使用 Azure Active Directory 门户添加自定义域名

每个新的 Azure AD 租户都附带了一个初始域名 <domainname>.partner.onmschina.cn。 无法更改或删除初始域名,但可以添加组织的名称。 添加自定义域名有助于创建用户所熟悉的用户名,例如 alain@contoso.com

准备阶段

添加自定义域名之前,请在域注册机构处创建域名。 有关认证的域注册机构,请参阅 ICANN 认证的注册机构

在 Azure AD 中创建目录

获取域名后,可以创建第一个 Azure AD 目录。 使用具有订阅“所有者”角色的帐户登录到目录的 Azure 门户。

遵循为组织创建新租户中的步骤创建新目录。

重要

租户的创建者将自动成为该租户的全局管理员。 全局管理员可将其他管理员添加到租户中。

有关订阅角色的详细信息,请参阅 Azure 角色

提示

如果你打算将本地 Windows Server AD 与 Azure AD 相联合,则需要在运行 Azure AD Connect 工具同步目录时选中“我计划将此域配置为使用本地 Active Directory 进行单一登录”。

还需要在向导的“Azure AD 域”步骤中注册选择用于与本地目录进行联合的域名。 若要大致了解该设置,请参阅验证选择用于联合的 Azure AD 域。 如果没有 Azure AD Connect 工具,可在此处下载

将自定义域名添加到 Azure AD

创建目录后,可以添加自定义域名。

  1. 使用目录的全局管理员帐户登录到 Azure 门户

  2. 在任意页面中搜索并选择“Azure Active Directory”。 然后选择“自定义域名” > “添加自定义域”。

    “自定义域名”页,其中显示了“添加自定义域”

  3. 在“自定义域名”中,输入组织的新名称(在本示例中为 contoso.com)。 选择“添加域”。

    “自定义域名”页,其中显示了“添加自定义域”页

    重要

    若要正常完成此过程,必须包含 .com.net 或其他任何顶级扩展名。

    将添加未验证的域。 此时将出现“contoso.com”页,其中显示了 DNS 信息。 请保存此信息。 稍后需要使用此信息来创建 TXT 记录以配置 DNS。

    包含 DNS 条目信息的“Contoso”页

将 DNS 信息添加到域注册机构

将自定义域名添加到 Azure AD 之后,必须返回到域注册机构,并添加已复制的 TXT 文件中的 Azure AD DNS 信息。 为域创建此 TXT 记录可以验证域名的所有权。

返回到域注册机构,根据复制的 DNS 信息为域创建新的 TXT 记录。 将生存时间 (TTL) 设置为 3600 秒(60 分钟),然后保存记录。

重要

可以注册任意数目的域名。 但是,每个域将从 Azure AD 获取其自身的 TXT 记录。 在域注册机构处输入 TXT 文件信息时请小心。 如果输入了错误或重复的信息,则必须等到 TTL 超时(60 分钟)才能重试。

验证自定义域名

注册自定义域名后,请确保它在 Azure AD 中有效。 将信息从域注册机构传播到 Azure AD 有时可以瞬间完成,有时需要几天时间,具体取决于域注册机构的状况。

若要验证自定义域名,请执行以下步骤:

  1. 使用目录的全局管理员帐户登录到 Azure 门户

  2. 在任意页面中搜索并选择“Azure Active Directory”,然后选择“自定义域名”。

  3. 在“自定义域名”中选择自定义域名。 本示例选择了“contoso.com”。

    “Fabrikam - 自定义域名”页,其中突出显示了“Contoso”

  4. 在“contoso.com”页上,选择“验证”以确保自定义域已正确注册并且在 Azure AD 中有效。

    包含 DNS 条目信息和“验证”按钮的“Contoso”页

验证自定义域名后,可以删除验证 TXT 或 MX 文件。

常见验证问题

如果 Azure AD 无法验证自定义域名,请尝试以下建议的方法:

  • 至少等待一小时,然后重试。 必须先传播 DNS 记录,Azure AD 才能验证域。 此过程可能需要一小时以上。

  • 如果尝试验证子域,请首先验证父域。 在尝试验证子域之前,请确保先创建并验证父域。

  • 确保 DNS 记录正确。 返回到域名注册机构站点。 确保该条目已存在,并且它与 Azure AD 提供的 DNS 条目信息相匹配。

    如果无法在注册机构站点上更新记录,请与有权添加条目并验证其正确性的某人共享该条目。

  • 确保域名尚未在另一目录中使用。 只能在一个目录中验证域名。 如果域名当前已在另一个目录中验证,则不再可以在新目录中验证该域名。 若要解决此重复问题,必须从旧目录中删除该域名。 有关删除域名的详细信息,请参阅管理自定义域名

  • 确保你没有任何未托管的 Power BI 租户。 如果你的用户通过自助注册激活了 Power BI 并为你的组织创建了一个非托管租户,那么你必须使用 PowerShell 以内部或外部管理员的身份接管管理。

后续步骤