以 Microsoft Entra ID 中的系統管理員身分接管非受控目錄
本文說明兩種接管 Microsoft Entra ID 之非受控目錄中 DNS 網域名稱的方式。 當自助使用者註冊使用 Microsoft Entra ID 的雲端服務時,系統會根據其電子郵件網域將其新增至非受控 Microsoft Entra 目錄。 若要深入了解自助式或「病毒式」服務註冊,請參閱什麼是 Microsoft Entra ID 的自助式註冊?
決定要如何接管非受控目錄
在管理員接管的過程中,您可以依照將自訂網域名稱新增到 Microsoft Entra ID 中所述,證明擁有權。 下一節會更詳細地說明管理員體驗,但其摘要如下:
當您執行非受控目錄的 「內部」系統管理員接管 時,您獲指派非受控目錄 全域管理員 角色。 系統不會將任何使用者、網域或服務方案移轉至您所管理的其他目錄。
當您執行非受管目錄的 「外部」系統管理員接管 時,您會將非受管目錄的 DNS 網域名稱新增至您的受管 Azure 目錄。 當您新增網域名稱時,系統會在受控目錄中建立使用者與資源的對應,讓使用者可以繼續存取服務而不會中斷。
注意
「內部」系統管理員接管要求您對非受控目錄具有一定程度的存取權。 如果您無法存取嘗試接管的目錄,您必須執行 「外部」系統管理員接管。
內部管理員接管
有些包含 SharePoint 和 OneDrive 的產品 (例如 Microsoft 365) 並不支援外部接管。 如果您的情況與此相符,或者您擔任系統管理員,而且想要接管使用自助式註冊之使用者所建立的非受控或「影子」Microsoft Entra 組織,則可以藉由內部系統管理員接管來執行此作業。
透過註冊 Power BI,在未受管理的組織中建立使用者上下文。 為了便於範例說明,這些步驟會假設該路徑。
開啟 Power BI 網站,然後選取 [免費開始]。 輸入使用組織網域名稱的使用者帳戶,例如
admin@fourthcoffee.xyz。 輸入驗證碼之後,請查看您的電子郵件是否有確認碼。在來自 Power BI 的確認電子郵件中,選取 [是,這是我]。
使用 Power BI 使用者帳戶來登入 Microsoft 365 系統管理中心。
您會收到一則訊息,指示您成為已在非受控組織中驗證的網域名稱的管理員。 請選取 [是,我想要成為管理員]。
在您的網域名稱登錄器新增 TXT 記錄,以證明您擁有網域名稱 fourthcoffee.xyz。 在此範例中為 GoDaddy.com。
在您的網域名稱註冊機構驗證 DNS TXT 記錄之後,您就可以管理 Microsoft Entra 組織。
完成上述步驟之後,您現在已成為 Microsoft 365 中 Fourth Coffee 組織的全域系統管理員。 若要將網域名稱與您的其他 Azure 服務整合,您可以將其從 Microsoft 365 中移除,然後新增至 Azure 中其他的受控組織。
將網域名稱新增至 Microsoft Entra ID 中的受控組織
選取 [使用者] 索引標籤,然後使用 user@fourthcoffeexyz.onmicrosoft.com 這類未使用自訂網域名稱的名稱來建立新使用者帳戶。
確定新使用者帳戶具有 Microsoft Entra 組織的全域系統管理員權限。
在 Microsoft 365 系統管理中心開啟 [網域] 索引標籤,選取網域名稱,然後選取 [移除]。
如果您在 Microsoft 365 中有任何使用者或群組參考已移除的網域名稱,就必須將他們重新命名為 .onmicrosoft.com 網域。 如果您強制刪除網域名稱,系統就會自動將所有使用者重新命名,在此範例中是重新命名為 user@fourthcoffeexyz.onmicrosoft.com。
以全域管理員 (部分機器翻譯) 的身分登入 Microsoft Entra 系統管理中心。
在頁面頂端的搜尋方塊中,搜尋 [網域名稱]。
選取 [+新增自訂網域名稱],然後新增網域名稱。 您必須輸入 DNS TXT 記錄來驗證網域名稱所有權。
備註
任何 Power BI 或 Azure Rights Management 服務使用者只要在 Microsoft 365 組織中已獲指派授權,如果將網域名稱移除,就必須儲存其儀表板。 他們必須使用 user@fourthcoffeexyz.onmicrosoft.com 這類使用者名稱而不是 user@fourthcoffee.xyz 來進行登入。
外部管理員接管
如果您已經使用 Azure 服務或 Microsoft 365 來管理組織,將無法新增自訂網域名稱,如果該網域名稱已經在另一個 Microsoft Entra 組織中經過驗證。 不過,您可以從 Microsoft Entra ID 中的受控組織,以外部管理員接管方式來接管非受控組織。 一般程序會按照將自訂網域名稱新增至 Microsoft Entra ID 一文所述。
驗證網域名稱的擁有權時,Microsoft Entra ID 會將網域名稱從非受控組織中移除,然後移至您現有的組織中。 非受控目錄之外部管理員接管所需的 DNS TXT 驗證程序與內部管理員接管相同。 差異在於下列項目也會隨著網域名稱一起移過去:
- 使用者
- 訂用帳戶
- 授權分配
對外部管理員接管的支援
以下是支援外部管理員接管的線上服務:
- Azure Rights Management
- Exchange Online
支援的服務方案包括:
- Power Apps 免費版
- Power Automate 免費
- 個人版 RMS
- Microsoft Stream
- Dynamics 365 免費試用版
服務方案中包括 SharePoint、OneDrive 或商務用 Skype (例如透過 Office 免費訂閱) 的任何服務,都不支援外部管理員接管。
注意
跨雲端界限的系統(例如從 Azure Commercial 至 Azure Government)不支援外部系統管理員的接管。 在這些情境中,建議您進行外部系統管理員接管,轉移至另一個 Azure 商用租用戶,接著從此租用戶中刪除該網域,以便您能成功驗證並進入目標 Azure 政府租用戶。
更多關於個人版 RMS 的資訊
對於個人版 RMS,當非受控組織與您擁有的組織位於相同區域中時,自動建立的 Azure 資訊保護組織金鑰和預設保護範本會與網域名稱一起額外移動。
當非受控組織位於不同國家/地區時,不會移動金鑰和範本。 例如,如果非受控組織位於歐洲,而您擁有的組織位於北美洲。
雖然個人版 RMS 是針對支援 Microsoft Entra 驗證來開啟受保護內容所設計,但並不會阻止使用者同時保護內容。 如果使用者的確使用 RMS 個人訂閱來保護內容,且金鑰和範本未移轉,則在網域接管之後將無法存取該內容。
PowerShell Cmdlet 用於 ForceTakeover 選項
您可以在 PowerShell 範例中看到這些 Cmdlets 的使用。
注意
自 2024 年 3 月 30 日起,Azure AD 和 MSOnline PowerShell 模組已被淘汰。 若要深入了解,請閱讀淘汰更新。 在此日期之後,對這些模組的支援僅限於對 Microsoft Graph PowerShell SDK 的移轉協助和安全性修正。 淘汰的模組將繼續運作至 2025 年 3 月 30 日。
我們建議移轉至 Microsoft Graph PowerShell 以與 Microsoft Entra ID (以前稱為 Azure AD) 互動。 如需了解常見的移轉問題,請參閱移轉常見問題。 注意:MSOnline 1.0.x 版可能會在 2024 年 6 月 30 日之後發生中斷。
| Cmdlet | 使用方式 |
|---|---|
connect-mggraph |
出現提示時,登入您的受控組織。 |
get-mgdomain |
顯示與目前組織相關聯的網域名稱。 |
new-mgdomain -BodyParameter @{Id="<your domain name>"; IsDefault="False"} |
將網域名稱以「未驗證」狀態 (尚未執行任何 DNS 驗證) 新增至組織。 |
get-mgdomain |
網域名稱現在包含在與受控組織關聯的網域名稱清單中,但其狀態會是 [未驗證]。 |
Get-MgDomainVerificationDnsRecord |
提供要放到網域之新 DNS TXT 記錄中的資訊 (MS=xxxxx)。 驗證可能不會立即進行,因為 TXT 記錄需要一些時間傳播,所以請先稍候幾分鐘,再考慮使用 -ForceTakeover 選項。 |
confirm-mgdomain –Domainname <domainname> |
- 如果網域名稱仍未驗證,您可以使用 -ForceTakeover 選項繼續進行。 它會驗證是否已建立 TXT 記錄,然後啟動接管程序。 - 應該只有在強制執行外部管理員接管時(例如當非受控組織的 Microsoft 365 服務封鎖接管時),才將 -ForceTakeover 選項新增至 cmdlet。 |
get-mgdomain |
網域清單現在會將網域名稱顯示為 [已驗證]。 |
注意
執行「外部接管強制選項」後,未受管理的 Microsoft Entra 組織將在 10 天內被刪除。
PowerShell 範例
使用用來回應自助式服務提供所用的認證連線至 Microsoft Graph:
Install-Module -Name Microsoft.Graph Connect-MgGraph -Scopes "User.ReadWrite.All","Domain.ReadWrite.All"取得網域清單:
Get-MgDomain執行 New-MgDomain Cmdlet 以新增網域:
New-MgDomain -BodyParameter @{Id="<your domain name>"; IsDefault="False"}執行 Get-MgDomainVerificationDnsRecord Cmdlet 來檢視 DNS 挑戰:
(Get-MgDomainVerificationDnsRecord -DomainId "<your domain name>" | ?{$_.recordtype -eq "Txt"}).AdditionalProperties.text例如:
(Get-MgDomainVerificationDnsRecord -DomainId "contoso.com" | ?{$_.recordtype -eq "Txt"}).AdditionalProperties.text複製此命令所返回的值(即挑戰)。 例如:
MS=ms18939161在公用 DNS 命名空間中,建立 DNS txt 記錄,其中包含您在上一個步驟中複製的值。 此記錄的名稱是父系網域的名稱,因此如果您使用 Windows Server 的 DNS 角色來建立此資源記錄,請將記錄名稱留白,而只要將此值貼到文字方塊中即可。
執行 Confirm-MgDomain Cmdlet 來驗證挑戰:
Confirm-MgDomain -DomainId "<your domain name>"例如:
Confirm-MgDomain -DomainId "contoso.com"
注意
正在更新「Confirm-MgDomain Cmdlet」命令。 您可以監視 Confirm-MgDomain Cmdlet 一文以確認是否有更新。
成功挑戰會讓您回到提示符,而不會產生錯誤。