Megosztás a következőn keresztül:

Nem felügyelt címtár átvétele rendszergazdaként a Microsoft Entra ID-ben

  • Cikk

Ez a cikk két módszert ismertet a DNS-tartománynevek nem felügyelt címtárakban való átvétele során a Microsoft Entra ID-ban. Amikor egy önkiszolgáló felhasználó regisztrál egy Microsoft Entra-azonosítót használó felhőszolgáltatásra, a rendszer hozzáadja őket egy nem felügyelt Microsoft Entra-címtárhoz az e-mail-tartományuk alapján. A szolgáltatás önkiszolgáló vagy "vírusos" regisztrációjával kapcsolatos további információkért lásd : Mi az önkiszolgáló regisztráció a Microsoft Entra ID-hoz?

Döntse el, hogyan kívánja elvégezni a nem felügyelt címtár átvételét

Az adminisztrátori átvétel során a tulajdonjogot a Egyéni domainnév hozzáadása a Microsoft Entra ID oldalon leírtak szerint lehet igazolni. A következő szakaszok részletesen ismertetik a rendszergazdai feladatokat, amelyek összegzése itt olvasható:

  • Amikor végrehajt egy "belső" rendszergazdai átvételt egy felügyelet nélküli címtáron, akkor hozzárendelik az adott felügyelet nélküli címtár globális rendszergazdai szerepkörét. Semmilyen felhasználó, tartomány vagy szolgáltatáscsomag nem lesz migrálva az Ön által felügyelt más címtárakba.

  • Amikor egy nem felügyelt címtáron "külső" rendszergazdai átvételt hajt végre, a nem felügyelt címtár DNS-tartománynevét hozzáadja a felügyelt Azure-címtárhoz. A tartománynév hozzáadásakor létrejön a felhasználók erőforrásokhoz való leképezése a felügyelt címtárban, hogy a felhasználók zavartalanul elérhessék a szolgáltatásokat.

Feljegyzés

A "belső" rendszergazdai átvételhez bizonyos szintű hozzáféréssel kell rendelkeznie a nem felügyelt címtárhoz. Ha nem tudja elérni azt a könyvtárat, amelyet át szeretne venni, "külső" rendszergazdai átvételt kell végrehajtania.

Belső rendszergazdai átvétel

Egyes termékek, amelyek tartalmazzák a SharePointot és a OneDrive-ot, például a Microsoft 365-öt, nem támogatják a külső átvételt. Ha ez az Ön esete, vagy ha Ön rendszergazda, és át szeretné venni az önkiszolgáló regisztrációt használó felhasználók által létrehozott nem felügyelt vagy "árnyék" Microsoft Entra-szervezetet, ezt egy belső rendszergazdai átvétellel teheti meg.

  1. Hozzon létre egy felhasználói környezetet a nem felügyelt szervezetben a Power BI-ra való regisztrációval. A kényelem kedvéért ezek a lépések feltételezik ezt az útvonalat.

  2. Nyissa meg a Power BI-webhelyet , és válassza az Ingyenes indítás lehetőséget. Adjon meg egy felhasználói fiókot, amely a szervezet tartománynevét használja; például admin@fourthcoffee.xyz. Miután megadta az ellenőrző kódot, ellenőrizze az e-mail-címét a megerősítő kódért.

  3. A Power BI-tól kapott megerősítő e-mailben válassza az Igen, ez én vagyok.

  4. Jelentkezzen be a Microsoft 365 Felügyeleti központ a Power BI felhasználói fiókjával.

    Képernyőkép a Microsoft 365 üdvözlőoldaláról.

  5. Egy üzenetet kap, amely arra utasítja, hogy legyen a nem felügyelt szervezetben már ellenőrzött tartománynév rendszergazdája . válassza az Igen lehetőséget, rendszergazda szeretnék lenni.

    Képernyőkép a rendszergazdai jogosultságról.

  6. Adja hozzá a TXT rekordot a domainregisztrátoránál annak igazolására, hogy Ön a fourthcoffee.xyz domainnév tulajdonosa. Ebben a példában ez GoDaddy.com.

    Képernyőkép: TXT rekord hozzáadása a tartománynévhez.

Amikor a DNS TXT rekordokat ellenőrizték a domainnév-regisztrátornál, kezelheti a Microsoft Entra szervezetet.

Az előző lépések elvégzése után ön lesz a Microsoft 365 Negyedik Kávé szervezetének globális rendszergazdája. Ha integrálni szeretné a tartománynevet a többi Azure-szolgáltatással, eltávolíthatja a Microsoft 365-ből, és hozzáadhatja egy másik felügyelt szervezethez az Azure-ban.

Tartománynév hozzáadása felügyelt szervezethez a Microsoft Entra-azonosítóban

  1. Nyissa meg a Microsoft 365 felügyeleti központot.

  2. Válassza a Felhasználók lapot, és hozzon létre egy új, ehhez hasonló user@fourthcoffeexyz.onmicrosoft.com nevű felhasználói fiókot, amely nem használja az egyéni tartománynevet.

  3. Győződjön meg arról, hogy az új felhasználói fiók globális rendszergazdai jogosultságokkal rendelkezik a Microsoft Entra-szervezet számára.

  4. Nyissa meg a Tartományok lapot a Microsoft 365 Felügyeleti központ, jelölje ki a tartománynevet, és válassza az Eltávolítás lehetőséget.

    Képernyőkép a tartománynév Microsoft 365-ből való eltávolításának lehetőségéről.

  5. Ha a Microsoft 365-ben olyan felhasználók vagy csoportok vannak, amelyek hivatkoznak az eltávolított tartománynévre, azokat .onmicrosoft.com tartományra kell átnevezni. Ha kényszeríti a tartománynév törlését, a rendszer az összes felhasználót automatikusan átnevezi, ebben a példában a következőre user@fourthcoffeexyz.onmicrosoft.com: .

  6. Jelentkezzen be a Microsoft Entra felügyeleti központba globális rendszergazdaként.

  7. A lap tetején található keresőmezőben keresse meg a tartományneveket.

  8. Válassza a + Egyéni tartománynevek hozzáadása lehetőséget, majd adja hozzá a tartománynevet. A tartománynév tulajdonjogának ellenőrzéséhez meg kell adnia a DNS TXT rekordokat.

    Képernyőkép a Microsoft Entra-azonosítóhoz hozzáadott ellenőrzött tartományról.

Feljegyzés

A Power BI vagy Azure Tartalomvédelmi szolgáltatások szolgáltatás minden olyan felhasználójának, aki a Microsoft 365 szervezetében hozzárendelt licencekkel rendelkezik, mentenie kell az irányítópultokat, ha a tartománynevet eltávolítja. Kötelező felhasználónévvel bejelentkezni, például user@fourthcoffeexyz.onmicrosoft.com ahelyett, hogy user@fourthcoffee.xyz-t használnának.

Külső rendszergazdai átvétel

Ha már felügyel egy szervezetet az Azure-szolgáltatásokkal vagy a Microsoft 365-zel, nem adhat hozzá egyéni tartománynevet, ha az már egy másik Microsoft Entra-szervezetben van ellenőrizve. A Microsoft Entra ID-ban lévő felügyelt szervezettől azonban külső rendszergazdai átvételként átveheti a nem felügyelt szervezetet. Az általános eljárás az Add a custom domain to Microsoft Entra ID (Egyéni tartomány hozzáadása a Microsoft Entra-azonosítóhoz) című cikket követi.

A tartománynév tulajdonjogának ellenőrzésekor a Microsoft Entra-azonosító eltávolítja a tartománynevet a nem felügyelt szervezetből, és áthelyezi azt a meglévő szervezetbe. A nem felügyelt címtár külső rendszergazdai átvételéhez ugyanaz a DNS TXT érvényesítési folyamat szükséges, mint a belső rendszergazdai átvétel. A különbség az, hogy a tartománynévvel az alábbiak is átkerülnek:

  • Felhasználók
  • Előfizetések
  • Licenc-hozzárendelések

Külső rendszergazdai átvétel támogatása

A külső rendszergazdai átvételt a következő online szolgáltatások támogatja:

  • Azure Rights Management
  • Exchange Online

A támogatott szolgáltatáscsomagok a következők:

  • Ingyenes Power Apps
  • Ingyenes Power Automate
  • RMS egyéni felhasználók számára
  • Microsoft Stream
  • Dynamics 365 ingyenes próbaverzió

A külső rendszergazdai átvétel nem támogatott olyan szolgáltatások esetében, amelyek szolgáltatáscsomagjai tartalmazzák a SharePointot, a OneDrive-ot vagy a Skype Vállalati verziót; például egy ingyenes Office-előfizetésen keresztül.

Feljegyzés

A külső rendszergazdai átvétel nem támogatott a felhők közötti határokon (például az Azure Commercial és az Azure Government között). Ezekben az esetekben ajánlott külső rendszergazdai átvételt végrehajtani egy másik Azure Commercial-bérlőbe, majd törölni a tartományt ebből a bérlőből, hogy sikeresen ellenőrizhesse a cél Azure Government-bérlőt.

További információ az RMS-ről egyéni felhasználók számára

Egyéni RMS esetén, ha a nem felügyelt szervezet ugyanabban a régióban van, mint a saját szervezete, az automatikusan létrehozott Azure Information Protection szervezeti kulcs és alapértelmezett védelmi sablonok a tartománynévvel együtt kerülnek át.

A kulcs és a sablonok nem kerülnek át, ha a nem felügyelt szervezet egy másik régióban van. Például, ha a nem felügyelt szervezet Európában van, és az Ön tulajdonában lévő szervezet Észak-Amerikában van.

Bár az RMS egyéni felhasználók számára úgy lett kialakítva, hogy támogassa a Microsoft Entra-hitelesítést a védett tartalmak megnyitásához, nem akadályozza meg a felhasználókat abban, hogy a tartalmakat is megvédjék. Ha a felhasználók az RMS egyéni előfizetéssel védték a tartalmakat, és a kulcs és a sablonok nem lettek áthelyezve, akkor a tartalom nem érhető el a tartományátvétel után.

PowerShell-parancsmagok a ForceTakeover beállításhoz

A PowerShell-példában ezeket a parancsmagokat láthatja.

Feljegyzés

Az Azure AD- és MSOnline PowerShell-modulok 2024. március 30-ától elavultak. Ha többet szeretne megtudni, olvassa el a elavulási értesítést. Ezen dátum után ezeknek a moduloknak a támogatása a Microsoft Graph PowerShell SDK-ra való migrálásra és a biztonsági javításokra korlátozódik. Az elavult modulok 2025. március 30-ától működnek tovább.

Javasoljuk, hogy migráljon a Microsoft Graph PowerShellbe a Microsoft Entra ID (korábbi nevén Azure AD) használatához. Gyakori migrálási kérdésekért tekintse meg a migrálással kapcsolatos gyakori kérdéseket. Megjegyzés: Az MSOnline 1.0.x verziói 2024. június 30. után fennakadást tapasztalhatnak.

parancsmag Használat
connect-mggraph Amikor a rendszer kéri, jelentkezzen be a felügyelt szervezetbe.
get-mgdomain Az aktuális szervezethez társított domainneveket jeleníti meg.
new-mgdomain -BodyParameter @{Id="<your domain name>"; IsDefault="False"} A tartománynevet nem ellenőrzöttként adja hozzá a szervezethez (dns-ellenőrzés még nem történt meg).
get-mgdomain A tartománynév mostantól szerepel a felügyelt szervezethez társított tartománynevek listájában, de nem ellenőrzöttként szerepel a listán.
Get-MgDomainVerificationDnsRecord Megadja a tartomány új DNS TXT rekordjába (MS=xxxxx) való felvételhez szükséges információkat. Előfordulhat, hogy az ellenőrzés nem történik meg azonnal, mert a TXT rekord propagálása némi időt vesz igénybe, ezért várjon néhány percet, mielőtt megfontolja a -ForceTakeover beállítást.
confirm-mgdomain –Domainname <domainname> - Ha a tartománynév még mindig nincs ellenőrizve, folytassa a -ForceTakeover beállítással. Ellenőrzi, hogy a TXT rekord létrejött-e, és elindítja az átvételi folyamatot.
– A -ForceTakeover beállítást csak külső rendszergazdai átvétel kényszerítésekor szabad hozzáadni a parancsmaghoz, például ha a nem felügyelt szervezet microsoft 365-szolgáltatásokkal blokkolja az átvételt.
get-mgdomain A tartománylista most ellenőrzöttként jeleníti meg a tartománynevet.

Feljegyzés

A nem felügyelt Microsoft Entra-szervezet 10 nappal a külső átvételi kényszerítési lehetőség gyakorlása után törlődik.

PowerShell-példa

  1. Csatlakozzon a Microsoft Graphhoz az önkiszolgáló ajánlatra való válaszadáshoz használt hitelesítő adatokkal:

    Install-Module -Name Microsoft.Graph

Connect-MgGraph -Scopes "User.ReadWrite.All","Domain.ReadWrite.All"

  2. A tartományok listájának lekérése:

    Get-MgDomain

  3. Új tartomány hozzáadásához futtassa a New-MgDomain parancsmagot:

    New-MgDomain -BodyParameter @{Id="<your domain name>"; IsDefault="False"}

  4. Futtassa a Get-MgDomainVerificationDnsRecord parancsmagot a DNS-feladat megtekintéséhez:

    (Get-MgDomainVerificationDnsRecord -DomainId "<your domain name>" | ?{$_.recordtype -eq "Txt"}).AdditionalProperties.text

    Példa:

    (Get-MgDomainVerificationDnsRecord -DomainId "contoso.com" | ?{$_.recordtype -eq "Txt"}).AdditionalProperties.text

  5. Másolja ki a parancsból visszaadott értéket (a kihívást). Példa:

    MS=ms18939161

  6. A nyilvános DNS-névtérben hozzon létre egy DNS txt rekordot, amely az előző lépésben másolt értéket tartalmazza. A rekord neve a szülőtartomány neve, ezért ha ezt az erőforrásrekordot a Windows Server DNS-szerepkörével hozza létre, hagyja üresen a Rekordnevet, és egyszerűen illessze be az értéket a Szöveg mezőbe.

  7. Futtassa a Confirm-MgDomain parancsmagot a feladat ellenőrzéséhez:

    Confirm-MgDomain -DomainId "<your domain name>"

    Példa:

    Confirm-MgDomain -DomainId "contoso.com"

Feljegyzés

A Confirm-MgDomain parancsmag frissítése folyamatban van. A Confirm-MgDomain parancsmaggal foglalkozó cikket figyelheti a frissítésekért.

Egy sikeres kihívás után hiba nélkül térhet vissza a prompt felületéhez.

Következő lépések