Перейти к управлению неуправляемым каталогом в качестве администратора в Microsoft Entra ID
Статья
13.03.2025
В этой статье описываются два способа захвата контроля над DNS-доменным именем в неуправляемом каталоге Microsoft Entra ID. Когда пользователь самообслуживания регистрируется для облачной службы, использующую идентификатор Microsoft Entra ID, он добавляется в неуправляемый каталог Microsoft Entra на основе своего домена электронной почты. Дополнительные сведения о самостоятельной регистрации или "вирусной" регистрации для службы см. в разделе "Что такое самостоятельная регистрация для идентификатора Microsoft Entra ID?
Выбор способа смены неуправляемого каталога
Во время выполнения процедуры захвата администрирования, вы можете подтвердить право владения, как описано в статье Добавление имени личного домена в Microsoft Entra ID. В следующем разделе возможности администрирования описываются более подробно, но если вкратце, то:
При выполнении "внешнего" перехвата управления администратором неконтролируемого каталога вы добавляете DNS-доменное имя неконтролируемого каталога в управляемый каталог Azure. При добавлении доменного имени в управляемый каталог создается сопоставление пользователей с ресурсами, чтобы пользователи могли продолжать получать доступ к службам без прерывания.
Некоторые продукты, включающие SharePoint и OneDrive, такие как Microsoft 365, не поддерживают внешний захват. Если это ваш сценарий, или если вы являетесь администратором и хотите взять под контроль неуправляемую или невидимую организацию Microsoft Entra, созданную пользователями, которые использовали самостоятельную регистрацию, вы можете сделать это путём захвата контроля внутренним администратором.
Создайте пользовательский контекст в неуправляемой организации, выполнив регистрацию в Power BI. Для удобства в примере предполагается, что использован именно этот путь.
Откройте сайт Power BI и выберите Начать бесплатно. Введите учетную запись пользователя, которая использует доменное имя организации, например admin@fourthcoffee.xyz. После ввода кода проверки на ваш адрес электронной почты должен прийти код подтверждения.
В сообщении электронной почты с подтверждением от Power BI выберите Yes, that's me (Да, это я).
Вы получите сообщение, предлагающее вам Become the Admin (Стать администратором) доменного имени, которое уже было проверено в неуправляемой организации. Выберите Yes, I want to be the admin (Да, я хочу стать администратором).
Добавьте запись типа TXT, чтобы подтвердить, что вы являетесь владельцем доменного имени fourthcoffee.xyz на сайте регистратора доменных имен. В этом примере это GoDaddy.com.
Когда записи DNS TXT проверяются в регистраторе доменных имен, вы можете управлять организацией Microsoft Entra.
Выполнив описанные выше действия, вы теперь являетесь глобальным администратором четвертой организации кофе в Microsoft 365. Чтобы интегрировать доменное имя с другими службами Azure, можно изъять его из Microsoft 365 и добавить в другую управляемую организацию в Azure.
Добавление доменного имени в управляемую организацию в идентификаторе Microsoft Entra
Выберите вкладку "Пользователи" и создайте новую учетную запись пользователя с именем, подобным user@fourthcoffeexyz.onmicrosoft.com, которое не использует имя настраиваемого домена.
Убедитесь, что новая учетная запись пользователя имеет права глобального администратора для организации Microsoft Entra.
Откройте вкладку "Домены" в Центр администрирования Microsoft 365, выберите доменное имя и нажмите кнопку "Удалить".
Если у вас есть пользователи или группы в Microsoft 365, которые ссылаются на удаленное доменное имя, то их необходимо переименовать, используя домен .onmicrosoft.com. Если принудительно удалить доменное имя, то все пользователи переименовываются автоматически (в этом примере — на user@fourthcoffeexyz.onmicrosoft.com).
Войдите в Центр администрирования Microsoft Entra в качестве глобального администратора.
В поле поиска в верхней части страницы найдите доменные имена.
Выберите +Добавить имена личного домена, а затем добавьте доменное имя. Для проверки владения доменным именем необходимо ввести записи DNS TXT.
Примечание
Если доменное имя удаляется, то всем пользователям Power BI или службы Azure Rights Management, у которых есть лицензии, назначенные в организации Microsoft 365, необходимо сохранить свои панели мониторинга. Они должны войти с помощью имени пользователя, такого как user@fourthcoffeexyz.onmicrosoft.com, а не user@fourthcoffee.xyz.
Внешняя передача контроля
Если вы уже управляете организацией со службами Azure или Microsoft 365, вы не можете добавить имя личного домена, если оно уже проверено в другой организации Microsoft Entra. Однако из управляемой организации в Microsoft Entra ID вы можете взять под управление неуправляемую организацию в качестве внешнего администратора. В этой статье описано, как добавить личный домен в идентификатор Microsoft Entra.
При проверке владения доменным именем идентификатор Microsoft Entra удаляет доменное имя из неуправляемой организации и перемещает его в существующую организацию. При внешней смене администратором неуправляемого каталога требуется выполнить тот же процесс проверки DNS с помощью записи TXT, как и при внутренней смене администратором. Разница заключается в том, что с доменным именем также переносятся следующие компоненты:
Назначение внешнего администратора не поддерживается ни для одной службы, которая имеет планы обслуживания с включениями SharePoint, OneDrive или Skype для бизнеса, например, через бесплатную подписку на Office.
Примечание
Поглощение внешних администраторов не поддерживается между облачными средами (например, из коммерческой облачной службы Azure в правительственную облачную службу Azure). В этих сценариях рекомендуется выполнить внешний захват администрирования в другом коммерческом арендаторе Azure, а затем удалить домен из этого арендатора, чтобы успешно подтвердить домен в целевом государственном арендаторе Azure.
Дополнительные сведения о службе RMS для частных лиц
Ключ и шаблоны не перемещаются, если неуправляемая организация находится в другом регионе. Например, если неуправляемая организация находится в Европе, а принадлежащая вам организация — в Северной Америке.
Хотя RMS для частных лиц предназначен для поддержки проверки подлинности Microsoft Entra для открытия защищенного содержимого, он не запрещает пользователям также защищать содержимое. Если пользователи защитили контент с помощью подписки на RMS для физических лиц, а ключ и шаблоны не были перемещены, этот контент недоступен после перехвата домена.
Модули Azure AD и MSOnline PowerShell устарели с 30 марта 2024 г. Дополнительные сведения см. в обновлении об отмене. После этой даты поддержка этих модулей ограничена поддержкой миграции в пакет SDK Для Microsoft Graph PowerShell и исправления безопасности. Устаревшие модули будут продолжать функционировать до 30 марта 2025 года.
Рекомендуется перейти к использованию Microsoft Graph PowerShell для взаимодействия с Microsoft Entra ID (ранее Azure AD). Часто задаваемые вопросы о миграции см. в разделе "Вопросы и ответы о миграции".
Примечание. Версии 1.0.x MSOnline могут столкнуться с перебоями после 30 июня 2024 г.
командлет
Использование
connect-mggraph
При появлении запроса войдите в вашу управляемую организацию.
get-mgdomain
Показывает доменные имена, связанные с текущей организацией.
Добавляет доменное имя в организацию как непроверенное (проверка DNS еще не была выполнена).
get-mgdomain
Доменное имя теперь включено в список доменных имен, связанных с управляемой организацией, но указано как непроверенное.
Get-MgDomainVerificationDnsRecord
Предоставляет сведения, которые можно поместить в новую запись типа TXT DNS для домена (MS=xxxxx). Проверка может выполняться не сразу, так как записи типа TXT требуется некоторое время на распространение. Поэтому подождите несколько минут, прежде чем применять параметр -ForceTakeover.
confirm-mgdomain –Domainname <domainname>
— Если доменное имя по-прежнему не проверено, можно продолжить с параметром -ForceTakeover . Он проверяет, была ли создана запись TXT, и запускает процесс внедрения. — Параметр -ForceTakeover следует добавлять в командлет только при необходимости принудительного захвата администрирования извне, например, когда неуправляемая организация имеет службы Microsoft 365, блокирующие такой захват.
get-mgdomain
Теперь в списке доменов доменное имя отображается как проверенное.
Примечание
Неуправляемая организация Microsoft Entra удаляется через 10 дней после применения опции внешнего принудительного овладения.
Пример с PowerShell
Подключитесь к Microsoft Graph с помощью учетных данных, которые использовались для ответа на самообслуживаемое предложение.
Скопируйте значение (вызов), которое возвращает эта команда. Например:
PowerShell
MS=ms18939161
В пространстве общедоступных имен DNS создайте DNS-запись TXT, содержащую значение, скопированное на предыдущем шаге. Имя для данной записи — это имя родительского домена, поэтому при создании этой записи ресурса с помощью роли DNS из Windows Server оставьте поле "Имя записи" пустым и просто вставьте это значение в текстовое поле.
Выполните командлет Confirm-MgDomain, чтобы проверить проблему:
PowerShell
Confirm-MgDomain -DomainId"<your domain name>"
Например:
PowerShell
Confirm-MgDomain -DomainId"contoso.com"
Примечание
Командлет Confirm-MgDomain обновляется. Вы можете отслеживать обновления в статье командлета Confirm-MgDomain.
Успешный вызов возвращает вас в строку запроса без ошибки.
This module provides instruction on how to add a custom domain to your Microsoft 365 deployment. It also examines the DNS requirements that are necessary to support a new domain.
Продемонстрировать функции идентификатора Microsoft Entra для модернизации решений удостоверений, реализации гибридных решений и реализации управления удостоверениями.
