为租户添加自定义域名

Microsoft Entra 租户有一个初始域名,如 domainname.onmicrosoft.com。 无法更改或删除初始域名,但可以将组织的 DNS 名称添加为自定义域,并将其设置为主域。 通过添加域名,可以添加用户熟悉的用户名,例如 alain@contoso.com

先决条件

添加自定义域名之前,请在域注册机构处创建域名。 有关认证的域注册机构,请参阅 ICANN 认证的注册机构

创建目录

提示

本文中的步骤可能因开始使用的门户而略有不同。

获取域名后,可以创建第一个目录。 使用具有订阅“所有者”角色的帐户登录到目录的 Azure 门户

  1. 遵循为组织创建新租户中的步骤创建新目录。

    重要

    全局管理员特权自动授予创建租户的人员。 此角色具有很高的特权,可以向租户添加其他管理员。

  2. 有关订阅角色的详细信息,请参阅 Azure 角色

    提示

    如果计划将本地 Windows Server Active Directory 与 Microsoft Entra ID 相联合,则需要在运行 Microsoft Entra Connect 工具同步目录时选择“我计划将此域配置为使用本地 Active Directory 进行单一登录”。

    还需要在向导的“Microsoft Entra 域”步骤中注册选择用于与本地目录进行联合的域名。 若要大致了解该设置,请参阅验证选择用于联合的域。 如果没有 Microsoft Entra Connect 工具,可在此处下载

添加自定义域名

创建目录后,可以添加自定义域名。

重要

更新域信息时,可能会无法完成此过程,并会遇到“HTTP 500 内部服务器错误”消息。 在某些情况下,可能会出现此错误。 如果尝试使用受保护的 DNS 后缀,则可能会出现此消息。 受保护的 DNS 后缀只能由 Microsoft 使用。 如果你认为此操作应该已成功完成,请联系 Microsoft 代表寻求帮助。

  1. 至少以域名管理员身份登录到 Microsoft Entra 管理中心

  2. 浏览到标识>设置>域名>添加自定义域

    “自定义域名”页的屏幕截图,其中显示了“添加自定义域”。

  3. 在“自定义域名”中,输入组织的域名(在本示例中为 contoso.com)。 选择“添加域”。

    “自定义域名”页的屏幕截图,其中显示了“添加自定义域”页。

    重要

    若要正常完成此过程,必须包含 .com、.net 或其他任何顶级扩展名。 添加自定义域时,密码策略值将从初始域继承。

  4. 将添加未验证的域。 此时会显示“contoso.com”页,其中显示了验证域所有权所需的 DNS 信息。 请保存此信息。

    包含 DNS 条目信息的 Contoso 页的屏幕截图。

将 DNS 信息添加到域注册机构

执行以下步骤:

  1. 添加自定义域名后,必须返回到域注册机构,并添加上一步复制的 DNS 信息。 为域创建此 TXT 或 MX 记录会验证域名的所有权。

  2. 返回到域注册机构,并根据复制的 DNS 信息为域创建新的 TXT 或 MX 记录。 将生存时间 (TTL) 设置为 3600 秒(60 分钟),然后保存记录。

    重要

    可以注册任意数目的域名。 但是,每个域都获取其自己的 TXT 或 MX 记录。 在域注册机构处输入信息时请小心。 如果输入了错误或重复的信息,则必须等到 TTL 超时(60 分钟)才能重试。

验证自定义域名

注册自定义域名后,请确保它在 Microsoft Entra 中有效。 传播时间可以是即时的,也可能需要几天时间,具体取决于域注册机构。

若要验证自定义域名,请执行以下步骤:

  1. 至少以域名管理员身份登录到 Microsoft Entra 管理中心

  2. 浏览到标识>设置>域名

  3. 在“自定义域名”中选择自定义域名。 本示例选择了“contoso.com”。

    “Fabrikam - 自定义域名”页的屏幕截图,其中突出显示了“Contoso”。

  4. 在“contoso.com”页上,选择“验证”以确保自定义域已正确注册且有效。

    “Contoso”页的屏幕截图,其中包含 DNS 条目信息和“验证”按钮。

常见验证问题

如果无法验证自定义域名,请尝试以下建议的方法:

  1. 至少等待一小时,然后重试。 必须先传播 DNS 记录,才能验证域。 此过程可能需要一小时以上。

  2. 确保 DNS 记录正确。 返回到域名注册机构站点。 确保条目存在,并且它与 Microsoft Entra 管理中心中提供的 DNS 条目信息匹配。

    • 如果无法在注册机构站点上更新记录,请与有权添加条目并验证其正确性的某人共享该条目。
  3. 确保域名尚未在另一目录中使用。 只能在一个目录中验证域名。 如果域名当前已在另一个目录中验证,则不再可以在新目录中验证该域名。 若要解决此重复问题,必须从旧目录中删除该域名。 有关删除域名的详细信息,请参阅管理自定义域名

  4. 确保你没有任何非托管的 Power BI 租户。 如果你的用户通过自助注册激活了 Power BI 并为你的组织创建了一个非托管租户,那么你必须使用 PowerShell 以内部或外部管理员的身份接管管理。 有关详细信息,请参阅接管非托管目录