Gerir nomes de domínio personalizados no seu ID do Microsoft Entra
Um nome de domínio é uma parte importante do identificador de recursos em muitas implantações do Microsoft Entra. É parte de um nome de usuário ou endereço de e-mail para um usuário, parte do endereço de um grupo e, às vezes, faz parte do URI do ID do aplicativo para um aplicativo. Um recurso no Microsoft Entra ID pode incluir um nome de domínio que pertence à organização do Microsoft Entra (às vezes chamado de locatário) que contém o recurso. Os Administradores Globais e os Administradores de Nomes de Domínio podem gerir domínios no Microsoft Entra ID.
Definir o nome de domínio principal para sua organização do Microsoft Entra
Gorjeta
As etapas neste artigo podem variar ligeiramente com base no portal a partir do qual você começou.
Quando sua organização é criada, o nome de domínio inicial, como 'contoso.onmicrosoft.com', também é o nome de domínio principal. O domínio primário é o nome de domínio padrão para um novo usuário quando você cria um novo usuário. A definição de um nome de domínio primário simplifica o processo para um administrador criar novos usuários no portal. Para alterar o nome de domínio principal:
Entre no centro de administração do Microsoft Entra como Administrador Global.
Selecione Microsoft Entra ID.
Selecione Nomes de domínio personalizados.
Selecione o nome do domínio que deseja definir como domínio principal.
Selecione o comando Tornar primário . Confirme a sua escolha quando solicitado.
Você pode alterar o nome de domínio principal da sua organização para ser qualquer domínio personalizado verificado que não esteja federado. Alterar o domínio principal da sua organização não alterará o nome de utilizador de nenhum dos utilizadores existentes.
Adicionar nomes de domínio personalizados à sua organização do Microsoft Entra
Pode adicionar até 5000 nomes de domínio geridos. Se estiver a configurar todos os seus domínios para federação com o Ative Directory local, pode adicionar até 2500 nomes de domínio em cada organização.
Adicionar subdomínios de um domínio personalizado
Se você quiser adicionar um nome de subdomínio, como 'europe.contoso.com' à sua organização, você deve primeiro adicionar e verificar o domínio raiz, como contoso.com. O subdomínio é verificado automaticamente pelo Microsoft Entra ID. Para ver se o subdomínio adicionado foi verificado, atualize a lista de domínios no navegador.
Se você já adicionou um domínio contoso.com a uma organização do Microsoft Entra, também pode verificar o subdomínio europe.contoso.com em outra organização do Microsoft Entra. Ao adicionar o subdomínio, você será solicitado a adicionar um registro TXT no provedor de hospedagem DNS.
O que fazer se alterar o registrar DNS do seu nome de domínio personalizado
Se você alterar os registradores de DNS, não há outras tarefas de configuração no Microsoft Entra ID. Você pode continuar usando o nome de domínio com o Microsoft Entra ID sem interrupção. Se você usar seu nome de domínio personalizado com o Microsoft 365, Intune ou outros serviços que dependem de nomes de domínio personalizados no Microsoft Entra ID, consulte a documentação desses serviços.
Excluir um nome de domínio personalizado
Poderá eliminar um nome de domínio personalizado do Microsoft Entra ID se a sua organização já não utilizar esse nome de domínio ou se precisar de o utilizar com outra organização do Microsoft Entra.
Para excluir um nome de domínio personalizado, você deve primeiro garantir que nenhum recurso em sua organização dependa do nome de domínio. Não é possível excluir um nome de domínio da sua organização se:
- Qualquer usuário tem um nome de usuário, endereço de e-mail ou endereço proxy que inclui o nome de domínio.
- Qualquer grupo tem um endereço de e-mail ou proxy que inclui o nome de domínio.
- Qualquer aplicativo em sua ID do Microsoft Entra tem um URI de ID de aplicativo que inclui o nome de domínio.
Você deve alterar ou excluir qualquer recurso em sua organização do Microsoft Entra antes de excluir o nome de domínio personalizado.
Nota
Para excluir o domínio personalizado, use uma conta de Administrador Global baseada no domínio padrão (onmicrosoft.com) ou em outro domínio personalizado (mydomainname.com).
Opção ForceDelete
Você pode ForceDelete um nome de domínio no portal do Azure ou usando a API do Microsoft Graph. Essas opções usam uma operação assíncrona e atualizam todas as referências do nome de domínio personalizado, como "user@contoso.com", para o nome de domínio padrão inicial, como "user@contoso.onmicrosoft.com."
Para chamar ForceDelete no portal do Azure, você deve garantir que haja menos de 1000 referências ao nome de domínio e quaisquer referências em que o Exchange seja o serviço de provisionamento devem ser atualizadas ou removidas no Centro de Administração do Exchange (EAC). Isso inclui grupos de segurança habilitados para email do Exchange e listas distribuídas. Para obter mais informações, consulte Removendo grupos de segurança habilitados para email. Além disso, a operação ForceDelete não terá êxito se uma das seguintes opções for verdadeira:
- Comprou um domínio através dos serviços de subscrição de domínio do Microsoft 365
- Você é um parceiro que administra em nome de outra organização de clientes
As seguintes ações são executadas como parte da operação ForceDelete :
- Renomeia o UPN, EmailAddress e ProxyAddress de usuários com referências ao nome de domínio personalizado para o nome de domínio padrão inicial.
- Renomeia o EmailAddress de grupos com referências ao nome de domínio personalizado para o nome de domínio padrão inicial.
- Renomeia o identifierUris de aplicativos com referências ao nome de domínio personalizado para o nome de domínio padrão inicial.
- Desabilita as contas de usuário afetadas pela opção ForceDelete no centro de administração do Azure/Microsoft Entra e, opcionalmente, ao usar a API do Graph.
Um erro é retornado quando:
- O número de objetos a serem renomeados é maior que 1000
- Um dos aplicativos a serem renomeados é um aplicativo multilocatário
Práticas recomendadas para higiene de domínio
Use um registrador respeitável que forneça amplas notificações para alterações de nome de domínio, expiração de registro, um período de carência para domínios expirados e mantenha altos padrões de segurança para controlar quem tem acesso à configuração do nome de domínio e aos registros TXT. Mantenha seus nomes de domínio atualizados com seu Registrador e verifique a precisão dos registros TXT.
- Se você estiver expirando propositalmente seu nome de domínio ou entregando a propriedade para outra pessoa (separadamente do locatário do Microsoft Entra), exclua-o do locatário do Microsoft Entra antes de expirar ou transferir.
- Se permitir que o seu nome de domínio expire, se conseguir reativá-lo/recuperar o controlo do mesmo, reveja cuidadosamente todos os registos TXT com o registrar para garantir que não houve adulteração do seu nome de domínio.
- Se não conseguir reativar ou recuperar o controlo do seu nome de domínio imediatamente, deve eliminá-lo do seu inquilino do Microsoft Entra. Não leia/verifique novamente até conseguir resolver a propriedade do nome de domínio e verificar se o registro TXT completo está correto.
Nota
A Microsoft não permitirá que um nome de domínio seja verificado com mais de um locatário do Microsoft Entra. Depois de excluir um nome de domínio do seu locatário, você não poderá adicioná-lo/verificá-lo novamente com seu locatário do Microsoft Entra se ele for posteriormente adicionado e verificado com outro locatário do Microsoft Entra.
Perguntas mais frequentes
P: Por que a exclusão de domínio está falhando com um erro que indica que eu tenho grupos dominados pelo Exchange neste nome de domínio?
R: Atualmente, determinados grupos, como grupos de Segurança Habilitada para Email e listas distribuídas, são provisionados pelo Exchange e precisam ser limpos manualmente no Centro de Administração do Exchange. Pode haver ProxyAddresses persistentes, que dependem do nome de domínio personalizado e precisarão ser atualizados manualmente para outro nome de domínio.
P: Estou conectado como admin@contoso.com , mas não posso excluir o nome de domínio "contoso.com"?
R: Não é possível fazer referência ao nome de domínio personalizado que está a tentar eliminar no nome da sua conta de utilizador. Verifique se a conta de Administrador Global está usando o nome de domínio padrão inicial (.onmicrosoft.com), como admin@contoso.onmicrosoft.com. Inicie sessão com uma conta de Administrador Global diferente, tal como admin@contoso.onmicrosoft.com ou outro nome de domínio personalizado como "fabrikam.com" onde a conta é admin@fabrikam.com.
P: Cliquei no botão Excluir domínio e vejo In Progress
o status da operação Excluir. Quanto tempo demora? O que acontece se falhar?
R: A operação de exclusão de domínio é uma tarefa assíncrona em segundo plano que renomeia todas as referências ao nome de domínio. Pode levar até 24 horas para ser concluído. Se a exclusão de domínio falhar, verifique se você não tem:
- Aplicativos configurados no nome de domínio com o appIdentifierURI
- Qualquer grupo habilitado para email fazendo referência ao nome de domínio personalizado
- Mais de 1000 referências ao nome de domínio
- O domínio a ser removido o conjunto como o domínio primário da sua organização
Observe também que a opção ForceDelete não funcionará se o domínio usar o tipo de autenticação federada. Nesse caso, os usuários/grupos no domínio devem ser renomeados ou removidos usando o Ative Directory local antes de tentar novamente a remoção do domínio. Se você achar que alguma das condições não foi atendida, limpe manualmente as referências e tente excluir o domínio novamente.
Usar o PowerShell ou a API do Microsoft Graph para gerenciar nomes de domínio
A maioria das tarefas de gerenciamento para nomes de domínio no Microsoft Entra ID também pode ser concluída usando o Microsoft PowerShell ou programaticamente usando a API do Microsoft Graph.