Unterstützung mehrerer Domänen für den Verbund mit Microsoft Entra ID

Die folgende Dokumentation enthält eine Anleitung dazu, wie Sie mehrere Domänen der obersten Ebene und Unterdomänen verwenden, wenn Sie einen Verbund mit Microsoft 365- oder Microsoft Entra-Domänen erstellen.

Unterstützung mehrerer Domänen der obersten Ebene

Zum Konfigurieren eines Verbunds mehrerer Domänen der obersten Ebene mit Microsoft Entra ID sind einige zusätzliche Konfigurationsschritte erforderlich, die beim Herstellen eines Verbunds mit nur einer Domäne der obersten Ebene nicht ausgeführt werden müssen.

Bei einem Verbund einer Domäne mit Microsoft Entra ID werden für die Domäne in Azure mehrere Eigenschaften festgelegt. Eine wichtige Eigenschaft ist die IssuerUri-Eigenschaft. Diese Eigenschaft ist ein URI, der von Microsoft Entra ID zum Identifizieren der Domäne verwendet wird, der das Token zugeordnet ist. Der URI muss nicht in einen bestimmten Wert aufgelöst werden, aber es muss sich um einen gültigen URI handeln. Standardmäßig wird er von Microsoft Entra ID auf den Wert des Bezeichners des Verbunddiensts in Ihrer lokalen AD FS-Konfiguration festgelegt.

Hinweis

Der Bezeichner des Verbunddiensts ist ein URI, mit dem ein Verbunddienst eindeutig identifiziert wird. Der Verbunddienst ist eine Instanz von AD FS, die als Sicherheitstokendienst fungiert.

Sie können das IssuerUri-Element mit dem folgenden PowerShell-Befehl anzeigen: Get-MsolDomainFederationSettings -DomainName <your domain>.

Hinweis

Azure AD- und MSOnline PowerShell-Module sind ab dem 30. März 2024 veraltet. Weitere Informationen finden Sie im Update zur Unterstützungseinstellung. Nach diesem Datum wird die Unterstützung für diese Module auf die Migrationsunterstützung für das Microsoft Graph PowerShell-SDK und Sicherheitskorrekturen beschränkt. Die veralteten Module funktionieren weiterhin bis zum 30. März 2025.

Es wird empfohlen, für die Interaktion mit Microsoft Entra ID (früher Azure AD) zu Microsoft Graph PowerShell zu migrieren. Informationen zu allgemeinen Migrationsfragen finden Sie in den häufig gestellten Fragen zur Migration. Hinweis: Bei der Version 1.0.x von MSOnline können nach dem 30. Juni 2024 Unterbrechungen auftreten.

Ein Problem tritt auf, wenn Sie mehr als eine Domäne der obersten Ebene hinzufügen. Nehmen wir beispielsweise an, dass Sie einen Verbund zwischen Microsoft Entra ID und Ihrer lokalen Umgebung eingerichtet haben. Für dieses Dokument wird die Domäne „bmcontoso.com“ verwendet. Nun wurde eine zweite Domäne der obersten Ebene hinzugefügt: „bmfabrikam.com“.

Ein Screenshot mit mehreren Top-Level-Domains

Wenn Sie versuchen, die Domäne „bmfabrikam.com“ in einen Verbund zu konvertieren, wird ein Fehler angezeigt. Der Grund hierfür ist eine Einschränkung in Microsoft Entra ID, nach der die IssuerUri-Eigenschaft nicht für mehr als eine Domäne denselben Wert aufweisen darf.

Screenshot, der einen Verbundfehler in PowerShell zeigt

SupportMultipleDomain-Parameter

Um diese Einschränkung zu umgehen, müssen Sie einen anderen IssuerUri hinzufügen. Hierfür kann der Parameter -SupportMultipleDomain verwendet werden. Dieser Parameter wird mit den folgenden Cmdlets verwendet:

  • New-MsolFederatedDomain
  • Convert-MsolDomaintoFederated
  • Update-MsolFederatedDomain

Dieser Parameter bewirkt, dass Microsoft Entra ID den IssuerUri-Wert so konfiguriert, dass er auf dem Namen der Domäne basiert. Der IssuerUri-Wert ist für Verzeichnisse in Microsoft Entra ID eindeutig. Mit dem Parameter kann der PowerShell-Befehl erfolgreich abgeschlossen werden.

Screenshot, der die erfolgreiche Ausführung des PowerShell-Befehls zeigt

-SupportMultipleDomain führt nicht zu einer Änderung der weiteren Endpunkte. Diese sind weiterhin so konfiguriert, dass sie auf den Verbunddienst unter „adfs.bmcontoso.com“ verweisen.

Außerdem wird mit -SupportMultipleDomain sichergestellt, dass das AD FS-System den richtigen Issuer-Wert in Token einfügt, die für Microsoft Entra ID ausgegeben werden. Dieser Wert wird festgelegt, indem der Domänenteil des UPN der Benutzer*innen verwendet und als Domäne im IssuerUri verwendet wird, d. h. in https://{upn suffix}/adfs/services/trust.

Während der Authentifizierung in Microsoft Entra ID oder Microsoft 365 wird daher das IssuerUri-Element im Benutzertoken verwendet, um die Domäne in Microsoft Entra ID zu finden. Wenn keine Übereinstimmung gefunden wird, schlägt die Authentifizierung fehl.

Wenn der UPN eines Benutzers beispielsweise bsimon@bmcontoso.com lautet, wird das IssuerUri-Element in dem von ADnFS ausgestellten Token auf http://bmcontoso.com/adfs/services/trust festgelegt. Dieses Element entspricht der Microsoft Entra-Konfiguration, und die Authentifizierung ist erfolgreich.

Mit der folgenden benutzerdefinierten Anspruchsregel wird diese Logik implementiert:

c:[Type == "http://schemas.xmlsoap.org/claims/UPN"] => issue(Type = "http://schemas.microsoft.com/ws/2008/06/identity/claims/issuerid", Value = regexreplace(c.Value, ".+@(?<domain>.+)", "http://${domain}/adfs/services/trust/"));

Wichtig

Zum Verwenden des Switch -SupportMultipleDomain bei dem Versuch, neue Domänen hinzuzufügen oder vorhandene Domänen zu konvertieren, müssen Sie die Verbundvertrauensstellung bereits so eingerichtet haben, dass diese standardmäßig unterstützt werden.

Aktualisieren der Vertrauensstellung zwischen AD FS und Microsoft Entra ID

Wenn Sie keine Verbundvertrauensstellung zwischen AD FS und Ihrer Instanz von Microsoft Entra ID eingerichtet haben, müssen Sie diese Vertrauensstellung unter Umständen neu erstellen. Dies liegt daran, dass für den IssuerUri der Standardwert festgelegt wird, wenn er anfänglich ohne den -SupportMultipleDomain-Parameter eingerichtet wird. Im Screenshot unten ist zu sehen, dass der IssuerUri auf https://adfs.bmcontoso.com/adfs/services/trust festgelegt ist.

Wenn Sie erfolgreich eine neue Domäne im Microsoft Entra Admin Center hinzugefügt haben und dann versuchen, sie mit Convert-MsolDomaintoFederated -DomainName <your domain> zu konvertieren, erhalten Sie die folgende Fehlermeldung.

Screenshot: Nach dem Versuch, mit dem Befehl „Convert-MsolDomaintoFederated

Wenn Sie versuchen, die Option -SupportMultipleDomain hinzuzufügen, erhalten Sie den folgenden Fehler:

Screenshot: Nach dem Hinzufügen des Schalters „SupportMultipleDomain“ wird ein Verbundfehler angezeigt.

Der einfache Versuch, Update-MsolFederatedDomain -DomainName <your domain> -SupportMultipleDomain in der ursprünglichen Domäne auszuführen, führt ebenfalls zu einem Fehler.

Partnerverbundfehler

Verwenden Sie die unten angegebenen Schritte, um eine weitere Domäne der obersten Ebene hinzuzufügen. Wenn Sie bereits eine Domäne hinzugefügt und den Parameter -SupportMultipleDomain nicht verwendet haben, beginnen Sie mit den Schritten zum Entfernen und Aktualisieren Ihrer ursprünglichen Domäne. Wenn Sie noch keine Domäne der obersten Ebene hinzugefügt haben, können Sie mit den Schritten zum Hinzufügen einer Domäne über das PowerShell-Modul von Microsoft Entra Connect beginnen.

Führen Sie die folgenden Schritte aus, um die Microsoft Online-Vertrauensstellung zu entfernen und die ursprüngliche Domäne zu aktualisieren.

  1. Öffnen Sie auf Ihrem AD FS-Verbundserver die Option für die AD FS-Verwaltung.
  2. Erweitern Sie auf der linken Seite die Optionen Vertrauensstellungen und Vertrauensstellungen der vertrauenden Seite.
  3. Löschen Sie auf der rechten Seite den Eintrag Microsoft Office 365 Identity Platform . Microsoft Online entfernen
  4. Führen Sie auf einem Computer, auf dem das Azure AD PowerShell-Modul installiert ist, das PowerShell-Cmdlet $cred=Get-Credential aus.
  5. Geben Sie den Benutzernamen und das Kennwort eines Hybrididentitätsadministrators oder einer Hybrididentitätsadministratorin für die Microsoft Entra-Domäne ein, mit der Sie den Verbund herstellen.
  6. Geben Sie in PowerShell Connect-MsolService -Credential $cred ein.
  7. Geben Sie in PowerShell Update-MSOLFederatedDomain -DomainName <Federated Domain Name> -SupportMultipleDomain ein. Dies ist das Update für die ursprüngliche Domäne. Mit den obigen Domänen ergibt sich Folgendes: Update-MsolFederatedDomain -DomainName bmcontoso.com -SupportMultipleDomain

Führen Sie die folgenden Schritte aus, um die neue Domäne der obersten Ebene mit PowerShell hinzuzufügen.

  1. Führen Sie auf einem Computer, auf dem das Azure AD PowerShell-Modul installiert ist, das PowerShell-Cmdlet $cred=Get-Credential aus.
  2. Geben Sie den Benutzernamen und das Kennwort eines Hybrididentitätsadministrators oder einer Hybrididentitätsadministratorin für die Microsoft Entra-Domäne ein, mit der Sie den Verbund herstellen.
  3. Geben Sie in PowerShell Connect-MsolService -Credential $cred ein.
  4. Geben Sie in PowerShell New-MsolFederatedDomain –SupportMultipleDomain –DomainName ein.

Führen Sie die folgenden Schritte aus, um die neue Domäne der obersten Ebene mit Microsoft Entra Connect hinzuzufügen.

  1. Starten Sie Microsoft Entra Connect über den Desktop oder das Menü „Start“
  2. Wählen Sie „Eine zusätzliche Microsoft Entra-Domäne hinzufügen“ aus: Screenshot, der die Seite „Zusätzliche Aufgaben“ mit ausgewählter Option „Zusätzliche Microsoft Entra-Domäne hinzufügen“ anzeigt
  3. Geben Sie Ihre Anmeldeinformationen für Microsoft Entra ID und Active Directory ein.
  4. Wählen Sie die zweite Domäne aus, die Sie für den Verbund konfigurieren möchten. Hinzufügen einer zusätzlichen Microsoft Entra-Domäne
  5. Klicken Sie auf Install (Installieren).

Überprüfen der neuen Domäne der obersten Ebene

Mit dem PowerShell-Befehl Get-MsolDomainFederationSettings -DomainName <your domain>können Sie den aktualisierten IssuerUri anzeigen. Im folgenden Screenshot ist dargestellt, dass die Verbundeinstellungen für die ursprüngliche Domäne http://bmcontoso.com/adfs/services/trust aktualisiert wurden.

Außerdem wurde der IssuerUri für die neue Domäne auf https://bmcontoso.com/adfs/services/trust festgelegt.

Unterstützung von Unterdomänen

Wenn Sie eine Unterdomäne hinzufügen, erbt sie die Einstellungen der übergeordneten Domäne. Dies liegt an der Art und Weise, wie Microsoft Entra ID Domänen behandelt. Dies bedeutet, dass der IssuerUri mit den übergeordneten Elementen übereinstimmen muss.

Angenommen, Sie verfügen über „bmcontoso.com“ und fügen dann „corp.bmcontoso.com“ hinzu. Die IssuerUri für einen Benutzer von corp.bmcontoso.com muss http://bmcontoso.com/adfs/services/trust sein. Die oben für die Microsoft Entra-ID implementierte Standardregel generiert jedoch ein Token mit einem Aussteller als http://corp.bmcontoso.com/adfs/services/trust, das nicht mit dem erforderlichen Wert der Domäne übereinstimmt und die Authentifizierung fehlschlägt.

Aktivieren der Unterstützung von Unterdomänen

Um dieses Verhalten zu umgehen, muss die AD FS-Vertrauensstellung der vertrauenden Seite für Microsoft Online aktualisiert werden. Hierzu müssen Sie eine benutzerdefinierte Anspruchsregel so konfigurieren, dass beim Erstellen des benutzerdefinierten Issuer-Werts alle Unterdomänen aus dem UPN-Suffix des Benutzers entfernt werden.

Verwenden Sie den folgenden Anspruch:

c:[Type == "http://schemas.xmlsoap.org/claims/UPN"] => issue(Type = "http://schemas.microsoft.com/ws/2008/06/identity/claims/issuerid", Value = regexreplace(c.Value, "^.*@([^.]+\.)*?(?<domain>([^.]+\.?){2})$", "http://${domain}/adfs/services/trust/"));

[!HINWEIS] Die letzte Zahl im Satz regulärer Ausdrücke gibt an, wie viele übergeordnete Domänen es in Ihrer Stammdomäne gibt. Im Fall von „bmcontoso.com“ sind also zwei übergeordnete Domänen erforderlich. Wenn drei übergeordnete Domänen beibehalten werden sollen (d. h. „corp.bmcontoso.com“), muss die Anzahl drei (3) lauten. Schließlich kann ein Bereich angegeben werden, der mit der maximalen Anzahl von Domänen übereinstimmt. „{2,3}“ entspricht zwei bis drei Domänen (d. h. „bmfabrikam.com“ und „corp.bmcontoso.com“).

Führen Sie die folgenden Schritte aus, um einen benutzerdefinierten Anspruch zur Unterstützung von Unterdomänen hinzuzufügen.

  1. Öffnen Sie die AD FS-Verwaltung.
  2. Klicken Sie mit der rechten Maustaste auf die Microsoft Online-Vertrauensstellung der vertrauenden Seite, und wählen Sie „Anspruchsregeln bearbeiten“ aus.
  3. Wählen Sie die dritte Anspruchsregel aus und ersetzen Sie Anspruch bearbeiten.
  4. Ersetzen Sie den aktuellen Anspruch:
c:[Type == "http://schemas.xmlsoap.org/claims/UPN"] => issue(Type = "http://schemas.microsoft.com/ws/2008/06/identity/claims/issuerid", Value = regexreplace(c.Value, ".+@(?<domain>.+)","http://${domain}/adfs/services/trust/"));

durch

c:[Type == "http://schemas.xmlsoap.org/claims/UPN"] => issue(Type = "http://schemas.microsoft.com/ws/2008/06/identity/claims/issuerid", Value = regexreplace(c.Value, "^.*@([^.]+\.)*?(?<domain>([^.]+\.?){2})$", "http://${domain}/adfs/services/trust/"));

Anspruch ersetzen

  1. Klicken Sie auf "OK". Klicken Sie auf Anwenden. Klicken Sie auf "OK". Schließen Sie die AD FS-Verwaltung.

Nächste Schritte

Nachdem Sie Microsoft Entra Connect installiert haben, können Sie die Installation überprüfen und Lizenzen zuweisen.

Weitere Informationen zu den Features, die mit der Installation aktiviert wurden finden Sie unter Automatisches Upgrade, Verhindern von versehentlichen Löschungen und Microsoft Entra Connect Health.

Weitere Informationen zu folgenden allgemeinen Themen: Scheduler und Auslösen der Synchronisierung.

Weitere Informationen finden Sie unter Integrieren Ihrer lokalen Identitäten in Microsoft Entra ID.