Freigeben über

Hinzufügen einer Domäne zu einem Kundenmandanten mit Windows PowerShell für Partner mit delegierten Zugriffsberechtigungen (Delegated Access Permission, DAP)

  • Artikel

Dieser Artikel gilt sowohl für Microsoft 365 Enterprise als auch für Office 365 Enterprise.

Sie können mit PowerShell für Microsoft 365 schneller neue Domänen erstellen und dem Mandanten Ihres Kunden zuordnen als mit dem Microsoft 365 Admin Center.

DAP-Partner (Delegated Access Permission, delegierte Zugriffsberechtigung) sind Syndication-Partner und Cloudlösungsanbieter (Cloud Solution Providers, CSP). Sie sind häufig Netzwerk- oder Telekommunikationsanbieter für andere Unternehmen. Sie bündeln Microsoft 365-Abonnements in ihren Dienstangeboten für ihre Kunden. Wenn sie ein Microsoft 365-Abonnement verkaufen, werden ihnen automatisch AOBO-Berechtigungen (Administer On Behalf Of, Verwalten im Auftrag von) für die Kundenmandanten erteilt, damit sie die Kundenmandanten verwalten und darüber berichten können.

Was sollten Sie wissen, bevor Sie beginnen?

Die Verfahren in diesem Artikel erfordern, dass Sie eine Verbindung mit Herstellen einer Verbindung mit Microsoft 365 mit PowerShell herstellen.

Sie benötigen auch die Administratoranmeldeinformationen Ihres Partnermandanten.

Sie benötigen außerdem die folgenden Informationen:

  • Sie benötigen den vollqualifizierten Domänennamen (FQDN), den der Kunde verwenden möchte.

  • Sie benötigen die TenantId des Kunden.

  • Der FQDN muss bei einer Registrierungsstelle für Internetdomänennamen, wie z. B. GoDaddy, registriert sein. Weitere Informationen zum öffentlichen Registrieren eines Domänennamens finden Sie unter Kaufen eines Domänennamens.

  • Sie müssen wissen, wie Sie einen TXT-Eintrag zur registrierten DNS-Zone für die DNS-Registrierungsstelle hinzufügen. Weitere Informationen zum Hinzufügen eines TXT-Eintrags finden Sie unter Hinzufügen von DNS-Einträgen zum Herstellen einer Verbindung mit Ihrer Domäne. Wenn diese Verfahren für Sie nicht funktionieren, müssen Sie die Verfahren für Ihre DNS-Registrierungsstelle suchen.

Erstellen von Domänen

Ihre Kunden werden Sie wahrscheinlich bitten, zusätzliche Domänen zu erstellen, die ihrem Mandanten zugeordnet werden sollen, da sie nicht möchten, dass die Standarddomäne.onmicrosoft.com <>Domäne die primäre Domäne ist, die ihre Unternehmensidentitäten weltweit darstellt. Dieses Verfahren leitet Sie durch die Schritte zum Erstellen einer neuen Domäne, die Sie mit dem Kundenmandanten verknüpfen können.

Hinweis

Um einige dieser Vorgänge auszuführen, muss das Partneradministratorkonto, mit dem Sie sich anmelden, für die Einstellung Zuweisen von Administratorzugriff zu unterstützten Unternehmen in den Details des Administratorkontos im Microsoft 365 Admin Center auf Vollständige Verwaltung festgelegt werden. Weitere Informationen zum Verwalten von Partneradministratorrollen finden Sie unter Partner: Anbieten delegierter Verwaltung.

Create der Domäne in Microsoft Entra ID

Dieser Befehl erstellt die Domäne in Microsoft Entra ID ordnet sie jedoch nicht der öffentlich registrierten Domäne zu. Dies kommt, wenn Sie nachweisen, dass Sie die öffentlich registrierte Domäne für Microsoft 365 für Unternehmen besitzen.

Hinweis

Das Azure Active Directory-Modul wird durch das Microsoft Graph PowerShell SDK ersetzt. Sie können das Microsoft Graph PowerShell-SDK verwenden, um auf alle Microsoft Graph-APIs zuzugreifen. Weitere Informationen finden Sie unter Erste Schritte mit dem Microsoft Graph PowerShell-SDK.

Verwenden Sie zunächst ein Microsoft Entra DC-Administrator-, Cloud Application Admin- oder globales Administratorkonto, um eine Verbindung mit Ihrem Microsoft 365-Mandanten herzustellen.

Das Zuweisen und Entfernen von Lizenzen für einen Benutzer erfordert den Berechtigungsbereich Domain.ReadWrite.All oder eine der anderen Berechtigungen, die auf der Graph-API Referenzseite "Lizenz zuweisen" aufgeführt sind.

Hinweis

Azure AD- und MSOnline PowerShell-Module sind ab dem 30. März 2024 veraltet. Weitere Informationen finden Sie im Update zu Einstellungen. Nach diesem Datum beschränkt sich der Support für diese Module auf Unterstützung bei der Migration zum Microsoft Graph PowerShell SDK und auf Sicherheitskorrekturen. Die veralteten Module werden noch bis zum 30. März 2025 zur Verfügung stehen.

Es wird empfohlen, zu Microsoft Graph PowerShell zu migrieren, um mit Microsoft Entra ID (früher Azure AD) zu interagieren. Allgemeine Fragen zur Migration finden Sie in den Häufig gestellten Fragen zur Migration. Hinweis: Bei den Versionen 1.0.x von MSOnline kann es nach dem 30. Juni 2024 zu Unterbrechungen kommen.

Connect-MgGraph -Scopes "Domain.ReadWrite.All"

Führen Sie den folgenden Befehl aus, um eine neue Domäne zu erstellen:

New-MgDomain -Id <customer TenantId> -DomainNameReferences <FQDN of new domain>

Abrufen der Daten für den DNS-TXT-Überprüfungseintrag

Microsoft 365 generiert die spezifischen Daten, die Sie in den DNS TXT-Überprüfungseintrag einfügen müssen. Führen Sie diesen Befehl aus, um die Daten abzurufen.

Import-Module Microsoft.Graph.Identity.DirectoryManagement
(Get-MgDomainVerificationDnsRecord -DomainId <domain ID, i.e. contoso.com> | Where-Object {$_.RecordType -eq "Txt"}).AdditionalProperties.text

Mit diesem Befehl erhalten Sie Eine Ausgabe wie:

MS=ms########

Hinweis

Sie benötigen diesen Text, um den TXT-Eintrag in der öffentlich registrierten DNS-Zone zu erstellen. Stellen Sie sicher, dass Sie ihn kopieren und speichern.

Hinzufügen eines TXT-Eintrags zur öffentlich registrierten DNS-Zone

Bevor Microsoft 365 damit beginnt, Datenverkehr zu akzeptieren, der an den öffentlich registrierten Domänennamen weitergeleitet wird, müssen Sie nachweisen, dass Sie die Domäne besitzen und über Administratorberechtigungen für die Domäne verfügen. Sie weisen nach, dass Sie die Domäne besitzen, indem Sie einen TXT-Eintrag in der Domäne erstellen. Ein TXT-Eintrag hat keine Auswirkungen auf die Domäne, und er kann gelöscht werden, nachdem die Besitzrechte an der Domäne nachgewiesen wurden. Führen Sie zum Erstellen der TXT-Einträge die Schritte unter Hinzufügen von DNS-Einträgen aus, um eine Verbindung mit Ihrer Domäne herzustellen. Wenn diese Prozeduren für Sie nicht funktionieren, müssen Sie die Verfahren für Ihre DNS-Registrierungsstelle finden.

Bestätigen Sie die erfolgreiche Erstellung des TXT-Eintrags über Nslookup. Verwenden Sie die folgende Syntax.

nslookup -type=TXT <FQDN of registered domain>

Mit diesem Befehl erhalten Sie Eine Ausgabe wie:

Non-authoritative answer:

FQDN of the registered domain

text=MS=ms########

Überprüfen des Domänenbesitzes in Microsoft 365

In diesem letzten Schritt bestätigen Sie Microsoft 365, dass Sie besitzer der öffentlich registrierten Domäne sind. Nach diesem Schritt akzeptiert Microsoft 365 Datenverkehr, der an den neuen Domänennamen weitergeleitet wird. Um das Erstellen und Registrieren der neuen Domäne abzuschließen, führen Sie den folgenden Befehl aus.

Confirm-MgDomain -DomainId <FQDN of new domain> -InputObject @{TenantId=<customer TenantId>}

Dieser Befehl gibt keine Ausgabe zurück. Führen Sie daher diesen Befehl aus, um zu bestätigen, dass der Befehl funktioniert hat.

Get-MgDomain -DomainId <FQDN of new domain>

Dies gibt in etwa wie folgt zurück:

Id                            AuthenticationType AvailabilityStatus IsAdminManaged IsDefault IsInitial IsRoot IsVerified Manufact 
                                                                                                                         urer     
--                            ------------------ ------------------ -------------- --------- --------- ------ ---------- -------- 
contoso.com                   Managed                               True           True      True      True   True

Siehe auch

Hilfe für Partner