管理 Azure Active Directory 中的自定义域名

域名是许多目录资源标识符的重要部分:它可能是用户的用户名或电子邮件地址的一部分、组地址的一部分,有时是应用程序的应用 ID URI 的一部分。 Azure Active Directory (Azure AD) 中的资源可包含目录(包含该资源)所拥有的域名。 只有全局管理员可以在 Azure AD 中管理域。

设置 Azure AD 目录的主域名

创建目录时,初始域名(例如“contoso.partner.onmschina.cn”)也是主域名。 创建新用户时,主域名是新用户的默认域名。 设置主域名简化了管理员在门户中创建新用户的过程。 若要更改主域名,请执行以下操作:

  1. 使用目录全局管理员的帐户登录到 Azure 门户

  2. 选择“Azure Active Directory” 。

  3. 选择“自定义域名”。

    打开用户管理页面

  4. 选择你希望设为主域的域名。

  5. 选择“设置主域”命令。 出现提示时确认所做的选择。

    将域名设为主域名

可以将目录的主域名更改为任何未联合的已验证自定义域。 更改目录的主域不会更改任何现有用户的用户名。

将自定义域名添加到 Azure AD 租户

最多可以添加 900 个托管域名。 若要配置所有域以便与本地 Active Directory 联合,最多可在每个目录中添加 450 个域名。

添加自定义域的子域

如果想要将第三级域名(如 “test.contoso.com”)添加到目录,则应首先添加并验证第二级域,例如 contoso.com。 子域由 Azure AD 自动验证。 若要查看添加的子域是否已验证,请在浏览器中刷新域列表。

更改自定义域名的 DNS 注册机构会发生什么情况

如果更改 DNS 注册机构,不需要 Azure AD 中执行额外的配置任务。 可以继续对 Azure AD 使用该域名,而不会遇到中断。 如果在 Office 365、Intune 或其他依赖于 Azure AD 中的自定义域名的服务中使用自定义域名,请参阅这些服务的文档。

删除自定义域名

如果组织不再使用某个自定义域名,或者需要在另一个 Azure AD 中使用该域名,可以从 Azure AD 中删除该域名。

要删除自定义域名,则必须先确保目录中没有任何资源依赖域名。 在以下情况下,,无法从目录删除域名:

  • 任何用户都有包含域名的用户名、电子邮件地址或代理地址。
  • 任何组都有包含域名的电子邮件地址或代理地址。
  • Azure AD 中的任何应用程序都具有包含域名的应用 ID URI。

必须更改或删除 Azure AD 目录中的任何此类资源,才能删除自定义域名。

常见问题

问:为何域删除操作失败,并显示错误“此域名包含 Exchange 主控的组”?
答: 目前,某些组(例如,支持邮件的安全组和分发列表)由 Exchange 预配,需要手动在 Exchange 管理中心 (EAC) 清理这些组。 可能有遗留的 ProxyAddresses 依赖于自定义域名,需要手动将其更新为另一个域名。

问:我以 admin@contoso.com 身份登录,但无法删除域名“contoso.com”,为什么?
答: 无法引用你尝试在用户帐户名中删除的自定义域名。 请确保全局管理员帐户使用初始默认域名 (.partner.onmschina.cn),例如 admin@contoso.partner.onmschina.cn。 使用不同的全局管理员帐户(例如 admin@contoso.partner.onmschina.cn),或帐户为 admin@fabrikam.com 的另一个自定义域名(例如“fabrikam.com”)登录。

问:我单击了“删除域”按钮,但看到删除操作的状态为 In Progress。 需要多长时间? 如果该操作失败,会发生什么情况?
答: 域删除操作是一个异步后台任务,会重命名对域名的所有引用。 它在一两分钟内应会完成。 如果域删除失败,请确保不存在以下情况:

  • 使用 appIdentifierURI 在域名中配置了应用
  • 有任何支持邮件的组引用了自定义域名
  • 对域名的引用超过 1000 个

如果不符合上述任何情况,请手动清理引用,然后重试删除域。

使用 PowerShell 或图形 API 管理域名

针对 Azure Active Directory 中域名的大多数管理任务也可以使用 Microsoft PowerShell 或者使用 Azure AD 图形 API 以编程方式来完成。

后续步骤