Microsoft Entra 租户附带初始域名,如下所示 domainname.partner.onmschina.cn。 无法更改或删除初始域名,但可以将组织的 DNS 名称添加为自定义域名并将其设置为主要域名。 通过添加域名,可以添加用户熟悉的用户名,例如 alain@contoso.com。
先决条件
在添加自定义域名之前,请使用域注册机构创建域名。 有关认可的域注册机构,请参阅 ICANN-Accredited 注册机构。
创建目录
获取域名后,可以创建第一个目录。 使用具有订阅所有者角色的帐户登录到目录的 Azure 门户。
小窍门
如果计划将本地 Windows Server Active Directory 与 Microsoft Entra ID 联合,则在运行 Microsoft Entra Connect 工具以同步目录时,需要选择 “我计划将此域配置为使用本地 Active Directory 进行单一登录 ”。
还需要在向导的 Microsoft Entra 域 步骤中注册用于与本地目录联合的同一域名。 若要查看该设置的外观,请参阅 “验证为联合身份验证选择的域”。 如果没有 Microsoft Entra Connect 工具,可以 在此处下载该工具。
添加自定义域名
创建目录后,可以添加自定义域名。
重要
更新域信息时,可能无法完成该过程并遇到 HTTP 500 内部服务器错误消息。 在某些情况下,可能会出现此错误。 如果尝试使用受保护的 DNS 后缀,可能会显示此消息。 受保护的 DNS 后缀只能由Microsoft使用。 如果你认为此作应该已成功完成,请联系Microsoft代表寻求帮助。
至少以域名管理员身份登录到 Microsoft Entra 管理中心。
浏览到 Entra ID>域名>添加自定义域。
- 在 自定义域名中,输入组织的域,在本示例中 ,contoso.com。 选择 “添加域”。
重要
必须包括 .com、 .net 或任何其他顶级扩展才能正常工作。 添加自定义域时,密码策略值将从初始域继承。
- 添加了未验证的域。 此时会显示 contoso.com 页,其中显示了验证域所有权所需的 DNS 信息。 保存此信息。
将 DNS 信息添加到域注册机构
执行以下步骤:
添加自定义域名后,必须返回到域注册机构,并从上一步复制的 DNS 信息。 为域创建此 TXT 或 MX 记录会验证域名的所有权。
返回到域注册机构,并根据复制的 DNS 信息为域创建新的 TXT 或 MX 记录。 将生存时间(TTL)设置为 3600 秒(60 分钟),然后保存记录。
重要
可以根据需要注册任意数量的域名。 但是,每个域都获取其自己的 TXT 或 MX 记录。 在域注册机构输入信息时请小心。 如果输入错误或重复的信息,则必须等待 TTL 超时(60 分钟),然后才能重试。
验证自定义域名
注册自定义域名后,请确保它在 Microsoft Entra 中有效。 传播时间可以是即时的,也可能需要几天时间,具体取决于域注册机构。
若要验证自定义域名,请执行以下步骤:
至少以域名管理员身份登录到 Microsoft Entra 管理中心。
浏览到 Entra ID>域名。
在 “自定义域名”中,选择自定义域名。 在此示例中,选择 contoso.com。
- 在 contoso.com 页上,选择“ 验证” 以确保自定义域正确注册且有效。
常见验证问题
如果无法验证自定义域名,请尝试以下建议:
请至少等待一个小时,然后重试。 DNS 记录必须传播,然后才能验证域。 此过程可能需要一小时或更多时间。
确保 DNS 记录正确。 返回到域名注册机构网站。 确保条目存在,并且它与 Microsoft Entra 管理中心中提供的 DNS 条目信息匹配。
- 如果无法更新注册机构网站上的记录,请与有权添加条目并验证其正确的人共享该条目。
确保域名尚未在另一个目录中使用。 域名只能在一个目录中进行验证。 如果域名当前在另一个目录中进行验证,则不能在新目录中对其进行验证。 若要修复此重复问题,必须从旧目录中删除域名。 有关删除域名的详细信息,请参阅 “管理自定义域名”。
请确保没有任何非托管 Power BI 租户。 如果用户已通过自助注册激活 Power BI,并为组织创建了非托管租户,则必须使用 PowerShell 以内部或外部管理员身份接管管理。