概述
域名是许多Microsoft Entra部署中资源的标识符的重要组成部分。 它是用户的用户名或电子邮件地址的一部分,是组地址的一部分,有时是应用程序的应用 ID URI 的一部分。 Microsoft Entra ID中的资源可以包括由Microsoft Entra组织(有时称为租户)拥有的域名,该域名中包含该资源。 Global Administrators 和 Domain name administrators 可以在 Microsoft Entra ID 中管理域。
为Microsoft Entra组织设置主域名
创建组织后,初始域名(例如 contoso.partner.onmschina.cn)也是主域名。 创建新用户时,主域名是新用户的默认域名。 设置主域名简化了管理员在门户中创建新用户的过程。 若要更改主域名,请执行以下操作:
以 全局管理员 身份登录到 Microsoft Entra 管理中心。
浏览到 Entra ID>域名
选择“自定义域名”。
选择你希望设为主域的域名。
选择“设为主要”命令。 出现提示时确认所做的选择。
可以将组织的主域名更改为任何已验证且未使用联合身份验证的自定义域。 更改组织的主域不会更改任何现有用户的用户名。
将自定义域名添加到Microsoft Entra组织
最多可以添加 5000 个托管域名。 如果要将所有域配置为与 本地 Active Directory 联合,则每个组织中最多可以添加 2,500 个域名。
添加自定义域的子域
如果想要将子域名(如“test.contoso.com”)添加到组织,则应首先添加并验证根域,例如 contoso.com。 Microsoft Entra ID自动验证子域。 若要查看添加的子域是否已验证,请在浏览器中刷新域列表。
如果已将 contoso.com 域添加到一个 Microsoft Entra 组织,则还可以在不同的 Microsoft Entra 组织中验证子域 test.contoso.com。 添加子域时,系统会提示在域名服务器(DNS)托管提供程序中添加 TXT 记录。
更改自定义域名的 DNS 注册机构时该如何操作
如果更改 DNS 注册机构,则Microsoft Entra ID中没有其他配置任务。 你可以继续将域名与Microsoft Entra ID一起使用,而不会中断。 如果将自定义域名用于 Microsoft 365、Intune 或其他依赖于Microsoft Entra ID中自定义域名的服务,请参阅这些服务的文档。
删除自定义域名
如果你的组织不再使用该域名,或者需要将该域名用于其他Microsoft Entra组织,则可以从Microsoft Entra ID中删除自定义域名。
要删除自定义域名,则必须先确保组织中没有任何资源依赖域名。 在以下情况下,无法从组织删除域名:
- 任何用户都有包含域名的用户名、电子邮件地址或代理地址。
- 任何组都有包含域名的电子邮件地址或代理地址。
- Microsoft Entra ID中的任何应用程序都有一个包含域名的应用 ID URI。
必须先更改或删除Microsoft Entra组织中的任何此类资源,然后才能删除自定义域名。
注意
要删除自定义域,请使用基于默认域 (partner.onmschina.cn) 或其他自定义域 (mydomainname.com) 的全局管理员帐户。
ForceDelete 选项
你可以在Azure 门户或使用Microsoft 图形 API中ForceDelete域名。 这些选项使用异步操作,并将自定义域名(例如 user@contoso.com)中的所有引用更新为类似于 user@contoso.partner.onmschina.cn 的初始默认域名称。
若要在 Azure 门户中调用 ForceDelete,必须确保域名引用少于 1,000 个,并且必须在 Exchange 管理中心(EAC)更新或删除Exchange预配服务的任何引用。 这包括Exchange Mail-Enabled安全组和分布式列表。 有关更多信息,请参阅删除启用邮件功能的安全组。 此外,如果存在以下任一情况,则 ForceDelete 操作不会成功:
- 您通过 Microsoft 365 域名订阅服务购买了一个域名。
- 你是代表其他客户机构进行管理的合作伙伴
在执行 ForceDelete 操作过程中,将执行以下操作:
- 将引用了自定义域名的用户的 UPN、EmailAddress 和 ProxyAddress 重命名为初始默认域名。
- 将组中的邮件地址中引用的自定义域名重命名为初始默认域名。
- 将引用了自定义域名的应用程序的 identifierUris 重命名为初始默认域名。
- 禁用受 Microsoft Entra 管理中心中的 ForceDelete 选项影响的用户帐户,并且在使用 图形 API 时也可以选择禁用这些帐户。
出现以下情况时会返回错误:
- 要重命名的对象数大于 1000
- 要重命名的某个应用程序是多租户应用
域卫生最佳做法
使用信誉良好的注册机构,其为域名更改、注册到期、过期域的宽限期提供充分通知,并保持高安全标准来控制访问域名配置和 TXT 记录的人员。 使域名与注册机构保持最新状态,并验证 TXT 记录的准确性。
- 如果有意过期域名或将所有权移交给其他人(独立于Microsoft Entra租户),则应在过期或转移之前将其从Microsoft Entra租户中删除。
- 如果确实允许域名过期,如果能够重新激活它/重新获得对域名的控制,请仔细查看注册机构的所有 TXT 记录,以确保不会篡改域名。
- 如果无法立即重新激活或重新获得对域名的控制,则应将其从Microsoft Entra租户中删除。 在能够解析域名所有权并验证完整的 TXT 记录是否正确之前,请不要读取/重新验证。
注意
Microsoft不允许使用多个Microsoft Entra租户验证域名。 一旦您从租户中删除域名,如果该域名随后被添加和验证到另一个 Microsoft Entra 租户,则无法在您的 Microsoft Entra 租户中重新添加或重新验证该域名。
常见问题
Q:为什么域删除失败,并出现错误,提示我在该域名上有由Exchange管理的组?
A: 今天,某些组(如 Mail-Enabled 安全组和分布式列表)由Exchange预配,需要在 Exchange 管理中心 中手动清理。 可能存在残留的 ProxyAddresses,它依赖于自定义域名,需要人工将其更新到另一个域名。
问:我以 admin@contoso.com 身份登录,但无法删除域名“contoso.com”,为什么?
答: 您不能在尝试删除的用户帐户名称中引用自定义域名。 请确保全局管理员帐户使用初始默认域名 (.partner.onmschina.cn),例如 admin@contoso.partner.onmschina.cn。 使用其他全局管理员帐户(如 admin@contoso.partner.onmschina.cn 帐户所在的“fabrikam.com” admin@fabrikam.com)或其他自定义域名登录。
问:我单击了“删除域”按钮,但看到删除操作的状态为 In Progress。 需要多长时间? 如果该操作失败,会发生什么情况?
答: 域删除操作是一个异步后台任务,会重命名对域名的所有引用。 最长可能需要 24 小时才能完成。 如果域删除失败,请确保不存在以下情况:
- 使用 appIdentifierURI 在域名中配置了应用
- 支持电子邮件的任何群组引用了自定义域名
- 对域名的引用超过 1000 个
- 要删除的域设置为组织的主要域
另请注意,如果域使用联合身份验证类型,则 ForceDelete 选项将不起作用。 在这种情况下,必须先使用本地 Active Directory重命名或删除域上的用户/组,然后再重新尝试删除域。 如果发现有任何条件未被满足,请手动清理引用,然后再次尝试删除该域。
使用 PowerShell 或Microsoft 图形 API管理域名
Microsoft Entra ID中域名的大多数管理任务也可以使用 Microsoft PowerShell 完成,也可以使用Microsoft 图形 API以编程方式完成。