

  8. 選取 [+ 新增自定義功能變數名稱],然後新增功能變數名稱。 您必須輸入 DNS TXT 記錄,才能驗證功能變數名稱的擁有權。

    此螢幕快照顯示已驗證為新增至 Microsoft Entra 識別碼的網域。

注意

在 Microsoft 365 組織中指派授權的 Power BI 或 Azure Rights Management 服務的任何使用者,如果移除功能變數名稱,就必須儲存其儀錶板。 他們必須以使用者名稱登入,例如 user@fourthcoffeexyz.onmicrosoft.com ,而不是 user@fourthcoffee.xyz

外部管理員接管

如果您已經使用 Azure 服務或 Microsoft 365 管理組織,則如果已在另一個 Microsoft Entra 組織中驗證,則無法新增自定義功能變數名稱。 不過,從 Microsoft Entra 識別碼中的受控組織,您可以將非受控組織接管為外部系統管理員接管。 一般程式遵循將自定義網域新增至 Microsoft Entra ID 一文

當您驗證功能變數名稱的擁有權時,Microsoft Entra ID 會從 Unmanaged 組織移除功能變數名稱,並將其移至現有的組織。 外部系統管理員接管非受控目錄需要與內部系統管理員接管相同的 DNS TXT 驗證程式。 差異在於,下列專案也會隨著功能變數名稱一起移動:

  • 使用者
  • 訂用帳戶
  • 授權指派

支援外部系統管理員接管

下列 線上服務 支援外部系統管理員接管:

  • Azure Rights Management
  • Exchange Online

支援的服務方案包括:

  • 免費Power Apps
  • Power Automate 免費
  • 個人版 RMS
  • Microsoft Stream
  • Dynamics 365 免費試用

任何包含 SharePoint、OneDrive 或商務用 Skype 的服務方案都不支援外部系統管理員接管;例如,透過 Office 免費訂用帳戶。

注意

不支援外部系統管理員接管跨雲端界限(例如 Azure Commercial 至 Azure Government)。 在這些案例中,建議您執行外部系統管理員接管至另一個 Azure 商業租用戶,然後從此租使用者刪除網域,以便您成功驗證目的地 Azure Government 租使用者。

個人版 RMS 的詳細資訊

為個人版 RMS,當非受控組織位於與您擁有之組織的相同區域中時,會自動建立的 Azure 資訊保護 組織密鑰預設保護範本會隨著功能變數名稱一起移動。

當 Unmanaged 組織位於不同區域時,不會移動密鑰和範本。 例如,如果 Unmanaged 組織位於歐洲,而您擁有的組織則為 北美洲。

雖然個人版 RMS 的設計目的是支援 Microsoft Entra 驗證來開啟受保護的內容,但不會防止使用者也保護內容。 如果用戶確實使用個人版 RMS 訂用帳戶保護內容,而且密鑰和範本並未移動,則網域接管之後就無法存取該內容。

ForceTakeover 選項的 Azure AD PowerShell Cmdlet

您可以在 PowerShell 範例中看到這些 Cmdlet。

重要

Azure AD PowerShell 計劃於 2024 年 3 月 30 日淘汰。 若要深入瞭解,請閱讀 淘汰更新。 建議您移轉至 Microsoft Graph PowerShell ,以與 Microsoft Entra ID (先前稱為 Azure AD) 互動。 Microsoft Graph PowerShell 允許存取所有 Microsoft Graph API,並可在 PowerShell 7 上使用。 如需常見移轉查詢的解答,請參閱 移轉常見問題

Cmdlet 使用方式
connect-mggraph 出現提示時,請登入您的受控組織。
get-mgdomain 顯示與目前組織相關聯的功能變數名稱。
new-mgdomain -BodyParameter @{Id="<your domain name>"; IsDefault="False"} 將功能變數名稱新增至組織為未驗證(尚未執行 DNS 驗證)。
get-mgdomain 功能變數名稱現在包含在與受控組織相關聯的功能變數名稱清單中,但會列為 [未驗證]。
Get-MgDomainVerificationDnsRecord 提供資訊,以放入網域的新 DNS TXT 記錄中(MS=xxxxx)。 驗證可能不會立即發生,因為 TXT 記錄需要一些時間才能傳播,因此在考慮 -ForceTakeover 選項之前等候幾分鐘。
confirm-mgdomain –Domainname <domainname> - 如果您的功能變數名稱仍未驗證,您可以繼續進行 -ForceTakeover 選項。 它會驗證 TXT 記錄是否已建立並啟動接管程式。
- 只有在強制外部系統管理員接管時,才應該將 -ForceTakeover 選項新增至 Cmdlet,例如當非受控組織有 Microsoft 365 服務封鎖接管時。
get-mgdomain 網域清單現在會顯示域名為 [已驗證]。

注意

非受控 Microsoft Entra 組織會在您執行外部接管強制選項 10 天后刪除。

PowerShell 範例

  1. 使用用來回應自助式供應項目的認證,連線 至 Microsoft Graph:

    Install-Module -Name Microsoft.Graph

Connect-MgGraph -Scopes "User.ReadWrite.All","Domain.ReadWrite.All"

  2. 取得網域清單:

    Get-MgDomain

  3. 執行 New-MgDomain Cmdlet 以新增網域:

    New-MgDomain -BodyParameter @{Id="<your domain name>"; IsDefault="False"}

  4. 執行 Get-MgDomainVerificationDnsRecord Cmdlet 來檢視 DNS 挑戰:

    (Get-MgDomainVerificationDnsRecord -DomainId "<your domain name>" | ?{$_.recordtype -eq "Txt"}).AdditionalProperties.text

    例如:

    (Get-MgDomainVerificationDnsRecord -DomainId "contoso.com" | ?{$_.recordtype -eq "Txt"}).AdditionalProperties.text

  5. 複製從此命令傳回的值(挑戰)。 例如:

    MS=ms18939161

  6. 在您的公用 DNS 命名空間中,建立 DNS txt 記錄,其中包含您在上一個步驟中複製的值。 此記錄的名稱是父域的名稱,因此,如果您使用 Windows Server 的 DNS 角色建立此資源記錄,請將 [記錄名稱] 保留空白,並將值貼到 [文字框]。

  7. 執行 Confirm-MgDomain Cmdlet 以確認挑戰:

    Confirm-MgDomain -DomainId "<your domain name>"

    例如:

    Confirm-MgDomain -DomainId "contoso.com"

注意

Confirm-MgDomain Cmdlet 正在更新。 您可以監視 Confirm-MgDomain Cmdlet 文章是否有更新。

成功的挑戰會將您傳回提示,而不會發生錯誤。

下一步