Aracılığıyla paylaş

Yönetilmeyen bir dizini Microsoft Entra Id'de yönetici olarak devralma

  • Makale

Bu makalede, Microsoft Entra Id'de yönetilmeyen bir dizinde DNS etki alanı adını devralmanın iki yolu açıklanmaktadır. Bir self servis kullanıcısı Microsoft Entra Id kullanan bir bulut hizmetine kaydolduğunda, e-posta etki alanı temelinde yönetilmeyen bir Microsoft Entra dizinine eklenir. Bir hizmete self servis veya "viral" kaydolma hakkında daha fazla bilgi için bkz. Microsoft Entra ID için self servis kaydolma nedir?

Yönetilmeyen bir dizini nasıl devralmak istediğinize karar verin

Yönetici devralma süreci sırasında, Microsoft Entra ID’ye özel bir alan adı ekleme bölümünde belirtildiği gibi sahipliğinizi kanıtlayabilirsiniz. Sonraki bölümlerde, yönetici deneyimi daha ayrıntılı şekilde açıklanmaktadır, ancak bir özeti aşağıda verilmiştir:

  • Yönetilmeyen bir dizinin "iç" yönetici devralımı gerçekleştirdiğinizde, size yönetilmeyen dizinin Genel Yönetici rolü atanır. Hiçbir kullanıcı, etki alanı veya hizmet planı, yönettiğiniz başka bir dizine geçirilmez.

  • Yönetilmeyen bir dizinin dış yönetici devralması gerçekleştirdiğinizde, yönetilmeyen dizinin DNS etki alanı adını yönetilen Azure dizininize eklersiniz. Etki alanı adını eklediğinizde, kullanıcıların hizmetlere kesintisiz olarak erişmeye devam edebilmesi için yönetilen dizininizde kullanıcıların kaynaklara eşlemesi oluşturulur.

Not

"Dâhili" yönetici devralma işlemi, yönetilmeyen dizine bir düzeyde erişiminiz olmasını gerektirir. Devralmaya çalıştığınız dizine erişemiyorsanız, "dış" yönetici devralma işlemigerçekleştirmeniz gerekir.

İç yönetici devralması

Microsoft 365 gibi SharePoint ve OneDrive içeren bazı ürünler dış devralma işlemini desteklemez. Senaryonuz buysa veya yöneticiyseniz ve self servis kaydolma kullanan kullanıcılar tarafından oluşturulan yönetilmeyen veya "gölge" bir Microsoft Entra kuruluşunu devralmak istiyorsanız, bunu iç yönetici devralma işlemiyle yapabilirsiniz.

  1. Power BI'a kaydolarak yönetilmeyen kuruluşta bir kullanıcı bağlamı oluşturun. Örneğin kolaylık sağlaması için bu adımlarda bu yol varsayılır.

  2. Power BI sitesini açın ve Ücretsiz Başlat'ı seçin. Kuruluş için etki alanı adını kullanan bir kullanıcı hesabı girin; örneğin, admin@fourthcoffee.xyz. Doğrulama kodunu girdikten sonra onay kodu için e-postanızı kontrol edin.

  3. Power BI'dan gelen onay e-postasında Evet, o benim'i seçin.

  4. Power BI kullanıcı hesabıyla Microsoft 365 yönetim merkezi oturum açın.

    Microsoft 365 Hoş Geldiniz sayfasının ekran görüntüsü.

  5. Yönetilmeyen kuruluşta zaten doğrulanmış olan etki alanı adının yöneticisi olmanız için size talimat veren bir ileti alırsınız. Evet, yönetici olmak istiyorum'ı seçin.

    Yönetici Ol için ekran görüntüsü.

  6. Alan adı kayıt şirketinizde fourthcoffee.xyz alan adının sahibi olduğunuzu kanıtlamak için TXT kaydını ekleyin. Bu örnekte GoDaddy.com.

    Etki alanı adı için TXT kaydı ekle'nin ekran görüntüsü.

DNS TXT kayıtları etki alanı adı kayıt şirketinizde doğrulandığında, Microsoft Entra kuruluşunu yönetebilirsiniz.

Önceki adımları tamamladığınızda, artık Microsoft 365'teki Fourth Coffee kuruluşunun Genel Yöneticisi olursunuz. Etki alanı adını diğer Azure hizmetlerinizle tümleştirmek için Microsoft 365'ten kaldırabilir ve Azure'da farklı bir yönetilen kuruluşa ekleyebilirsiniz.

Microsoft Entra ID'de yönetilen bir kuruluşa alan adını ekleme

  1. Microsoft 365 Yönetim Merkezi'ni açın.

  2. Kullanıcılar sekmesine tıklayın ve özel etki alanı adını kullanmayan bir adı olan yeni bir kullanıcı hesabı oluşturun.

  3. Yeni kullanıcı hesabının Microsoft Entra kuruluşu için Genel Yönetici ayrıcalıklarına sahip olduğundan emin olun.

  4. Microsoft 365 yönetim merkezi Etki Alanları sekmesini açın, etki alanı adını seçin ve Kaldır'ı seçin.

    Microsoft 365'ten etki alanı adını kaldırma seçeneğini gösteren ekran görüntüsü.

  5. Microsoft 365'te kaldırılan etki alanı adına başvuran kullanıcılarınız veya gruplarınız varsa, bunların .onmicrosoft.com etki alanı olarak yeniden adlandırılması gerekir. Domain adını zorla silerseniz, bu örnekte user@fourthcoffeexyz.onmicrosoft.com tüm kullanıcılar otomatik olarak yeniden adlandırılır.

  6. Microsoft Entra yönetim merkezinde Genel Yönetici olarak oturum açın.

  7. Sayfanın üst kısmındaki arama kutusunda Etki Alanı Adları'nı arayın.

  8. + Özel etki alanı adları ekle'yi seçin, ardından etki alanı adını ekleyin. Etki alanı adının sahipliğini doğrulamak için DNS TXT kayıtlarını girmeniz gerekir.

    Microsoft Entra Id'ye eklendiği doğrulanan etki alanını gösteren ekran görüntüsü.

Not

Microsoft 365 kuruluşunda atanmış lisansları olan tüm Power BI veya Azure Rights Management hizmeti kullanıcıları, etki alanı adı kaldırılırsa panolarını kaydetmelidir. user@fourthcoffeexyz.onmicrosoft.com gibi bir kullanıcı adıyla, user@fourthcoffee.xyz yerine oturum açmaları gerekir.

Harici yönetici devralması

Bir kuruluşu zaten Azure hizmetleri veya Microsoft 365 ile yönetiyorsanız, başka bir Microsoft Entra kuruluşunda zaten doğrulanmışsa özel etki alanı adı ekleyemezsiniz. Ancak, Microsoft Entra ID'deki yönetilen kuruluşunuzdan yönetilmeyen bir kuruluşu dış yönetici devralma olarak devralabilirsiniz. Genel prosedür, Microsoft Entra ID'ye özel etki alanı ekleme makalesini izler.

Etki alanı adının sahipliğini doğruladığınızda, Microsoft Entra ID yönetilmeyen kuruluştan etki alanı adını kaldırır ve mevcut kuruluşunuza taşır. Yönetilmeyen bir dizinin dış yönetici devralması, iç yönetici devralma işlemiyle aynı DNS TXT doğrulama işlemini gerektirir. Aradaki fark, aşağıdaki unsurların etki alanı adıyla birlikte de taşınmasıdır:

  • Kullanıcılar
  • Abonelikler
  • Lisans atamaları

Dış yönetici devralma için destek

Aşağıdaki çevrimiçi hizmetler tarafından dış yönetici devralma desteklenir:

  • Azure Hak Yönetimi
  • Exchange Online

Desteklenen hizmet planları şunlardır:

  • Power Apps Ücretsiz
  • Power Automate Ücretsiz
  • Kişiler için RMS
  • Microsoft Stream
  • Dynamics 365 ücretsiz deneme sürümü

Harici yönetici devralma, SharePoint, OneDrive veya Skype Kurumsal içeren hizmet planlarına sahip herhangi bir hizmet için desteklenmemektedir; örneğin, ücretsiz bir Office aboneliği aracılığıyla.

Not

Bulut sınırları arasında (örneğin, Azure Ticari'den Azure Kamu'ya) dış yönetici devralma desteklenmez. Bu senaryolarda, dış yönetici devralma işlemini başka bir Azure Ticari kiracısına gerçekleştirmeniz ve ardından etki alanını bu kiracıdan silip hedef Azure Kamu kiracıya başarıyla doğrulamanız önerilir.

Kişiler için RMS hakkında daha fazla bilgi

Kişiler için RMS, yönetilmeyen kuruluş sahibi olduğunuz kuruluşla aynı bölgede olduğunda, otomatik olarak oluşturulan Azure Information Protection kuruluş anahtarı ve varsayılan koruma şablonları da etki alanı adıyla birlikte taşınır.

Yönetilmeyen kuruluş farklı bir bölgede olduğunda anahtar ve şablonları taşınmaz. Örneğin, yönetilmeyen kuruluş Avrupa'daysa ve sahip olduğunuz kuruluş Kuzey Amerika.

Kişiler için RMS, korumalı içeriği açmak için Microsoft Entra kimlik doğrulamasını destekleyecek şekilde tasarlanmış olsa da, kullanıcıların içeriği de korumasını engellemez. Kullanıcılar kişiler için RMS aboneliğiyle içerik koruduysa ve anahtar ve şablonlar taşınmadıysa, etki alanı devraldıktan sonra bu içeriğe erişilemez.

ForceTakeover seçeneği için PowerShell cmdlet'leri

PowerShell örneğinde kullanılan bu cmdlet'leri görebilirsiniz.

Not

Azure AD ve MSOnline PowerShell modülleri 30 Mart 2024 itibarıyla kullanım dışı bırakılmıştır. Daha fazla bilgi edinmek için kullanımdan kaldırma güncelleştirmesini okuyun. Bu tarihten sonra bu modüllere yönelik destek, Microsoft Graph PowerShell SDK'sına geçiş yardımı ve güvenlik düzeltmeleriyle sınırlıdır. Kullanım dışı bırakılan modüller Mart 30 2025'e kadar çalışmaya devam edecektir.

Microsoft Entra ID (eski adıyla Azure AD) ile etkileşime geçmek için Microsoft Graph PowerShell'e geçiş yapmanızı öneririz. Sık sorulan geçiş soruları için Bkz. Geçiş hakkında SSS. Not: MSOnline'ın 1.0.x sürümleri 30 Haziran 2024'den sonra kesintiye neden olabilir.

cmdlet Kullanım
connect-mggraph Sizden istendiğinde lütfen yönetilen kuruluşunuzda oturum açın.
get-mgdomain Geçerli kuruluşla ilişkili etki alanı adlarınızı gösterir.
new-mgdomain -BodyParameter @{Id="<your domain name>"; IsDefault="False"} Alan adını kuruluşa Doğrulanmamış olarak ekler (DNS doğrulaması henüz yapılmamıştır).
get-mgdomain Etki alanı adı artık yönetilen kuruluşunuzla ilişkili etki alanı adları listesine eklenir, ancak Onaylanmamış olarak listelenir.
Get-MgDomainVerificationDnsRecord Alan adı (MS=xxxxx) için yeni DNS TXT kaydına yerleştirilecek bilgileri sunar. TXT kaydının yayılması biraz zaman aldığından doğrulama hemen gerçekleşmeyebilir, bu nedenle -ForceTakeover seçeneğini dikkate almadan önce birkaç dakika bekleyin.
confirm-mgdomain –Domainname <domainname> - Etki alanı adınız hala doğrulanmamışsa, -ForceTakeover seçeneğini kullanarak devam edebilirsiniz. TXT kaydının oluşturulduğunu doğrular ve devralma işlemini başlatıyor.
-ForceTakeover seçeneği, yönetilmeyen kuruluşun devralma işlemini engelleyen Microsoft 365 hizmetleri gibi durumlarda, dış bir yönetici devralması zorunlu kılındığında cmdlet'e eklenmelidir.
get-mgdomain Etki alanı listesinde artık etki alanı adı Doğrulandı olarak gösterilir.

Not

Yönetilmeyen Microsoft Entra kuruluşu, dış devralma gücü seçeneğini kullandıktan 10 gün sonra silinir.

PowerShell örneği

  1. Self servis teklifine yanıt vermek için kullanılan kimlik bilgilerini kullanarak Microsoft Graph'a bağlanın:

    Install-Module -Name Microsoft.Graph

Connect-MgGraph -Scopes "User.ReadWrite.All","Domain.ReadWrite.All"

  2. Etki alanlarının listesini alın:

    Get-MgDomain

  3. Yeni bir etki alanı eklemek için New-MgDomain cmdlet'ini çalıştırın:

    New-MgDomain -BodyParameter @{Id="<your domain name>"; IsDefault="False"}

  4. DNS sınamasını görüntülemek için Get-MgDomainVerificationDnsRecord cmdlet'ini çalıştırın:

    (Get-MgDomainVerificationDnsRecord -DomainId "<your domain name>" | ?{$_.recordtype -eq "Txt"}).AdditionalProperties.text

    Örneğin:

    (Get-MgDomainVerificationDnsRecord -DomainId "contoso.com" | ?{$_.recordtype -eq "Txt"}).AdditionalProperties.text

  5. Bu komuttan döndürülen değeri (sınama) kopyalayın. Örneğin:

    MS=ms18939161

  6. Genel DNS ad alanınızda, önceki adımda kopyaladığınız değeri içeren bir DNS txt kaydı oluşturun. Bu kaydın adı ana etki alanının adıdır, bu nedenle eğer bu kaynak kaydını Windows Server'dan DNS rolünü kullanarak oluşturuyorsanız, Kayıt adı'nı boş bırakın ve değeri Metin kutusuna yapıştırın.

  7. Sınamayı doğrulamak için Confirm-MgDomain cmdlet'ini çalıştırın:

    Confirm-MgDomain -DomainId "<your domain name>"

    Örneğin:

    Confirm-MgDomain -DomainId "contoso.com"

Not

Confirm-MgDomain Cmdlet güncelleniyor. Güncellemeler için Confirm-MgDomain Cmdlet makalesini izleyebilirsiniz.

Başarılı bir sınama sizi hatasız olarak komut istemine döndürür.

Sonraki adımlar