Поделиться через

Перейти к управлению неуправляемым каталогом в качестве администратора в Microsoft Entra ID

  • Статья

В этой статье описываются два способа захвата контроля над DNS-доменным именем в неуправляемом каталоге Microsoft Entra ID. Когда пользователь самообслуживания регистрируется для облачной службы, использующую идентификатор Microsoft Entra ID, он добавляется в неуправляемый каталог Microsoft Entra на основе своего домена электронной почты. Дополнительные сведения о самостоятельной регистрации или "вирусной" регистрации для службы см. в разделе "Что такое самостоятельная регистрация для идентификатора Microsoft Entra ID?

Выбор способа смены неуправляемого каталога

Во время выполнения процедуры захвата администрирования, вы можете подтвердить право владения, как описано в статье Добавление имени личного домена в Microsoft Entra ID. В следующем разделе возможности администрирования описываются более подробно, но если вкратце, то:

  • При выполнении "внутреннего" захвата компонента администратора неуправляемого каталога вам назначается роль Глобального администратора неуправляемого каталога. Ни пользователи, ни домены, ни планы служб не переносятся в любой другой каталог, который вы администрируете.

  • При выполнении "внешнего" перехвата управления администратором неконтролируемого каталога вы добавляете DNS-доменное имя неконтролируемого каталога в управляемый каталог Azure. При добавлении доменного имени в управляемый каталог создается сопоставление пользователей с ресурсами, чтобы пользователи могли продолжать получать доступ к службам без прерывания.

Примечание.

Чтобы осуществить "внутренний" захват администратора, вам необходимо иметь некоторый уровень доступа к неуправляемому каталогу. Если вы не можете получить доступ к каталогу, который пытаетесь захватить, необходимо выполнить "внешнее администрирование захвата".

Внутреннее административное поглощение

Некоторые продукты, включающие SharePoint и OneDrive, такие как Microsoft 365, не поддерживают внешний захват. Если это ваш сценарий, или если вы являетесь администратором и хотите взять под контроль неуправляемую или невидимую организацию Microsoft Entra, созданную пользователями, которые использовали самостоятельную регистрацию, вы можете сделать это путём захвата контроля внутренним администратором.

  1. Создайте пользовательский контекст в неуправляемой организации, выполнив регистрацию в Power BI. Для удобства в примере предполагается, что использован именно этот путь.

  2. Откройте сайт Power BI и выберите Начать бесплатно. Введите учетную запись пользователя, которая использует доменное имя организации, например admin@fourthcoffee.xyz. После ввода кода проверки на ваш адрес электронной почты должен прийти код подтверждения.

  3. В сообщении электронной почты с подтверждением от Power BI выберите Yes, that's me (Да, это я).

  4. Войдите в Центр администрирования Microsoft 365, используя учетную запись пользователя Power BI.

    Снимок экрана: страница приветствия Microsoft 365.

  5. Вы получите сообщение, предлагающее вам Become the Admin (Стать администратором) доменного имени, которое уже было проверено в неуправляемой организации. Выберите Yes, I want to be the admin (Да, я хочу стать администратором).

    Снимок экрана:

  6. Добавьте запись типа TXT, чтобы подтвердить, что вы являетесь владельцем доменного имени fourthcoffee.xyz на сайте регистратора доменных имен. В этом примере это GoDaddy.com.

    Снимок экрана: добавление записи TXT для доменного имени.

Когда записи DNS TXT проверяются в регистраторе доменных имен, вы можете управлять организацией Microsoft Entra.

Выполнив описанные выше действия, вы теперь являетесь глобальным администратором четвертой организации кофе в Microsoft 365. Чтобы интегрировать доменное имя с другими службами Azure, можно изъять его из Microsoft 365 и добавить в другую управляемую организацию в Azure.

Добавление доменного имени в управляемую организацию в идентификаторе Microsoft Entra

  1. Откройте Центр администрирования Microsoft 365.

  2. Выберите вкладку "Пользователи" и создайте новую учетную запись пользователя с именем, подобным user@fourthcoffeexyz.onmicrosoft.com, которое не использует имя настраиваемого домена.

  3. Убедитесь, что новая учетная запись пользователя имеет права глобального администратора для организации Microsoft Entra.

  4. Откройте вкладку "Домены" в Центр администрирования Microsoft 365, выберите доменное имя и нажмите кнопку "Удалить".

    Снимок экрана: параметр удаления доменного имени из Microsoft 365.

  5. Если у вас есть пользователи или группы в Microsoft 365, которые ссылаются на удаленное доменное имя, то их необходимо переименовать, используя домен .onmicrosoft.com. Если принудительно удалить доменное имя, то все пользователи переименовываются автоматически (в этом примере — на user@fourthcoffeexyz.onmicrosoft.com).

  6. Войдите в Центр администрирования Microsoft Entra в качестве глобального администратора.

  7. В поле поиска в верхней части страницы найдите доменные имена.

  8. Выберите +Добавить имена личного домена, а затем добавьте доменное имя. Для проверки владения доменным именем необходимо ввести записи DNS TXT.

    Снимок экрана: домен, проверенный как добавленный в идентификатор Microsoft Entra.

Примечание.

Если доменное имя удаляется, то всем пользователям Power BI или службы Azure Rights Management, у которых есть лицензии, назначенные в организации Microsoft 365, необходимо сохранить свои панели мониторинга. Они должны войти с помощью имени пользователя, такого как user@fourthcoffeexyz.onmicrosoft.com, а не user@fourthcoffee.xyz.

Внешняя передача контроля

Если вы уже управляете организацией со службами Azure или Microsoft 365, вы не можете добавить имя личного домена, если оно уже проверено в другой организации Microsoft Entra. Однако из управляемой организации в Microsoft Entra ID вы можете взять под управление неуправляемую организацию в качестве внешнего администратора. В этой статье описано, как добавить личный домен в идентификатор Microsoft Entra.

При проверке владения доменным именем идентификатор Microsoft Entra удаляет доменное имя из неуправляемой организации и перемещает его в существующую организацию. При внешней смене администратором неуправляемого каталога требуется выполнить тот же процесс проверки DNS с помощью записи TXT, как и при внутренней смене администратором. Разница заключается в том, что с доменным именем также переносятся следующие компоненты:

  • Пользователи
  • Подписки
  • Назначение лицензий

Поддержка внешней смены администратором

Внешняя смена администратором поддерживается следующими веб-службами:

  • Azure Rights Management
  • Exchange Online

Поддерживаемые планы обслуживания:

  • Power Apps (бесплатная версия);
  • Power Automate бесплатная версия
  • RMS для частных лиц;
  • Microsoft Stream;
  • Dynamics 365 (бесплатная пробная версия).

Назначение внешнего администратора не поддерживается ни для одной службы, которая имеет планы обслуживания с включениями SharePoint, OneDrive или Skype для бизнеса, например, через бесплатную подписку на Office.

Примечание.

Поглощение внешних администраторов не поддерживается между облачными средами (например, из коммерческой облачной службы Azure в правительственную облачную службу Azure). В этих сценариях рекомендуется выполнить внешний захват администрирования в другом коммерческом арендаторе Azure, а затем удалить домен из этого арендатора, чтобы успешно подтвердить домен в целевом государственном арендаторе Azure.

Дополнительные сведения о службе RMS для частных лиц

Что касается RMS для частных лиц, то для неуправляемой организации, находящейся в том же регионе, что и принадлежащая вам организация, автоматически созданный ключ организации Azure Information Protection и шаблоны защиты по умолчанию перемещаются вместе с доменным именем.

Ключ и шаблоны не перемещаются, если неуправляемая организация находится в другом регионе. Например, если неуправляемая организация находится в Европе, а принадлежащая вам организация — в Северной Америке.

Хотя RMS для частных лиц предназначен для поддержки проверки подлинности Microsoft Entra для открытия защищенного содержимого, он не запрещает пользователям также защищать содержимое. Если пользователи защитили контент с помощью подписки на RMS для физических лиц, а ключ и шаблоны не были перемещены, этот контент недоступен после перехвата домена.

Командлеты PowerShell для параметра ForceTakeover

Вы можете видеть использование этих командлетов в примере PowerShell.

Примечание.

Модули Azure AD и MSOnline PowerShell устарели с 30 марта 2024 г. Дополнительные сведения см. в обновлении об отмене. После этой даты поддержка этих модулей ограничена поддержкой миграции в пакет SDK Для Microsoft Graph PowerShell и исправления безопасности. Устаревшие модули будут продолжать функционировать до 30 марта 2025 года.

Рекомендуется перейти к использованию Microsoft Graph PowerShell для взаимодействия с Microsoft Entra ID (ранее Azure AD). Часто задаваемые вопросы о миграции см. в разделе "Вопросы и ответы о миграции". Примечание. Версии 1.0.x MSOnline могут столкнуться с перебоями после 30 июня 2024 г.

командлет Использование
connect-mggraph При появлении запроса войдите в вашу управляемую организацию.
get-mgdomain Показывает доменные имена, связанные с текущей организацией.
new-mgdomain -BodyParameter @{Id="<your domain name>"; IsDefault="False"} Добавляет доменное имя в организацию как непроверенное (проверка DNS еще не была выполнена).
get-mgdomain Доменное имя теперь включено в список доменных имен, связанных с управляемой организацией, но указано как непроверенное.
Get-MgDomainVerificationDnsRecord Предоставляет сведения, которые можно поместить в новую запись типа TXT DNS для домена (MS=xxxxx). Проверка может выполняться не сразу, так как записи типа TXT требуется некоторое время на распространение. Поэтому подождите несколько минут, прежде чем применять параметр -ForceTakeover.
confirm-mgdomain –Domainname <domainname> — Если доменное имя по-прежнему не проверено, можно продолжить с параметром -ForceTakeover . Он проверяет, была ли создана запись TXT, и запускает процесс внедрения.
— Параметр -ForceTakeover следует добавлять в командлет только при необходимости принудительного захвата администрирования извне, например, когда неуправляемая организация имеет службы Microsoft 365, блокирующие такой захват.
get-mgdomain Теперь в списке доменов доменное имя отображается как проверенное.

Примечание.

Неуправляемая организация Microsoft Entra удаляется через 10 дней после применения опции внешнего принудительного овладения.

Пример с PowerShell

  1. Подключитесь к Microsoft Graph с помощью учетных данных, которые использовались для ответа на самообслуживаемое предложение.

    Install-Module -Name Microsoft.Graph

Connect-MgGraph -Scopes "User.ReadWrite.All","Domain.ReadWrite.All"

  2. Получение списка доменов:

    Get-MgDomain

  3. Введите командлет New-MgDomain, чтобы добавить новый домен:

    New-MgDomain -BodyParameter @{Id="<your domain name>"; IsDefault="False"}

  4. Выполните командлет Get-MgDomainVerificationDnsRecord для просмотра DNS-задачи.

    (Get-MgDomainVerificationDnsRecord -DomainId "<your domain name>" | ?{$_.recordtype -eq "Txt"}).AdditionalProperties.text

    Например:

    (Get-MgDomainVerificationDnsRecord -DomainId "contoso.com" | ?{$_.recordtype -eq "Txt"}).AdditionalProperties.text

  5. Скопируйте значение (вызов), которое возвращает эта команда. Например:

    MS=ms18939161

  6. В пространстве общедоступных имен DNS создайте DNS-запись TXT, содержащую значение, скопированное на предыдущем шаге. Имя для данной записи — это имя родительского домена, поэтому при создании этой записи ресурса с помощью роли DNS из Windows Server оставьте поле "Имя записи" пустым и просто вставьте это значение в текстовое поле.

  7. Выполните командлет Confirm-MgDomain, чтобы проверить проблему:

    Confirm-MgDomain -DomainId "<your domain name>"

    Например:

    Confirm-MgDomain -DomainId "contoso.com"

Примечание.

Командлет Confirm-MgDomain обновляется. Вы можете отслеживать обновления в статье командлета Confirm-MgDomain.

Успешный вызов возвращает вас в строку запроса без ошибки.

Следующие шаги