概述
域名是许多Microsoft Entra部署中资源的标识符的重要组成部分。 它是用户的用户名或电子邮件地址的一部分,是组地址的一部分,有时是应用程序的应用 ID URI 的一部分。 在 Microsoft Entra ID 中,资源可以包含由 Microsoft Entra 组织(有时称为租户)拥有的域名,该资源存储在此域名中。 域名称管理员角色是管理Microsoft Entra ID中的域所需的最低特权角色。
为Microsoft Entra组织设置主域名
创建组织时,初始域名(如“contoso.onmicrosoft.com”)也是主要域名。 创建新用户时,主域名是新用户的默认域名。 设置主域名简化了管理员在门户中创建新用户的过程。 若要更改主域名,请执行以下操作:
以至少域名称管理员身份登录到Microsoft Entra 管理中心。
浏览到 Entra ID>域名
选择“自定义域名”。
选择你希望设为主域的域名。
选择“设置主域”命令。 出现提示时确认所做的选择。
可以将组织的主域名更改为任何未进行联合身份验证的已验证的自定义域名。 更改组织的主域不会更改任何现有用户的用户名。
将自定义域名添加到您的微软 Entra 组织
最多可以添加 5000 个托管域名。 如果要将所有域配置为与 本地 Active Directory 联合,则每个组织中最多可以添加 2,500 个域名。
添加自定义域的子域
如果想要将子域名(如“europe.contoso.com”)添加到组织,则应首先添加并验证根域,例如 contoso.com。 Microsoft Entra ID自动验证子域。 若要查看添加的子域是否已验证,请在浏览器中刷新域列表。
如果已将 contoso.com 域添加到一个 Microsoft Entra 组织,则还可以验证不同 Microsoft Entra 组织中的子域 europe.contoso.com。 添加子域时,系统会提示在域名服务器(DNS)托管提供程序中添加 TXT 记录。
发生更改自定义域名 DNS 注册商的情况时该如何应对
如果更改 DNS 注册机构,则Microsoft Entra ID中没有其他配置任务。 你可以继续将域名与Microsoft Entra ID一起使用,而不会中断。 如果将自定义域名用于 Microsoft 365、Intune 或其他依赖于Microsoft Entra ID中自定义域名的服务,请参阅这些服务的文档。
删除自定义域名
如果你的组织不再使用该域名,或者需要将该域名用于其他Microsoft Entra组织,则可以从Microsoft Entra ID中删除自定义域名。
要删除自定义域名,则必须先确保组织中没有任何资源依赖域名。 在以下情况下,无法从组织删除域名:
- 任何用户都有包含域名的用户名、电子邮件地址或代理地址。
- 任何组都有包含域名的电子邮件地址或代理地址。
- Microsoft Entra ID中的任何应用程序都有一个包含域名的应用 ID URI。
必须先更改或删除Microsoft Entra组织中的任何此类资源,然后才能删除自定义域名。
注意
若要删除自定义域,请使用至少具有基于默认域(onmicrosoft.com)或其他自定义域(mydomainname.com)的 域名管理员 角色的帐户。
ForceDelete 选项
在 Azure 门户 中或使用 Microsoft 图形 API 可以 ForceDelete 域名。 这些选项使用异步操作,并将自定义域名(如“user@contoso.com”)的所有引用更新为初始默认域名,例如“user@contoso.onmicrosoft.com”。
若要在 Azure 门户中调用 ForceDelete,必须确保域名引用少于 1,000 个,并且必须在 Exchange 管理中心(EAC)更新或删除Exchange预配服务的任何引用。 这包括Exchange Mail-Enabled安全组和分布式列表。 有关详细信息,请参阅删除已启用邮件的安全组。 此外,如果以下任一条件为真,则 ForceDelete 操作不会成功:
- 您通过 Microsoft 365 域订阅服务购买了一个域名。
- 你是代表其他客户机构进行管理的合作伙伴
在执行 ForceDelete 操作过程中,将执行以下操作:
- 将引用了自定义域名的用户的 UPN、EmailAddress 和 ProxyAddress 重命名为初始默认域名。
- 将引用了自定义域名的组的 EmailAddress 重命名成最初的默认域名。
- 将引用了自定义域名的应用程序的 identifierUris 重命名为初始默认域名。
- 禁用受 Microsoft Entra 管理中心中的 ForceDelete 选项影响的用户帐户,并且在使用 图形 API 时,可以选择禁用这些帐户。
出现以下情况时会返回错误:
- 要重命名的对象数大于 1000
- 要重命名的某个应用程序是多租户应用
域卫生最佳做法
使用信誉良好的注册机构,其为域名更改、注册到期、过期域的宽限期提供充分通知,并保持高安全标准来控制访问域名配置和 TXT 记录的人员。 使域名与注册机构保持最新状态,并验证 TXT 记录的准确性。
- 如果有意过期域名或将所有权移交给其他人(独立于Microsoft Entra租户),则应在过期或转移之前将其从Microsoft Entra租户中删除。
- 如果确实允许域名过期,如果能够重新激活它/重新获得对域名的控制,请仔细查看注册机构的所有 TXT 记录,以确保不会篡改域名。
- 如果无法立即重新激活或重新获得对域名的控制,则应将其从Microsoft Entra租户中删除。 在能够解析域名所有权并验证完整的 TXT 记录是否正确之前,请不要读取/重新验证。
注意
Microsoft 不允许一个域名被多个 Microsoft Entra 租户验证。 删除租户中的域名后,如果该域名随后被另一个 Microsoft Entra 租户添加和验证,则您将无法使用 Microsoft Entra 租户重新添加或重新验证该域名。
常见问题
Q:为什么域删除失败,并出现错误提示我在该域名上有 Exchange 管理的组?
A: 今天,某些组(如 Mail-Enabled 安全组和分布式列表)由Exchange预配,需要在 Exchange 管理中心 中手动清理。 可能存在残留的 ProxyAddresses,它依赖于自定义域名,需要人工将其更新到另一个域名。
问:我以 admin@contoso.com 身份登录,但无法删除域名“contoso.com”,为什么?
答: 您不能在尝试删除的用户帐户名称中引用自定义域名。 确保至少具有 域名管理员 角色的帐户正在使用初始默认域名(.onmicrosoft.com),例如 admin@contoso.onmicrosoft.com。 使用至少具有 域名管理员 角色的其他帐户登录,例如 admin@contoso.onmicrosoft.com ,或其他自定义域名,例如帐户所在的 admin@fabrikam.com“fabrikam.com”。
问:我单击了“删除域”按钮,但看到删除操作的状态为 In Progress。 需要多长时间? 如果该操作失败,会发生什么情况?
答: 域删除操作是一个异步后台任务,会重命名对域名的所有引用。 最长可能需要 24 小时才能完成。 如果域删除失败,请确保不存在以下情况:
- 使用 appIdentifierURI 在域名中配置了应用
- 有任何支持邮件的组引用了自定义域名
- 对域名的引用超过 1000 个
- 要删除的域设置为组织的主要域
另请注意,如果域使用联合身份验证类型,则 ForceDelete 选项将不起作用。 在这种情况下,必须先使用本地 Active Directory重命名或删除域上的用户/组,然后再重新尝试删除域。 如果您发现有任何条件未满足,请手动清理引用,然后再次尝试删除域。
使用 PowerShell 或Microsoft 图形 API管理域名
Microsoft Entra ID中域名的大多数管理任务也可以使用 Microsoft PowerShell 完成,也可以使用Microsoft 图形 API以编程方式完成。