Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
В этой статье администраторы показано, как создать DNS CNAME, чтобы упростить и настроить процесс входа с помощью Microsoft Intune.
Когда ваша организация регистрируется в облачной службе Майкрософт, например Intune, вы получите начальное доменное имя, размещенное в Microsoft Entra ID, которое выглядит как your-domain.onmicrosoft.com. В этом примере ваш домен — это доменное имя, выбранное при регистрации. onmicrosoft.com — это суффикс, назначенный учетным записям, добавленным в подписку. Вместо доменного имени, предоставленного вам при подписке, вы можете настроить для своей организации пользовательский домен для доступа к Intune.
Перед созданием учетных записей пользователей или синхронизацией локальная служба Active Directory настоятельно рекомендуется решить, следует ли использовать только домен .onmicrosoft.com или добавить одно или несколько имен личного домена. Чтобы упростить управление пользователями, настройте пользовательский домен до того, как добавить пользователей. Установка личного домена позволяет пользователям выполнять вход, указывая те же учетные данные, под которыми они получают доступ к другим ресурсам домена.
Когда вы подписываетесь на облачную службу корпорации Майкрософт, экземпляр этой службы становится клиентом Microsoft Entra. Клиент Entra предоставляет службы удостоверений и каталогов для Intune и других облачных служб. Так как задачи по настройке Intune использования имени личного домена организации совпадают с задачами для других служб, вы можете использовать сведения и процедуры, описанные в статье Управление именами личного домена в Microsoft Entra ID.
Совет
Вы можете добавлять, проверять или удалять пользовательские доменные имена, используемые с Intune, чтобы сохранить бизнес-удостоверение ясным, но вы не можете переименовать или удалить начальное доменное имя onmicrosoft.com.
Дополнительные сведения о личных доменах см. в статье Общие сведения об именах пользовательских доменов в Microsoft Entra ID.
Элементы управления доступом на основе ролей
Следующая Microsoft Entra встроенная роль RBAC является наименее привилегированной ролью, которая включает достаточные разрешения для управления личными доменными именами:
- Администратор доменных имен . Эта роль предоставляет разрешения, достаточные для управления личными доменными именами (чтение, добавление, проверка, обновление и удаление). Пользователи, которым назначена эта роль, также могут считывать сведения о пользователях, группах и приложениях, так как эти объекты обладают зависимостями домена.
При работе с элементами управления доступом на основе ролей (RBAC) корпорация Майкрософт рекомендует следовать принципу минимальных разрешений, используя только учетные записи с минимальными необходимыми разрешениями для задачи и ограничивая использование и назначение привилегированных административных ролей.
Добавление и проверка личного домена
Для управления личными доменами для организации Microsoft Entra требуется использование учетной записи с достаточными разрешениями в Entra ID. Инструкции по добавлению и проверке допустимости имени личного домена в Microsoft Entra см. в статье Добавление личного доменного имени в клиент документации по Entra ID.
Узнайте больше о начальном домене onmicrosoft.com в Microsoft 365.