Gerenciando nomes de domínio personalizados em sua ID do Microsoft Entra

Um nome de domínio é uma parte importante do identificador de recursos em muitas implantações do Microsoft Entra. É parte de um nome de usuário ou endereço de email para um usuário, parte do endereço para um grupo e algumas vezes é parte do URI da ID do aplicativo para um aplicativo. Um recurso na ID do Microsoft Entra pode incluir um nome de domínio que pertence à organização do Microsoft Entra (às vezes chamada de locatário) que contém o recurso. Administradores globais e administradores de nome de domínio podem gerenciar domínios na ID do Microsoft Entra.

Definir o nome de domínio principal para sua organização do Microsoft Entra

Dica

As etapas neste artigo podem variar ligeiramente com base no portal do qual você começa.

Quando a organização é criada, o nome de domínio inicial, como "contoso.onmicrosoft.com", também é o nome de domínio primário. O domínio primário é o nome de domínio padrão para um novo usuário quando você cria um novo usuário. Configurar um nome de domínio primário simplifica o processo de criação de novos usuários no portal por um administrador. Para alterar o nome de domínio primário:

  1. Entre no centro de administração do Microsoft Entra como Administrador global.

  2. Selecione ID do Microsoft Entra.

  3. Selecione Personalizar nomes de domínio.

    Captura de tela da página de abertura de gerenciamento do usuário.

  4. Selecione o nome do domínio que gostaria que fosse o domínio primário.

  5. Selecione o comando Tornar primário. Confirme sua escolha quando solicitado.

    Captura de tela mostrando como tornar um nome de domínio o principal.

Você pode alterar o nome de domínio primário de sua organização para qualquer domínio personalizado verificado não federado. Alterar o domínio primário para sua organização não alterará o nome de usuário de nenhum usuário existente.

Adicionar nomes de domínio personalizados à sua organização do Microsoft Entra

É possível adicionar até 5.000 nomes de domínio gerenciado. Se você estiver configurando todos os domínios de federação com o Active Directory local, poderá adicionar até 2.500 nomes de domínio em cada organização.

Adicionar subdomínios de um domínio personalizado

Se você quiser adicionar um nome de subdomínio como "europe.contoso.com" à sua organização, deverá primeiro adicionar e verificar o domínio raiz, como contoso.com. O subdomínio é verificado automaticamente pela ID do Microsoft Entra. Para ver que o subdomínio que você adicionou foi verificado, atualize a lista de domínios no navegador.

Se você já tiver adicionado um domínio contoso.com a uma organização do Microsoft Entra, também poderá verificar o europe.contoso.com de subdomínio em uma organização diferente do Microsoft Entra. Ao adicionar o subdomínio, será solicitado que você adicione um registro TXT ao provedor de hospedagem DNS.

O que fazer se você alterar o registrador DNS para o nome de domínio personalizado

Se você alterar os registradores DNS, não haverá outras tarefas de configuração na ID do Microsoft Entra. Você pode continuar usando o nome de domínio com a ID do Microsoft Entra sem interrupção. Se você usar seu nome de domínio personalizado com o Microsoft 365, Intune ou outros serviços que dependem de nomes de domínio personalizados na ID do Microsoft Entra, consulte a documentação desses serviços.

Excluir um nome de domínio personalizado

Você pode excluir um nome de domínio personalizado da sua ID do Microsoft Entra se sua organização não usar mais esse nome de domínio ou se precisar usar esse nome de domínio com outra organização do Microsoft Entra.

Para excluir um nome de domínio personalizado, primeiro você deve verificar se nenhum recurso em sua organização depende do nome de domínio. Você não poderá excluir um nome de domínio da organização se:

  • Qualquer usuário tiver um nome de usuário, endereço de email ou endereço proxy que inclua o nome do domínio.
  • Qualquer grupo tiver um endereço de email ou endereço de proxy que inclua o nome de domínio.
  • Qualquer aplicativo em sua ID do Microsoft Entra tem um URI de ID de aplicativo que inclui o nome de domínio.

Você deve alterar ou excluir qualquer recurso em sua organização do Microsoft Entra antes de excluir o nome de domínio personalizado.

Observação

Para excluir o domínio personalizado, use uma conta de administrador global baseada no domínio padrão (onmicrosoft.com) ou em um domínio personalizado diferente (mydomainname.com).

Opção ForceDelete

Você pode aplicar ForceDelete a um nome de domínio no portal do Azure ou usando a API do Microsoft Graph. Essas opções usam uma operação assíncrona e atualizam todas as referências de nome de domínio personalizado, assim como "user@contoso.com", para o nome de domínio padrão inicial, tal como "user@contoso.onmicrosoft.com".

Para chamar ForceDelete no portal do Azure, você deve garantir que há menos de 1.000 referências ao nome de domínio, e quaisquer referências em que o Exchange é o serviço de provisionamento devem ser atualizadas ou removidas no EAC (Centro de Administração do Exchange). Isso inclui listas distribuídas e grupos de segurança habilitados para email do Exchange. Para obter mais informações, consulte Remover grupos de segurança habilitados para email. Além disso, a operação ForceDelete não será bem-sucedida se qualquer uma das seguintes opções for verdadeira:

  • Você adquiriu um domínio por meio de serviços de assinatura de domínio do Microsoft 365
  • Você é um parceiro administrando em nome de outra organização do cliente

As ações a seguir são executadas como parte da operação ForceDelete:

  • Renomeia o nome UPN, o EmailAddress e o ProxyAddress de usuários com referências ao nome de domínio personalizado para o nome de domínio padrão inicial.
  • Renomeia o EmailAddress de grupos com referências ao nome de domínio personalizado para o nome de domínio padrão inicial.
  • Renomeia os identifierUris de aplicativos com referências ao nome de domínio personalizado para o nome de domínio padrão inicial.
  • Desabilita as contas de usuário afetadas pela opção ForceDelete no centro de administração do Microsoft Entra/ Azure e, opcionalmente, ao usar a API do Graph.

Um erro é retornado quando:

  • O número de objetos a ser renomeado é maior que 1.000
  • Um dos aplicativos a serem renomeados é um aplicativo multilocatário

Melhores práticas para higiene de domínio

Use um registrador respeitável que fornece notificações amplas para alterações de nome de domínio, expiração de registro, período de carência para domínios expirados e mantém altos padrões de segurança para controlar quem tem acesso à configuração de nome de domínio e registros TXT. Mantenha seus nomes de domínio atualizados com o Registrador e verifique se há precisão nos registros TXT.

  • Se você estiver expirando propositalmente seu nome de domínio ou entregando a propriedade para outra pessoa (separadamente do locatário do Microsoft Entra), exclua-o do locatário do Microsoft Entra antes de expirar ou transferir.
  • Se você permitir que seu nome de domínio expire e conseguir reativar/recuperar o controle dele, examine cuidadosamente todos os registros TXT com o registrador para garantir que não tenha ocorrido adulteração do nome de domínio.
  • Se você não conseguir reativar ou recuperar o controle do seu nome de domínio imediatamente, exclua-o do locatário do Microsoft Entra. Não leia/verifique novamente até que você seja capaz de resolver a propriedade do nome de domínio e verifique se o registro TXT completo está correto.

Observação

A Microsoft não permitirá que um nome de domínio seja verificado com mais de um locatário do Microsoft Entra. Depois de excluir um nome de domínio do locatário, você não poderá adicioná-lo/verificá-lo novamente com seu locatário do Microsoft Entra se ele for posteriormente adicionado e verificado com outro locatário do Microsoft Entra.

Perguntas frequentes

P: Por que a exclusão do domínio está falhando com um erro afirmando que eu tenho grupos controlados pelo Exchange nesse nome de domínio?
R: Hoje em dia, determinados grupos como grupos de segurança habilitados por email e listas distribuídas são provisionados pelo Exchange e precisem ser limpos manualmente no Centro de Administração do Exchange. Poderá haver ProxyAddresses remanescentes que dependam do nome de domínio personalizado e precisarão ser atualizados manualmente para outro nome de domínio.

P: Eu estou conectado como admin@contoso.com, mas não consigo excluir o nome de domínio "contoso.com"?
R: Você não pode referenciar o nome de domínio personalizado que você está tentando excluir em seu nome de conta de usuário. Verifique se a conta de Administrador Global está usando o nome de domínio padrão inicial (.onmicrosoft.com), assim como admin@contoso.onmicrosoft.com. Entre com uma conta de Administrador Global diferente, tal como admin@contoso.onmicrosoft.com, ou com outro nome de domínio personalizado, tal como "fabrikam.com", em que a conta é admin@fabrikam.com.

P: Eu cliquei no botão Excluir domínio e vejo o status In Progress para a operação de exclusão. Quanto tempo demora? O que acontecerá se ela falhar?
R: A operação de exclusão do domínio é uma tarefa assíncrona em segundo plano que renomeia todas as referências para o nome de domínio. Esse processo pode levar até 24 horas para ser concluído. Se a exclusão do domínio falhar, verifique se você não tem:

  • Aplicativos configurados no nome de domínio com o appIdentifierURI
  • Qualquer grupo habilitado por email referenciando o nome de domínio personalizado
  • Mais de 1.000 referências ao nome de domínio
  • O domínio a ser removido do conjunto como o domínio primário da sua organização

Observe também que a opção ForceDelete não funcionará se o domínio usar o tipo de autenticação federada. Nesse caso, os usuários/grupos no domínio precisam ser renomeados ou removidos usando o Active Directory local antes de tentar realizar novamente a remoção do domínio. Se você achar que alguma das condições ainda não foi atendida, limpe as referências manualmente e tente excluir o domínio novamente.

Usar o PowerShell ou o API do Microsoft Graph para gerenciar nomes de domínio

A maioria das tarefas de gerenciamento de nomes de domínio na ID do Microsoft Entra também pode ser concluída usando o Microsoft PowerShell ou programaticamente usando a API do Microsoft Graph.

Próximas etapas