管理 Microsoft Entra ID 中的自訂網域名稱

發行項
07/02/2024

網域名稱是許多 Microsoft Entra 部署中資源識別碼的重要部分。其可能是使用者的使用者名稱或電子郵件地址的一部分、群組位址的一部分，有時也可能是應用程式的應用程式識別碼 URI 的一部分。 Microsoft Entra ID 中的資源可以包括包含資源的 Microsoft Entra ID 組織 (有時稱為租用戶) 所擁有的網域名稱。全域系統管理員和網域名稱管理員可以管理 Microsoft Entra ID 中的網域。

設定 Microsoft Entra 組織的主要網域名稱

提示

根據您從中開始的入口網站，本文中的步驟可能會略有不同。

建立組織時，初始網域名稱 (例如 ‘contoso.onmicrosoft.com’) 同時也是主要網域名稱。主要網域是在您建立新使用者時新使用者的預設網域名稱。設定主要網域名稱會簡化管理員在入口網站中建立新使用者的流程。若要變更主要網域名稱：

以全域管理員的身分登入 Microsoft Entra 系統管理中心。
選取 [Microsoft Entra ID]。
選取 [自訂網域名稱]。
選取要成為主要網域的網域名稱。
選取 [設為主要] 命令。出現提示時，確認您的選擇。

您可以將組織的主要網域名稱變更為任何已驗證的非同盟自訂網域。變更組織的主要網域時，並不會變更任何現有使用者的使用者名稱。

將自訂網域名稱新增至 Microsoft Entra 組織

您最多可以新增 5000 個受控網域名稱。如果您要設定所有網域與內部部署 Active Directory 建立同盟，則最多可以在每個組織中新增 2500 個網域名稱。

新增自訂網域的子網域

如果您想要將子網域名稱新增至組織，例如 'europe.contoso.com'，則應先新增並驗證根網域，例如 contoso.com。 Microsoft Entra ID 會自動驗證子網域。若要查看是否已驗證您所新增的子網域，請重新整理瀏覽器中的網域清單。

如果您已將 contoso.com 網域新增至一個 Microsoft Entra 組織，也可以在不同的 Microsoft Entra 組織中驗證子網域 europe.contoso.com。新增子網域時，系統會提示您在 DNS 主機服務提供者中新增 TXT 記錄。

如果您針對自訂網域名稱變更 DNS 登錄器，該怎麼做

如果您變更 DNS 註冊機構，無需在 Microsoft Entra ID 中進行其他設定。您可以繼續使用網域名稱搭配 Microsoft Entra ID，而不會中斷。如果您的自訂網域名稱搭配使用 Microsoft 365、Intune 或其他仰賴 Microsoft Entra ID 中自訂網域名稱的服務，請參閱相關服務的文件。

刪除自訂網域名稱

如果貴組織不再使用該網域名稱，或您需要在另一個 Microsoft Entra 組織中使用該網域名稱，便可以將該自訂網域名稱從 Microsoft Entra ID 中刪除。

若要刪除自訂網域名稱，您必須先確認組織中沒有任何資源仰賴該網域名稱。如果有下列情況，即無法刪除組織的網域名稱：

任何使用者都有包含網域名稱的使用者名稱、電子郵件地址或 Proxy 位址。
任何群組都有包含網域名稱的電子郵件地址或 Proxy 位址。
Microsoft Entra ID 中的任何應用程式都有包含網域名稱的應用程式識別碼 URI。

您必須變更或刪除 Microsoft Entra 組織中任何這類資源，才能刪除自訂網域名稱。

注意

若要刪除自訂網域，請使用根據預設網域 (onmicrosoft.com) 或不同自訂網域 (mydomainname.com) 的全域管理員帳戶。

ForceDelete 選項

您可以透過 Azure 入口網站或使用 Microsoft Graph API，對網域名稱執行 ForceDelete。這些選項會使用非同步作業，並更新從自訂網域名稱 (例如 “user@contoso.com”) 到初始預設網域名稱 (例如 “user@contoso.onmicrosoft.com”) 的所有參考。

若要在 Azure 入口網站呼叫 ForceDelete，您必須確保網域名稱擁有低於 1000 個參考，且必須更新或移除 Exchange 系統管理中心 (EAC) 的所有以 Exchange 作為佈建服務的參考。這包括已啟用 Exchange 郵件的安全性群組和分散式清單。如需詳細資訊，請參閱移除擁有郵件功能的安全性群組。此外，如果下列任一項為真，則 ForceDelete 作業不會成功：

您透過 Microsoft 365 網域訂用帳戶服務購買網域
您是合作夥伴，代表其他客戶組織進行管理

在執行 ForceDelete 作業時會執行下列動作：

將參考自訂網域名稱的使用者 UPN、EmailAddress 和 ProxyAddress 重新命名為初始預設網域名稱。
將參考自訂網域名稱的群組 EmailAddress 重新命名為初始預設網域名稱。
將參考自訂網域名稱的應用程式 identifierUris 重新命名為初始預設網域名稱。
停用受到 Azure/Microsoft Entra 系統管理中心 ForceDelete 選項或使用 Graph API (選用) 所影響的使用者帳戶。

發生下列情況時會傳回錯誤：

要重新命名的物件數目大於 1000
要重新命名的其中一個應用程式是多租用戶應用程式

網域衛生的最佳作法

使用可信賴的註冊機構，其提供網域名稱變更、註冊到期和過期網域寬限期的充足通知，以及維護高安全性標準，來控制誰可以存取您的網域名稱設定和 TXT 記錄。使用您的註冊機構保持最新的網域名稱，並確認 TXT 記錄是否正確。

如果您的目的是讓網域名稱過期，或將擁有權轉移給其他人 (與 Microsoft Entra 租用戶分開)，則您應該在到期或轉移之前將其從 Microsoft Entra 租用戶中刪除。
如果您允許網域名稱過期、如果您能夠重新啟用/重新取得其控制權，則請仔細向註冊機構檢閱所有 TXT 記錄，以確保不會竄改網域名稱。
如果您無法立即重新啟用或重新取得網域名稱的控制，則應該從 Microsoft Entra 租用戶中將其刪除。除非您能夠解析網域名稱的擁有權，以及確認完整 TXT 記錄的正確性，否則請不要讀取/重新驗證。

注意

Microsoft 將不允許向超過一個 Microsoft Entra 租用戶來驗證網域名稱。當您從租用戶中刪除網域名稱之後，將無法在向另一個 Microsoft Entra 租用戶後續進行新增和驗證時，向 Microsoft Entra 租用戶進行重新新增/重新驗證。

常見問題集

問：為什麼網域刪除失敗時，會收到錯誤訊息，表示我在這個網域名稱中擁有由 Exchange 主控的群組？
答：目前，已啟用郵件安全性群組和分散式清單等特定群組由 Exchange 佈建，且需在 Exchange 系統管理中心手動清除。可能會有停留的 ProxyAddresses 依賴自訂網域名稱，且需要手動更新為另一個網域名稱。

問：我已登入為 admin@contoso.com，但為什麼我無法刪除網域名稱「contoso.com」？
答：您無法參考您在使用者帳戶名稱中嘗試刪除的自訂網域名稱。請確認全域管理員帳戶使用初始預設網域名稱 (.onmicrosoft.com)，例如 admin@contoso.onmicrosoft.com。使用不同的全域管理員帳戶 (例如 admin@contoso.onmicrosoft.com) 或其他帳戶是 admin@fabrikam.com 的自訂網域名稱 (例如「fabrikam.com」) 登入。

問：我已按下 [刪除網域] 按鈕，並看到刪除作業的狀態為 In Progress。需要多久時間？如果失敗，會發生什麼事？
答：刪除網域作業是非同步的背景工作，會將所有操考重新命名為網域名稱。最多需要 24 小時才能完成此作業。如果網域刪除失敗，請確定您不擁有：

使用 appIdentifierURI 設定網域名稱的應用程式
任何參考自訂網域名稱的已啟用郵件群組
超過 1000 個參考的網域名稱
要移除且設定為組織主要網域的網域

也請注意，如果網域使用同盟驗證類型，則 ForceDelete 選項將無法運作。在該情況下，必須先使用內部部署 Active Directory 來重新命名或移除網域上的使用者/群組，再重新嘗試移除網域。如果您發現任何不符合的條件，則請手動清除參考，並再次嘗試刪除網域。

使用 PowerShell 或 Microsoft Graph API 來管理網域名稱

在 Microsoft Entra ID 中，大部分的網域名稱管理工作也都可以使用 Microsoft PowerShell 來完成，或使用 Microsoft Graph API 以程式設計方式來完成。

共用方式為