Übernehmen eines nicht verwalteten Verzeichnisses als Administrator in Azure Active Directory

In diesem Artikel wird beschrieben, wie ein DNS-Domänenname in einem nicht verwalteten Verzeichnis in Azure Active Directory (Azure AD) übernommen wird. Wenn sich ein Self-Service-Benutzer für einen Clouddienst registriert, der Azure AD verwendet, wird er auf der Grundlage seiner E-Mail-Domäne einem nicht verwalteten Azure AD-Verzeichnis hinzugefügt. Weitere Informationen zur Self-Service- oder „viralen“ Registrierung für einen Dienst finden Sie im Artikel zu der Frage, was die Self-Service-Registrierung für Azure Active Directory ist.

Entscheiden, wie ein nicht verwaltetes Verzeichnis übernommen werden soll

Während der Administratorübernahme können Sie die Inhaberschaft wie in Schnellstart: Hinzufügen eines benutzerdefinierten Domänennamens zu Azure Active Directory beschrieben nachweisen. In den nächsten Abschnitten wird die Administratorerfahrung im Detail erläutert. Hier zunächst eine Zusammenfassung:

  • Bei einer „internen“ Administratorübernahme eines nicht verwalteten Azure-Verzeichnisses werden Sie als globaler Administrator des nicht verwalteten Verzeichnisses hinzugefügt. Es werden keine Benutzer, Domänen oder Tarife in ein anderes Verzeichnis migriert, das Sie verwalten.

  • Bei einer „externen“ Administratorübernahme eines nicht verwalteten Azure-Verzeichnisses fügen Sie Ihrem verwalteten Azure-Verzeichnis den DNS-Domänennamen des nicht verwalteten Verzeichnisses hinzu. Wenn Sie den Domänennamen hinzufügen, wird eine Zuordnung von Nutzern zu Ressourcen in Ihrem verwalteten Azure-Verzeichnis erstellt, damit Benutzer weiterhin ohne Unterbrechung auf Dienste zugreifen können.

Interne Administratorübernahme

Einige Produkte, die SharePoint und OneDrive enthalten, z. B. Microsoft 365, unterstützen keine externe Übernahme. Wenn dieses Szenario auf Sie zutrifft oder Sie ein Administrator sind und eine nicht verwaltete Azure AD-Organisation (Schattenorganisation) übernehmen möchten, die von Benutzern erstellt wurde, die die Self-Service-Registrierung verwendet haben, können Sie dies mit einer internen Administratorübernahme tun.

  1. Erstellen Sie einen Benutzerkontext in der nicht verwalteten Organisation über eine Registrierung bei Power BI. Genau dies tun Sie in diesem Beispiel.

  2. Öffnen Sie die Power BI-Website, und klicken Sie auf Kostenloser Einstieg. Geben Sie ein Benutzerkonto ein, das den Domänennamen für die Organisation verwendet, z.B. admin@fourthcoffee.xyz. Nachdem Sie den Prüfcode eingegeben haben, suchen Sie in Ihren E-Mails nach dem Bestätigungscode.

  3. Wählen Sie in der Bestätigungs-E-Mail von Power BI Yes, that's me (Ja, das bin ich) aus.

  4. Melden Sie sich mit dem Power BI-Benutzerkonto im Microsoft 365 Admin Center an. Sie erhalten eine Nachricht mit der Aufforderung, der Administrator des Domänennamens zu werden (Become the Admin), der bereits in der nicht verwalteten Organisation bestätigt wurde. Wählen Sie Yes, I want to be the admin (Ja, ich möchte der Administrator werden) aus.

    Erster Screenshot für „Become the Admin“

  5. Fügen Sie den TXT-Eintrag hinzu, um nachzuweisen, dass Sie den Domänennamen fourthcoffee.xyz bei Ihrer Domänennamen-Registrierungsstelle besitzen. In diesem Beispiel ist dies „GoDaddy.com“.

    Hinzufügen eines TXT-Eintrags für den Domänennamen

Wenn die DNS-TXT-Einträge bei Ihrer Domänennamen-Registrierungsstelle bestätigt wurden, können Sie die Azure AD-Organisation verwalten.

Wenn Sie die vorherigen Schritte abgeschlossen haben, sind Sie jetzt der globale Administrator der Fourth Coffee-Organisation in Microsoft 365. Um den Domänennamen in Ihre anderen Azure-Dienste zu integrieren, entfernen Sie ihn aus Microsoft 365, und fügen Sie ihn einer anderen verwalteten Organisation in Azure hinzu.

Hinzufügen des Domänennamens zu einer verwalteten Organisation in Azure AD

  1. Öffnen Sie das Microsoft 365 Admin Center.

  2. Wählen Sie die Registerkarte Benutzer aus, und erstellen Sie ein neues Benutzerkonto mit einem Namen wie user@fourthcoffeexyz.onmicrosoft.com, der keinen benutzerdefinierten Domänennamen verwendet.

  3. Stellen Sie sicher, dass das neue Benutzerkonto globale Administratorberechtigungen für die Azure AD-Organisation hat.

  4. Öffnen Sie die Registerkarte Domänen im Microsoft 365 Admin Center, wählen Sie den Domänennamen aus, und klicken Sie auf Entfernen.

    Entfernen des Domänennamens aus Microsoft 365

  5. Wenn einige Ihrer Benutzer oder Gruppen in Microsoft 365 weiterhin auf den entfernten Domänennamen verweisen, müssen sie in die Domäne .onmicrosoft.com umbenannt werden. Wenn Sie die Löschung des Domänennamens erzwingen, werden alle Benutzer automatisch umbenannt, in diesem Beispiel in user@fourthcoffeexyz.onmicrosoft.com.

  6. Melden Sie sich beim Azure AD Admin Center mit dem Konto an, das globale Administratorberechtigungen für die Azure AD-Organisation hat.

  7. Klicken Sie auf Benutzerdefinierte Domänennamen, und fügen Sie den Domänennamen hinzu. Sie müssen die DNS-TXT-Einträge eingeben, um die Inhaberschaft des Domänennamens zu bestätigen.

    Überprüfte Domäne, wie zu Azure AD hinzugefügt

Hinweis

Alle Power BI- oder Azure Rights Management-Benutzer, die in der Microsoft 365-Organisation zugewiesene Lizenzen haben, müssen ihre Dashboards speichern, wenn der Domänenname entfernt wird. Sie müssen sich mit einem Benutzernamen wie user@fourthcoffeexyz.onmicrosoft.com und nicht mit user@fourthcoffee.xyz anmelden.

Externe Administratorübernahme

Wenn Sie bereits eine Organisation mit Azure-Diensten oder Microsoft 365 verwalten, können Sie keinen benutzerdefinierten Domänennamen hinzufügen, wenn er bereits in einer anderen Azure AD-Organisation überprüft wurde. Sie haben jedoch die Möglichkeit, aus Ihrer verwalteten Organisation in Azure AD eine nicht verwaltete Organisation im Zuge einer externen Administratorübernahme zu übernehmen. Die allgemeine Vorgehensweise wird im Artikel Schnellstart: Hinzufügen eines benutzerdefinierten Domänennamens zu Azure Active Directory erklärt.

Wenn Sie die Inhaberschaft des Domänennamens bestätigt haben, entfernt Azure AD den Domänennamen aus der nicht verwalteten Organisation und verschiebt ihn in Ihre bestehende Organisation. Eine externe Administratorübernahme eines nicht verwalteten Verzeichnisses erfordert denselben DNS-TXT-Bestätigungsvorgang wie eine interne Administratorübernahme. Der Unterschied besteht darin, dass Folgendes zusammen mit dem Domänennamen verschoben wird:

  • Benutzer
  • Abonnements
  • Lizenzzuweisungen

Unterstützung für eine externe Administratorübernahme

Die externe Administratorübernahme wird von folgenden Onlinediensten unterstützt:

  • Azure Rights Management
  • Exchange Online

Die unterstützten Tarife umfassen:

  • Power Apps Free
  • Power Automate Free
  • RMS for Individuals
  • Microsoft Stream
  • die kostenlose Testversion von Dynamics 365

Die externe Administratorübernahme wird für keinen Dienst mit Tarifen unterstützt, die SharePoint, OneDrive oder Skype For Business enthalten, z. B. über ein kostenloses Abonnement für Office.

Hinweis

Externe Administratorübernahmen werden nicht über Cloudgrenzen hinweg unterstützt (z. B. von Azure Commercial zu Azure Government). In diesen Szenarien wird empfohlen, eine externe Administratorübernahme in einen anderen Azure Commercial-Mandanten durchzuführen und dann die Domäne aus diesem Mandanten zu löschen, damit Sie eine erfolgreiche Überprüfung im Azure Government-Zielmandanten durchführen können.

Optional können Sie die Option ForceTakeover verwenden, um den Domänennamen aus der nicht verwalteten Organisation zu entfernen und diesen Namen für die gewünschte Organisation zu überprüfen.

Weitere Informationen zu RMS for Individuals

Bei RMS for Individuals werden der automatisch erstellte Organisationsschlüssel für Azure Information Protection und Standardschutzvorlagen zusätzlich mit dem Domänennamen verschoben, wenn sich die nicht verwaltete Organisation in derselben Region befindet wie die Organisation, die Sie besitzen.

Der Schlüssel und die Vorlagen werden nicht verschoben, wenn sich die nicht verwaltete Organisation in einer anderen Region befindet. Angenommen, die nicht verwaltete Organisation befindet sich in Europa, und die Organisation, die Sie besitzen, befindet sich in Nordamerika.

Obwohl RMS for Individuals so konzipiert ist, dass es die Azure AD-Authentifizierung unterstützt, um geschützte Inhalte zu öffnen, hindert es Benutzer nicht daran, ebenfalls Inhalte zu schützen. Haben Benutzer Inhalte mit dem RMS for Individuals-Abonnement geschützt, und wurden die Schlüssel und die Vorlagen nicht verschoben, kann nach der Domänenübernahme nicht auf diese Inhalte zugegriffen werden.

Azure AD-PowerShell-Cmdlets für die ForceTakeover-Option

Diese Cmdlets werden im PowerShell-Beispiel verwendet.

Cmdlet Verwendung
connect-msolservice Wenn Sie dazu aufgefordert werden, melden Sie sich bei Ihrer verwalteten Organisation an.
get-msoldomain Zeigt die der aktuellen Organisation zugeordneten Domänennamen an.
new-msoldomain –name <domainname> Fügt der Organisation den Domänennamen als „Nicht überprüft “ hinzu (DNS-Überprüfung wurde noch nicht ausgeführt).
get-msoldomain Der Domänenname befindet sich nun in der Liste der Ihrer verwalteten Organisation zugeordneten Domänennamen, wird jedoch als Nicht überprüft aufgeführt.
get-msoldomainverificationdns –Domainname <domainname> –Mode DnsTxtRecord Stellt Informationen bereit, die in den neuen DNS-TXT-Eintrag für die Domäne eingegeben werden müssen (MS=xxxxx). Die Bestätigung erfolgt möglicherweise nicht sofort, da es einige Zeit braucht, bis der TXT-Eintrag übernommen wird. Warten Sie also einfach einige Minuten, bevor Sie die Option -ForceTakeover in Betracht ziehen.
confirm-msoldomain –Domainname <domainname> –ForceTakeover Force
  • Wenn Ihr Domänenname weiterhin unbestätigt bleibt, können Sie die Option -ForceTakeover anwenden. Damit wird bestätigt, dass der TXT-Eintrag erstellt wurde, und die Übernahme wird angestoßen.
  • Die Option -ForceTakeover sollte dem Cmdlet nur beim Erzwingen einer externen Administratorübernahme hinzugefügt werden, z. B. wenn die nicht verwaltete Organisation Microsoft 365-Dienste ausführt, die die Übernahme blockieren.
  • get-msoldomain In der Liste der Domänen wird der Domänenname nun als Verified (Bestätigt) angezeigt.

    Hinweis

    Die nicht verwaltete Azure AD-Organisation wird 10 Tage nach dem Ausführen der externen ForceTakeover-Option gelöscht.

    PowerShell-Beispiel

    1. Verwenden Sie für die Verbindung mit Azure AD diesen Anmeldeinformationen wir für die Verbindung mit der Self-Service-Lösung:

      Install-Module -Name MSOnline
      $msolcred = get-credential
      
      connect-msolservice -credential $msolcred
      
    2. Rufen Sie eine Liste von Domänen ab:

      Get-MsolDomain
      
    3. Führen Sie das Cmdlet „Get-MsolDomainVerificationDns“ aus, um eine Abfrage zu erstellen:

      Get-MsolDomainVerificationDns –DomainName *your_domain_name* –Mode DnsTxtRecord
      

      Beispiel:

      Get-MsolDomainVerificationDns –DomainName contoso.com –Mode DnsTxtRecord
      
    4. Kopieren Sie den Wert (die Abfrage), der von diesem Befehl zurückgegeben wird. Beispiel:

      MS=32DD01B82C05D27151EA9AE93C5890787F0E65D9
      
    5. Erstellen Sie in Ihrem öffentlichen DNS-Namespace einen "DnsTxt"-Eintrag, der den Wert enthält, den Sie im vorherigen Schritt kopiert haben. Der Name dieses Eintrags ist der Name der übergeordneten Domäne. Wenn Sie also diesen Ressourceneintrag mithilfe der DNS-Rolle von Windows Server erstellen, sollten Sie den Eintragsnamen leer lassen und bloß den Wert in das Textfeld kopieren.

    6. Führen Sie das Cmdlet "Confirm-MsolDomain" aus, um die Abfrage zu überprüfen:

      Confirm-MsolDomain –DomainName *your_domain_name* –ForceTakeover Force
      

      Beispiel:

      Confirm-MsolDomain –DomainName contoso.com –ForceTakeover Force
      

    Bei einer erfolgreichen Abfrage kehren Sie ohne Fehler zur Eingabeaufforderung zurück.

    Nächste Schritte