管理 Microsoft Entra ID 中的自定义域名

在许多 Microsoft Entra 部署中,域名是资源标识符的重要组成部分。 它是用户的用户名或电子邮件地址的一部分,是组地址的一部分,有时是应用程序的应用 ID URI 的一部分。 Microsoft Entra ID 中的资源可包含 Microsoft Entra 组织(包含该资源,有时称为租户)所拥有的域名。 全局管理员域名管理员可以在 Microsoft Entra ID 中管理域。

设置 Microsoft Entra 组织的主域名

提示

本文中的步骤可能因开始使用的门户而略有不同。

创建组织后,初始域名(例如“contoso.partner.onmschina.cn”)也是主域名。 创建新用户时,主域名是新用户的默认域名。 设置主域名简化了管理员在门户中创建新用户的过程。 若要更改主域名,请执行以下操作:

  1. 至少以全局管理员身份登录到 Microsoft Entra 管理中心

  2. 选择“Microsoft Entra ID”。

  3. 选择“自定义域名”。

    Screenshot of opening the user management page.

  4. 选择你希望设为主域的域名。

  5. 选择“设置主域”命令。 出现提示时确认所做的选择。

    Screenshot of making a domain name the primary.

可以将组织的主域名更改为任何未联合的已验证自定义域。 更改组织的主域不会更改任何现有用户的用户名。

将自定义域名添加到 Microsoft Entra 组织

最多可以添加 5000 个托管域名。 若要配置所有域以便与本地 Active Directory 联合,最多可在每个组织中添加 2500 个域名。

添加自定义域的子域

如果想要将子域名(如“test.contoso.com”)添加到组织,则应首先添加并验证根域,例如 contoso.com。 子域由 Microsoft Entra ID 自动验证。 若要查看添加的子域是否已验证,请在浏览器中刷新域列表。

如果已将 contoso.com 域添加到一个 Microsoft Entra 组织,则还可以在另一个 Microsoft Entra 组织中验证子域 test.contoso.com。 添加子域时,系统将提示你在 DNS 宿主提供程序中添加 TXT 记录。

更改自定义域名的 DNS 注册机构会发生什么情况

如果更改 DNS 注册机构,则 Microsoft Entra ID 中没有其他配置任务。 可以继续对 Microsoft Entra ID 使用该域名,而不会遇到中断。 如果在 Microsoft 365、Intune 或其他依赖于 Microsoft Entra ID 中的自定义域名的服务中使用自定义域名,请参阅这些服务的文档。

删除自定义域名

如果组织不再使用某个自定义域名,或者需要在另一个 Microsoft Entra 组织中使用该域名,可以从 Microsoft Entra ID 中删除该域名。

要删除自定义域名,则必须先确保组织中没有任何资源依赖域名。 在以下情况下,无法从组织删除域名:

  • 任何用户都有包含域名的用户名、电子邮件地址或代理地址。
  • 任何组都有包含域名的电子邮件地址或代理地址。
  • Microsoft Entra ID 中的任何应用程序都具有包含域名的应用 ID URI。

必须更改或删除 Microsoft Entra 组织中的任何此类资源,才能删除自定义域名。

注意

要删除自定义域,请使用基于默认域 (partner.onmschina.cn) 或其他自定义域 (mydomainname.com) 的全局管理员帐户。

ForceDelete 选项

可以在 Azure 门户中使用 ForceDelete 来强制删除域名,或使用 Microsoft Graph API 执行此操作。 这些选项使用异步操作,并将自定义域名(例如“user@contoso.com”)中的所有引用更新为类似于“user@contoso.partner.onmschina.cn”的初始默认域名称。

若要在 Azure 门户中调用 ForceDelete,必须确保对该域名的引用少于 1000 个,并且必须在 Exchange 管理中心更新或删除预配服务是 Exchange 的所有引用。 包括启用 Exchange 邮件的安全组和分布式列表。 有关详细信息,请参阅删除已启用邮件的安全组。 此外,如果存在以下任一情况,则 ForceDelete 操作不会成功:

  • 通过 Microsoft 365 域订阅服务购买了域
  • 你是代表另一客户组织的合作伙伴管理员

在执行 ForceDelete 操作过程中,将执行以下操作:

  • 将引用了自定义域名的用户的 UPN、EmailAddress 和 ProxyAddress 重命名为初始默认域名。
  • 将引用了自定义域名的组的 EmailAddress 重命名为初始默认域名。
  • 将引用了自定义域名的应用程序的 identifierUris 重命名为初始默认域名。
  • 禁用受 Azure/Entra 门户中 ForceDelete 选项影响的用户帐户,还可选择在使用图形 API 时禁用。

出现以下情况时会返回错误:

  • 要重命名的对象数大于 1000
  • 要重命名的某个应用程序是多租户应用

域清理最佳做法

使用信誉良好的注册机构,其为域名更改、注册到期、过期域的宽限期提供充分通知,并保持高安全标准来控制访问域名配置和 TXT 记录的人员。 使域名与注册机构保持同步,并验证 TXT 记录的准确性。

  • 如果有意让域名过期或将所有权移交给其他人(与 Microsoft Entra 租户分开),应该在过期或转移之前将其从 Microsoft Entra 租户中删除。
  • 如果确实允许域名过期,如果能够重新激活/重新获得对域名的控制,请仔细检查注册机构的所有 TXT 记录,以确保域名不会被篡改。
  • 如果无法立即重新激活或重新获得对域名的控制,则应将其从 Microsoft Entra 租户中删除。 在能够解析域名所有权并验证完整 TXT 记录的正确性之前,请勿读取/重新验证。

注意

Microsoft 不允许使用超过 Microsoft Entra 租户对域名进行验证。 从租户中删除域名后,如果随后对另一个 Microsoft Entra 租户添加并验证了该域名,将无法对 Microsoft Entra 租户重新添加/重新验证该域名。

常见问题

问:为何域删除操作失败,并显示错误“此域名包含 Exchange 主控的组”?
答: 目前,某些组(例如,支持邮件的安全组和分发列表)由 Exchange 预配,需要手动在 Exchange 管理中心 (EAC) 清理这些组。 可能有遗留的 ProxyAddresses 依赖于自定义域名,需要手动将其更新为另一个域名。

问:我以 admin@contoso.com 身份登录,但无法删除域名“contoso.com”,为什么?
答:无法引用你尝试在用户帐户名中删除的自定义域名。 请确保全局管理员帐户使用初始默认域名 (.partner.onmschina.cn),例如 admin@contoso.partner.onmschina.cn。 使用不同的全局管理员帐户(例如 admin@contoso.partner.onmschina.cn),或帐户为 admin@fabrikam.com 的另一个自定义域名(例如“fabrikam.com”)登录。

问:我单击了“删除域”按钮,但看到删除操作的状态为 In Progress。 需要多长时间? 如果该操作失败,会发生什么情况?
答: 域删除操作是一个异步后台任务,会重命名对域名的所有引用。 完成此过程可能需要 24 小时。 如果域删除失败,请确保不存在以下情况:

  • 使用 appIdentifierURI 在域名中配置了应用
  • 有任何支持邮件的组引用了自定义域名
  • 对域名的引用超过 1000 个
  • 要删除的域设置为组织的主域

另请注意,如果域使用联合身份验证类型,则 ForceDelete 选项将不起作用。 在这种情况下,在重新尝试删除域之前,必须使用本地 Active Directory 重命名或删除域上的用户/组。 如果不符合上述任何情况,请手动清理引用,然后重试删除域。

使用 PowerShell 或 Microsoft Graph API 管理域名

针对 Microsoft Entra ID 中域名的大多数管理任务也可以使用 Microsoft PowerShell 或者使用 Microsoft 图形 API 以编程方式来完成。

后续步骤