Übernehmen eines nicht verwalteten Verzeichnisses als Administrator in Azure Active DirectoryTake over an unmanaged directory as administrator in Azure Active Directory

In diesem Artikel wird beschrieben, wie ein DNS-Domänenname in einem nicht verwalteten Verzeichnis in Azure Active Directory (Azure AD) übernommen wird.This article describes two ways to take over a DNS domain name in an unmanaged directory in Azure Active Directory (Azure AD). Wenn sich ein Self-Service-Benutzer für einen Clouddienst registriert, der Azure AD verwendet, wird er auf der Grundlage seiner E-Mail-Domäne einem nicht verwalteten Azure AD-Verzeichnis hinzugefügt.When a self-service user signs up for a cloud service that uses Azure AD, they are added to an unmanaged Azure AD directory based on their email domain. Weitere Informationen zur Self-Service- oder „viralen“ Registrierung für einen Dienst finden Sie im Artikel zu der Frage, was die Self-Service-Registrierung für Azure Active Directory ist.For more about self-service or "viral" sign-up for a service, see What is self-service sign-up for Azure Active Directory?

Entscheiden, wie ein nicht verwaltetes Verzeichnis übernommen werden sollDecide how you want to take over an unmanaged directory

Während der Administratorübernahme können Sie die Inhaberschaft wie in Schnellstart: Hinzufügen eines benutzerdefinierten Domänennamens zu Azure Active Directory beschrieben nachweisen.During the process of admin takeover, you can prove ownership as described in Add a custom domain name to Azure AD. In den nächsten Abschnitten wird die Administratorerfahrung im Detail erläutert. Hier zunächst eine Zusammenfassung:The next sections explain the admin experience in more detail, but here's a summary:

  • Bei einer „internen“ Administratorübernahme eines nicht verwalteten Azure-Verzeichnisses werden Sie als globaler Administrator des nicht verwalteten Verzeichnisses hinzugefügt.When you perform an "internal" admin takeover of an unmanaged Azure directory, you are added as the global administrator of the unmanaged directory. Es werden keine Benutzer, Domänen oder Tarife in ein anderes Verzeichnis migriert, das Sie verwalten.No users, domains, or service plans are migrated to any other directory you administer.

  • Bei einer „externen“ Administratorübernahme eines nicht verwalteten Azure-Verzeichnisses fügen Sie Ihrem verwalteten Azure-Verzeichnis den DNS-Domänennamen des nicht verwalteten Verzeichnisses hinzu.When you perform an "external" admin takeover of an unmanaged Azure directory, you add the DNS domain name of the unmanaged directory to your managed Azure directory. Wenn Sie den Domänennamen hinzufügen, wird eine Zuordnung von Nutzern zu Ressourcen in Ihrem verwalteten Azure-Verzeichnis erstellt, damit Benutzer weiterhin ohne Unterbrechung auf Dienste zugreifen können.When you add the domain name, a mapping of users to resources is created in your managed Azure directory so that users can continue to access services without interruption.

Interne AdministratorübernahmeInternal admin takeover

Einige Produkte, die SharePoint und OneDrive enthalten, z.B. Office 365, unterstützen keine externe Übernahme.Some products that include SharePoint and OneDrive, such as Office 365, do not support external takeover. Wenn dieses Szenario auf Sie zutrifft oder Sie ein Administrator sind und eine nicht verwaltete Azure AD-Organisation (Schattenorganisation) übernehmen möchten, die von Benutzern erstellt wurde, die die Self-Service-Registrierung verwendet haben, können Sie dies mit einer internen Administratorübernahme tun.If that is your scenario, or if you are an admin and want to take over an unmanaged or "shadow" Azure AD organization create by users who used self-service sign-up, you can do this with an internal admin takeover.

  1. Erstellen Sie einen Benutzerkontext in der nicht verwalteten Organisation über eine Registrierung bei Power BI.Create a user context in the unmanaged organization through signing up for Power BI. Genau dies tun Sie in diesem Beispiel.For convenience of example, these steps assume that path.

  2. Öffnen Sie die Power BI-Website, und klicken Sie auf Kostenloser Einstieg.Open the Power BI site and select Start Free. Geben Sie ein Benutzerkonto ein, das den Domänennamen für die Organisation verwendet, z.B. admin@fourthcoffee.xyz.Enter a user account that uses the domain name for the organization; for example, admin@fourthcoffee.xyz. Nachdem Sie den Prüfcode eingegeben haben, suchen Sie in Ihren E-Mails nach dem Bestätigungscode.After you enter in the verification code, check your email for the confirmation code.

  3. Wählen Sie in der Bestätigungs-E-Mail von Power BI Yes, that's me (Ja, das bin ich) aus.In the confirmation email from Power BI, select Yes, that's me.

  4. Melden Sie sich mit dem Power BI-Benutzerkonto im Microsoft 365 Admin Center an.Sign in to the Microsoft 365 admin center with the Power BI user account. Sie erhalten eine Nachricht mit der Aufforderung, der Administrator des Domänennamens zu werden (Become the Admin), der bereits in der nicht verwalteten Organisation bestätigt wurde.You receive a message that instructs you to Become the Admin of the domain name that was already verified in the unmanaged organization. Wählen Sie Yes, I want to be the admin (Ja, ich möchte der Administrator werden) aus.select Yes, I want to be the admin.

    Erster Screenshot für „Become the Admin“

  5. Fügen Sie den TXT-Eintrag hinzu, um nachzuweisen, dass Sie den Domänennamen fourthcoffee.xyz bei Ihrer Domänennamen-Registrierungsstelle besitzen.Add the TXT record to prove that you own the domain name fourthcoffee.xyz at your domain name registrar. In diesem Beispiel ist dies „GoDaddy.com“.In this example, it is GoDaddy.com.

    Hinzufügen eines TXT-Eintrags für den Domänennamen

Wenn die DNS-TXT-Einträge bei Ihrer Domänennamen-Registrierungsstelle bestätigt wurden, können Sie die Azure AD-Organisation verwalten.When the DNS TXT records are verified at your domain name registrar, you can manage the Azure AD organization.

Wenn Sie die vorherigen Schritte abgeschlossen haben, sind Sie jetzt der globale Administrator der Fourth Coffee-Organisation in Office 365.When you complete the preceding steps, you are now the global administrator of the Fourth Coffee organization in Office 365. Um den Domänennamen in Ihre anderen Azure-Dienste zu integrieren, entfernen Sie ihn aus Office 365, und fügen Sie ihn einer anderen verwalteten Organisation in Azure hinzu.To integrate the domain name with your other Azure services, you can remove it from Office 365 and add it to a different managed organization in Azure.

Hinzufügen des Domänennamens zu einer verwalteten Organisation in Azure ADAdding the domain name to a managed organization in Azure AD

  1. Öffnen Sie das Microsoft 365 Admin Center.Open the Microsoft 365 admin center.

  2. Wählen Sie die Registerkarte Benutzer aus, und erstellen Sie ein neues Benutzerkonto mit einem Namen wie user@fourthcoffeexyz.onmicrosoft.com, der keinen benutzerdefinierten Domänennamen verwendet.Select Users tab, and create a new user account with a name like user@fourthcoffeexyz.onmicrosoft.com that does not use the custom domain name.

  3. Stellen Sie sicher, dass das neue Benutzerkonto globale Administratorberechtigungen für die Azure AD-Organisation hat.Ensure that the new user account has global admin privileges for the Azure AD organization.

  4. Öffnen Sie die Registerkarte Domänen im Microsoft 365 Admin Center, wählen Sie den Domänennamen aus, und klicken Sie auf Entfernen.Open Domains tab in the Microsoft 365 admin center, select the domain name and select Remove.

    Entfernen des Domänennamens aus Office 365

  5. Wenn einige Ihrer Benutzer oder Gruppen in Office 365 weiterhin auf den entfernten Domänennamen verweisen, müssen sie in die Domäne .onmicrosoft.com umbenannt werden.If you have any users or groups in Office 365 that reference the removed domain name, they must be renamed to the .onmicrosoft.com domain. Wenn Sie die Löschung des Domänennamens erzwingen, werden alle Benutzer automatisch umbenannt, in diesem Beispiel in user@fourthcoffeexyz.onmicrosoft.com.If you force delete the domain name, all users are automatically renamed, in this example to user@fourthcoffeexyz.onmicrosoft.com.

  6. Melden Sie sich beim Azure AD Admin Center mit dem Konto an, das globale Administratorberechtigungen für die Azure AD-Organisation hat.Sign in to the Azure AD admin center with an account that is the global admin for the Azure AD organization.

  7. Klicken Sie auf Benutzerdefinierte Domänennamen, und fügen Sie den Domänennamen hinzu.Select Custom domain names, then add the domain name. Sie müssen die DNS-TXT-Einträge eingeben, um die Inhaberschaft des Domänennamens zu bestätigen.You'll have to enter the DNS TXT records to verify ownership of the domain name.

    Überprüfte Domäne, wie zu Azure AD hinzugefügt

Hinweis

Alle Power BI- oder Azure Rights Management-Benutzer, die in der Office 365-Organisation zugewiesene Lizenzen haben, müssen ihre Dashboards speichern, wenn der Domänenname entfernt wird.Any users of Power BI or Azure Rights Management service who have licenses assigned in the Office 365 organization must save their dashboards if the domain name is removed. Sie müssen sich mit einem Benutzernamen wie user@fourthcoffeexyz.onmicrosoft.com und nicht mit user@fourthcoffee.xyz anmelden.They must sign in with a user name like user@fourthcoffeexyz.onmicrosoft.com rather than user@fourthcoffee.xyz.

Externe AdministratorübernahmeExternal admin takeover

Wenn Sie bereits eine Organisation mit Azure-Diensten oder Office 365 verwalten, können Sie keinen benutzerdefinierten Domänennamen hinzufügen, wenn er bereits in einer anderen Azure AD-Organisation überprüft wurde.If you already manage an organization with Azure services or Office 365, you cannot add a custom domain name if it is already verified in another Azure AD organization. Sie haben jedoch die Möglichkeit, aus Ihrer verwalteten Organisation in Azure AD eine nicht verwaltete Organisation im Zuge einer externen Administratorübernahme zu übernehmen.However, from your managed organization in Azure AD you can take over an unmanaged organization as an external admin takeover. Die allgemeine Vorgehensweise wird im Artikel Schnellstart: Hinzufügen eines benutzerdefinierten Domänennamens zu Azure Active Directory erklärt.The general procedure follows the article Add a custom domain to Azure AD.

Wenn Sie die Inhaberschaft des Domänennamens bestätigt haben, entfernt Azure AD den Domänennamen aus der nicht verwalteten Organisation und verschiebt ihn in Ihre bestehende Organisation.When you verify ownership of the domain name, Azure AD removes the domain name from the unmanaged organization and moves it to your existing organization. Eine externe Administratorübernahme eines nicht verwalteten Verzeichnisses erfordert denselben DNS-TXT-Bestätigungsvorgang wie eine interne Administratorübernahme.External admin takeover of an unmanaged directory requires the same DNS TXT validation process as internal admin takeover. Der Unterschied besteht darin, dass Folgendes zusammen mit dem Domänennamen verschoben wird:The difference is that the following are also moved over with the domain name:

  • BenutzerUsers
  • AbonnementsSubscriptions
  • LizenzzuweisungenLicense assignments

Unterstützung für eine externe AdministratorübernahmeSupport for external admin takeover

Die externe Administratorübernahme wird von folgenden Onlinediensten unterstützt:External admin takeover is supported by the following online services:

  • Azure Rights ManagementAzure Rights Management
  • Exchange OnlineExchange Online

Die unterstützten Tarife umfassen:The supported service plans include:

  • PowerApps FreePowerApps Free
  • PowerFlow FreePowerFlow Free
  • RMS for IndividualsRMS for individuals
  • Microsoft StreamMicrosoft Stream
  • die kostenlose Testversion von Dynamics 365Dynamics 365 free trial

Die externe Administratorübernahme wird für keinen Dienst mit Tarifen unterstützt, die SharePoint, OneDrive oder Skype For Business enthalten, z. B. über ein kostenloses Abonnement für Office.External admin takeover is not supported for any service that has service plans that include SharePoint, OneDrive, or Skype For Business; for example, through an Office free subscription.

Optional können Sie die Option ForceTakeover verwenden, um den Domänennamen aus der nicht verwalteten Organisation zu entfernen und diesen Namen für die gewünschte Organisation zu überprüfen.You can optionally use the ForceTakeover option for removing the domain name from the unmanaged organization and verifying it on the desired organization.

Weitere Informationen zu RMS for IndividualsMore information about RMS for individuals

Bei RMS for Individuals werden der automatisch erstellte Organisationsschlüssel für Azure Information Protection und Standardschutzvorlagen zusätzlich mit dem Domänennamen verschoben, wenn sich die nicht verwaltete Organisation in derselben Region befindet wie die Organisation, die Sie besitzen.For RMS for individuals, when the unmanaged organization is in the same region as the organization that you own, the automatically created Azure Information Protection organization key and default protection templates are additionally moved over with the domain name.

Der Schlüssel und die Vorlagen werden nicht verschoben, wenn sich die nicht verwaltete Organisation in einer anderen Region befindet.The key and templates are not moved over when the unmanaged organization is in a different region. Angenommen, die nicht verwaltete Organisation befindet sich in Europa, und die Organisation, die Sie besitzen, befindet sich in Nordamerika.For example, if the unmanaged organization is in Europe and the organization that you own is in North America.

Obwohl RMS for Individuals so konzipiert ist, dass es die Azure AD-Authentifizierung unterstützt, um geschützte Inhalte zu öffnen, hindert es Benutzer nicht daran, ebenfalls Inhalte zu schützen.Although RMS for individuals is designed to support Azure AD authentication to open protected content, it doesn't prevent users from also protecting content. Haben Benutzer Inhalte mit dem RMS for Individuals-Abonnement geschützt, und wurden die Schlüssel und die Vorlagen nicht verschoben, kann nach der Domänenübernahme nicht auf diese Inhalte zugegriffen werden.If users did protect content with the RMS for individuals subscription, and the key and templates were not moved over, that content is not accessible after the domain takeover.

Azure AD-PowerShell-Cmdlets für die ForceTakeover-OptionAzure AD PowerShell cmdlets for the ForceTakeover option

Diese Cmdlets werden im PowerShell-Beispiel verwendet.You can see these cmdlets used in PowerShell example.

Cmdletcmdlet VerwendungUsage
connect-msolservice Wenn Sie dazu aufgefordert werden, melden Sie sich bei Ihrer verwalteten Organisation an.When prompted, sign in to your managed organization.
get-msoldomain Zeigt die der aktuellen Organisation zugeordneten Domänennamen an.Shows your domain names associated with the current organization.
new-msoldomain –name <domainname> Fügt der Organisation den Domänennamen als „Nicht überprüft “ hinzu (DNS-Überprüfung wurde noch nicht ausgeführt).Adds the domain name to organization as Unverified (no DNS verification has been performed yet).
get-msoldomain Der Domänenname befindet sich nun in der Liste der Ihrer verwalteten Organisation zugeordneten Domänennamen, wird jedoch als Nicht überprüft aufgeführt.The domain name is now included in the list of domain names associated with your managed organization, but is listed as Unverified.
get-msoldomainverificationdns –Domainname <domainname> –Mode DnsTxtRecord Stellt Informationen bereit, die in den neuen DNS-TXT-Eintrag für die Domäne eingegeben werden müssen (MS=xxxxx).Provides the information to put into new DNS TXT record for the domain (MS=xxxxx). Die Bestätigung erfolgt möglicherweise nicht sofort, da es einige Zeit braucht, bis der TXT-Eintrag übernommen wird. Warten Sie also einfach einige Minuten, bevor Sie die Option -ForceTakeover in Betracht ziehen.Verification might not happen immediately because it takes some time for the TXT record to propagate, so wait a few minutes before considering the -ForceTakeover option.
confirm-msoldomain –Domainname <domainname> –ForceTakeover Force
  • Wenn Ihr Domänenname weiterhin unbestätigt bleibt, können Sie die Option -ForceTakeover anwenden.If your domain name is still not verified, you can proceed with the -ForceTakeover option. Damit wird bestätigt, dass der TXT-Eintrag erstellt wurde, und die Übernahme wird angestoßen.It verifies that the TXT record was created and kicks off the takeover process.
  • Die Option -ForceTakeover sollte dem Cmdlet nur beim Erzwingen einer externen Administratorübernahme hinzugefügt werden, z. B. wenn die nicht verwaltete Organisation Office 365-Dienste ausführt, die die Übernahme blockieren.The -ForceTakeover option should be added to the cmdlet only when forcing an external admin takeover, such as when the unmanaged organization has Office 365 services blocking the takeover.
  • get-msoldomain In der Liste der Domänen wird der Domänenname nun als Verified (Bestätigt) angezeigt.The domain list now shows the domain name as Verified.

    Hinweis

    Die nicht verwaltete Azure AD-Organisation wird 10 Tage nach dem Ausführen der externen ForceTakeover-Option gelöscht.The unmanaged Azure AD organization is deleted 10 days after you exercise the external takeover force option.

    PowerShell-BeispielPowerShell example

    1. Verwenden Sie für die Verbindung mit Azure AD diesen Anmeldeinformationen wir für die Verbindung mit der Self-Service-Lösung:Connect to Azure AD using the credentials that were used to respond to the self-service offering:

      Install-Module -Name MSOnline
      $msolcred = get-credential
      
      connect-msolservice -credential $msolcred
      
    2. Rufen Sie eine Liste von Domänen ab:Get a list of domains:

      Get-MsolDomain
      
    3. Führen Sie das Cmdlet „Get-MsolDomainVerificationDns“ aus, um eine Abfrage zu erstellen:Run the Get-MsolDomainVerificationDns cmdlet to create a challenge:

      Get-MsolDomainVerificationDns –DomainName *your_domain_name* –Mode DnsTxtRecord
      

      Beispiel:For example:

      Get-MsolDomainVerificationDns –DomainName contoso.com –Mode DnsTxtRecord
      
    4. Kopieren Sie den Wert (die Abfrage), der von diesem Befehl zurückgegeben wird.Copy the value (the challenge) that is returned from this command. Beispiel:For example:

      MS=32DD01B82C05D27151EA9AE93C5890787F0E65D9
      
    5. Erstellen Sie in Ihrem öffentlichen DNS-Namespace einen "DnsTxt"-Eintrag, der den Wert enthält, den Sie im vorherigen Schritt kopiert haben.In your public DNS namespace, create a DNS txt record that contains the value that you copied in the previous step. Der Name dieses Eintrags ist der Name der übergeordneten Domäne. Wenn Sie also diesen Ressourceneintrag mithilfe der DNS-Rolle von Windows Server erstellen, sollten Sie den Eintragsnamen leer lassen und bloß den Wert in das Textfeld kopieren.The name for this record is the name of the parent domain, so if you create this resource record by using the DNS role from Windows Server, leave the Record name blank and just paste the value into the Text box.

    6. Führen Sie das Cmdlet "Confirm-MsolDomain" aus, um die Abfrage zu überprüfen:Run the Confirm-MsolDomain cmdlet to verify the challenge:

      Confirm-MsolDomain –DomainName *your_domain_name* –ForceTakeover Force
      

      Beispiel:For example:

      Confirm-MsolDomain –DomainName contoso.com –ForceTakeover Force
      

    Bei einer erfolgreichen Abfrage kehren Sie ohne Fehler zur Eingabeaufforderung zurück.A successful challenge returns you to the prompt without an error.

    Nächste SchritteNext steps