Správa vlastních názvů domén ve vašem ID Microsoft Entra

Název domény je důležitou součástí identifikátoru pro prostředky v mnoha nasazeních Microsoft Entra. Je součástí uživatelského jména nebo e-mailové adresy uživatele, části adresy skupiny a někdy je součástí identifikátoru URI ID aplikace pro aplikaci. Prostředek v MICROSOFT Entra ID může obsahovat název domény vlastněný organizací Microsoft Entra (někdy označovanou jako tenant), která prostředek obsahuje. Globální správci a správci názvů domén můžou spravovat domény v Microsoft Entra ID.

Nastavení primárního názvu domény pro vaši organizaci Microsoft Entra

Tip

Postup v tomto článku se může mírně lišit v závislosti na portálu, od který začínáte.

Po vytvoření organizace je také primárním názvem domény počáteční název domény, například contoso.onmicrosoft.com. Primární doména je výchozí název domény nového uživatele při vytváření nového uživatele. Nastavení primárního názvu domény zjednodušuje proces pro správce, aby na portálu vytvořil nové uživatele. Změna názvu primární domény:

  1. Přihlaste se do Centra pro správu Microsoft Entra jako globální správce.

  2. Vyberte Microsoft Entra ID.

  3. Vyberte Názvy vlastních domén.

    Snímek obrazovky s otevřením stránky pro správu uživatelů

  4. Vyberte název domény, která má být primární doménou.

  5. Vyberte příkaz Nastavit jako primární . Po zobrazení výzvy potvrďte svou volbu.

    Snímek obrazovky s vytvářením názvu domény jako primárního

Primární název domény pro vaši organizaci můžete změnit tak, aby byl jakýkoli ověřený vlastní doména, která není federovaná. Změnou primární domény pro vaši organizaci nedojde ke změně uživatelských jmen stávajících uživatelů.

Přidání vlastních názvů domén do organizace Microsoft Entra

Můžete přidat až 5 000 spravovaných názvů domén. Pokud konfigurujete všechny domény pro federaci pomocí místní Active Directory, můžete v každé organizaci přidat až 2500 názvů domén.

Přidání subdomén vlastní domény

Pokud chcete do vaší organizace přidat název subdomény, například europe.contoso.com, měli byste nejprve přidat a ověřit kořenovou doménu, například contoso.com. Subdoména je automaticky ověřena id Microsoft Entra. Pokud chcete zjistit, že je přidaná subdoména ověřená, aktualizujte seznam domén v prohlížeči.

Pokud jste už přidali contoso.com doménu do jedné organizace Microsoft Entra, můžete také ověřit subdoménu europe.contoso.com v jiné organizaci Microsoft Entra. Při přidávání subdomény se zobrazí výzva k přidání záznamu TXT v poskytovateli hostingu DNS.

Co dělat, když změníte registrátora DNS pro vlastní název domény

Pokud změníte registrátora DNS, v Microsoft Entra ID nejsou žádné další úlohy konfigurace. Název domény můžete dál používat s ID Microsoft Entra bez přerušení. Pokud používáte vlastní název domény s Microsoftem 365, Intune nebo jinými službami, které spoléhají na vlastní názvy domén v Microsoft Entra ID, přečtěte si dokumentaci k těmto službám.

Odstranění vlastního názvu domény

Vlastní název domény můžete z Microsoft Entra ID odstranit, pokud vaše organizace již tento název domény nepoužívá nebo pokud potřebujete tento název domény použít pro jinou organizaci Microsoft Entra.

Pokud chcete odstranit vlastní název domény, musíte nejprve zajistit, aby žádné prostředky ve vaší organizaci nespoléhaly na název domény. Název domény z vaší organizace nejde odstranit, pokud:

  • Každý uživatel má uživatelské jméno, e-mailovou adresu nebo proxy adresu, která obsahuje název domény.
  • Každá skupina má e-mailovou adresu nebo proxy adresu, která obsahuje název domény.
  • Každá aplikace ve vašem ID Microsoft Entra má identifikátor URI ID aplikace, který obsahuje název domény.

Před odstraněním vlastního názvu domény musíte změnit nebo odstranit jakýkoli takový prostředek ve vaší organizaci Microsoft Entra.

Poznámka:

Pokud chcete odstranit vlastní doménu, použijte účet globálního správce, který je založený na výchozí doméně (onmicrosoft.com) nebo jiné vlastní doméně (mydomainname.com).

Možnost ForceDelete

Název domény můžete vynutit na webu Azure Portal nebo pomocí rozhraní Microsoft Graph API. Tyto možnosti používají asynchronní operaci a aktualizují všechny odkazy z vlastního názvu domény, například "user@contoso.com" na počáteční výchozí název domény, například "user@contoso.onmicrosoft.com.

Pokud chcete volat ForceDelete na webu Azure Portal, musíte zajistit, aby v Centru pro správu Exchange (EAC) existovalo méně než 1000 odkazů na název domény a všechny odkazy, ve kterých exchange je služba zřizování, se musí aktualizovat nebo odebrat. To zahrnuje skupiny zabezpečení s podporou pošty Exchange a distribuované seznamy. Další informace naleznete v tématu Odebrání skupin zabezpečení s podporou pošty. Operace ForceDelete také nebude úspěšná, pokud platí některý z následujících způsobů:

  • Koupili jste doménu prostřednictvím služeb předplatného domény Microsoftu 365.
  • Jste partner, který spravuje jménem jiné organizace zákazníka.

V rámci operace ForceDelete se provádějí následující akce:

  • Přejmenuje hlavní název uživatele (UPN), EmailAddress a ProxyAddress uživatelů s odkazy na název vlastní domény na počáteční výchozí název domény.
  • Přejmenuje EmailAddress skupin s odkazy na název vlastní domény na počáteční výchozí název domény.
  • Přejmenuje identifikátoryURI aplikací s odkazy na název vlastní domény na počáteční výchozí název domény.
  • Zakáže uživatelské účty ovlivněné možností ForceDelete v Centru pro správu Azure/Microsoft Entra a volitelně i při použití rozhraní Graph API.

Pokud se vrátí chyba:

  • Počet objektů, které se mají přejmenovat, je větší než 1 000.
  • Jednou z aplikací, které se mají přejmenovat, je víceklientová aplikace.

Osvědčené postupy pro hygienu domény

Použijte důvěryhodného registrátora, který poskytuje oznámení o změnách názvu domény, vypršení platnosti registrace, období odkladu pro domény s vypršenou platností a udržuje vysoké standardy zabezpečení pro řízení, kdo má přístup ke konfiguraci názvu domény a záznamům TXT. Udržujte názvy domén aktuální u svého registrátora a ověřte přesnost záznamů TXT.

  • Pokud záměrně vyprší platnost názvu domény nebo přepnete vlastnictví někomu jinému (odděleně od vašeho tenanta Microsoft Entra), měli byste ho před vypršením platnosti nebo převodem odstranit z tenanta Microsoft Entra.
  • Pokud povolíte vypršení platnosti názvu domény, pokud ho budete moct znovu aktivovat nebo znovu získat kontrolu nad ním, pečlivě zkontrolujte všechny záznamy TXT u registrátora a ujistěte se, že nedošlo k manipulaci s vaším názvem domény.
  • Pokud nemůžete okamžitě znovu aktivovat nebo znovu získat kontrolu nad názvem domény, měli byste ho odstranit ze svého tenanta Microsoft Entra. Nečtěte ani znovu ověřte, dokud nebudete schopni přeložit vlastnictví názvu domény a ověřit správnost celého záznamu TXT.

Poznámka:

Microsoft nepovolí ověření názvu domény s více než jedním tenantem Microsoft Entra. Jakmile odstraníte název domény z vašeho tenanta, nebudete ho moct znovu přidat nebo znovu ověřit u vašeho tenanta Microsoft Entra, pokud se následně přidá a ověří s jiným tenantem Microsoft Entra.

Nejčastější dotazy

Otázka: Proč dochází k selhání odstranění domény s chybou, která uvádí, že mám v tomto názvu domény hlavní skupiny Exchange?
A: Některé skupiny, jako jsou skupiny zabezpečení s podporou pošty a distribuované seznamy, jsou v současnosti zřízeny exchangem a je potřeba je ručně vyčistit v Centru pro správu Exchange. ProxyAddresses může přetrvávat, protože závisí na vlastním názvu domény a bude potřeba ho aktualizovat ručně na jiný název domény.

Otázka: Jsem přihlášen jako admin@contoso.com , ale nemůžu odstranit název domény "contoso.com"?
A: Nemůžete odkazovat na vlastní název domény, který se pokoušíte odstranit v názvu uživatelského účtu. Ujistěte se, že účet globálního správce používá počáteční výchozí název domény (.onmicrosoft.com), například admin@contoso.onmicrosoft.com. Přihlaste se pomocí jiného účtu globálního správce, například pomocí jiného vlastního názvu domény, například admin@contoso.onmicrosoft.com "fabrikam.com", kde je admin@fabrikam.comúčet .

Otázka: Klikl jsem na tlačítko Odstranit doménu a zobrazil In Progress stav operace Odstranění. Jak dlouho to trvá? Co se stane, když selže?
A: Operace odstranění domény je asynchronní úloha na pozadí, která přejmenuje všechny odkazy na název domény. Dokončení může trvat až 24 hodin. Pokud odstranění domény selže, ujistěte se, že nemáte:

  • Aplikace nakonfigurované v názvu domény pomocí identifikátoru appIdentifierURI
  • Libovolná skupina s podporou pošty odkazující na název vlastní domény
  • Více než 1000 odkazů na název domény
  • Doména, která se má odebrat jako primární doména vaší organizace

Všimněte si také, že možnost ForceDelete nebude fungovat, pokud doména používá typ federovaného ověřování. V takovém případě musí být uživatelé nebo skupiny v doméně přejmenováni nebo odebráni pomocí místní Active Directory před opětovným odebráním domény. Pokud zjistíte, že některé z podmínek nebyly splněny, ručně vyčistěte odkazy a zkuste doménu odstranit znovu.

Použití PowerShellu nebo rozhraní Microsoft Graph API ke správě názvů domén

Většinu úloh správy názvů domén v Microsoft Entra ID je možné dokončit také pomocí Microsoft PowerShellu nebo programově pomocí rozhraní Microsoft Graph API.

Další kroky