Adquisición de un directorio no administrado como administrador en Azure Active DirectoryTake over an unmanaged directory as administrator in Azure Active Directory

En este artículo se describen dos maneras de adquirir un nombre de dominio DNS en un directorio no administrado en Azure Active Directory (Azure AD).This article describes two ways to take over a DNS domain name in an unmanaged directory in Azure Active Directory (Azure AD). Cuando un usuario de autoservicio se registra en un servicio en la nube que usa Azure AD, se agrega a un directorio de Azure AD no administrado en función del dominio de su correo electrónico.When a self-service user signs up for a cloud service that uses Azure AD, they are added to an unmanaged Azure AD directory based on their email domain. Para más información sobre el registro de autoservicio o "viral" de un servicio, consulte ¿Qué es el registro de autoservicio de Azure Active Directory?For more about self-service or "viral" sign-up for a service, see What is self-service sign-up for Azure Active Directory?

Decida cómo desea adquirir un directorio no administradoDecide how you want to take over an unmanaged directory

Durante el proceso de adquisición de un administrador, puede comprobar la propiedad tal como se describe en Incorporación de un nombre de dominio personalizado a Azure Active Directory.During the process of admin takeover, you can prove ownership as described in Add a custom domain name to Azure AD. En las secciones siguientes se explica con más detalle la experiencia del administrador, pero a continuación se incluye un resumen:The next sections explain the admin experience in more detail, but here's a summary:

  • Cuando realiza una adquisición de administración "interna"de un directorio de Azure no administrado, se le agrega como el administrador global del directorio no administrado.When you perform an "internal" admin takeover of an unmanaged Azure directory, you are added as the global administrator of the unmanaged directory. Ningún usuario, dominio ni plan de servicio se migra a ningún otro directorio que administra.No users, domains, or service plans are migrated to any other directory you administer.

  • Cuando realiza una adquisición de administración "externa" de un directorio de Azure no administrado, agrega el nombre de dominio de DNS del directorio no administrado a su directorio de Azure administrado.When you perform an "external" admin takeover of an unmanaged Azure directory, you add the DNS domain name of the unmanaged directory to your managed Azure directory. Cuando agrega el nombre de dominio, se crea una asignación de usuarios a recursos en el directorio de Azure administrado para que los usuarios puedan seguir teniendo acceso a los servicios sin interrupción.When you add the domain name, a mapping of users to resources is created in your managed Azure directory so that users can continue to access services without interruption.

Adquisición de administración internaInternal admin takeover

Algunos productos que incluyen SharePoint y OneDrive, como Office 365, no admiten la adquisición externa.Some products that include SharePoint and OneDrive, such as Office 365, do not support external takeover. Si su escenario es ese o si es administrador y desea adquirir una organización de Azure AD no administrada o "paralela" creada por usuarios que utilizaron el registro de autoservicio, puede hacerlo con una adquisición de administración interna.If that is your scenario, or if you are an admin and want to take over an unmanaged or "shadow" Azure AD organization create by users who used self-service sign-up, you can do this with an internal admin takeover.

  1. Cree un contexto de usuario en la organización no administrada mediante el registro con Power BI.Create a user context in the unmanaged organization through signing up for Power BI. Para facilitar el ejemplo, en estos pasos se presupone que esa es la ruta.For convenience of example, these steps assume that path.

  2. Abra el sitio de Power BI y seleccione Empiece gratis.Open the Power BI site and select Start Free. Escriba una cuenta de usuario en la que se use el nombre de dominio de la organización, por ejemplo, admin@fourthcoffee.xyz.Enter a user account that uses the domain name for the organization; for example, admin@fourthcoffee.xyz. Escriba el código de verificación y, luego, revise su correo electrónico para recibir el código de confirmación.After you enter in the verification code, check your email for the confirmation code.

  3. En el correo electrónico de confirmación de Power BI, seleccione la opción que indica que es el destinatario del mensaje.In the confirmation email from Power BI, select Yes, that's me.

  4. Inicie sesión en el Centro de administración de Microsoft 365 con la cuenta de usuario de Power BI.Sign in to the Microsoft 365 admin center with the Power BI user account. Recibe un mensaje que le indica que debe convertirse en el administrador del nombre de dominio que ya se comprobó en la organización no administrada.You receive a message that instructs you to Become the Admin of the domain name that was already verified in the unmanaged organization. Seleccione la opción que indica que desea convertirse en el administrador.select Yes, I want to be the admin.

    primera captura de pantalla para convertirse en el administrador

  5. Agregue el registro TXT para comprobar que el nombre de dominio fourthcoffee.xyz en el registrador de nombres de dominio es de su propiedad.Add the TXT record to prove that you own the domain name fourthcoffee.xyz at your domain name registrar. En este ejemplo, es GoDaddy.com.In this example, it is GoDaddy.com.

    Agregar un registro TXT para el nombre de dominio

Una vez que los registros TXT de DNS se comprueban en el registrador de nombres de dominio, puede administrar la organización de Azure AD.When the DNS TXT records are verified at your domain name registrar, you can manage the Azure AD organization.

Después de completar los pasos anteriores, ya es el administrador de empresa de la organización Fourth Coffee en Office 365.When you complete the preceding steps, you are now the global administrator of the Fourth Coffee organization in Office 365. Para integrar el nombre de dominio con los otros servicios de Azure, puede quitarlo de Office 365 y agregarlo a una organización administrada distinta en Azure.To integrate the domain name with your other Azure services, you can remove it from Office 365 and add it to a different managed organization in Azure.

Incorporación del nombre de dominio a una organización administrada en Azure ADAdding the domain name to a managed organization in Azure AD

  1. Abra el Centro de administración de Microsoft 365.Open the Microsoft 365 admin center.

  2. Seleccione la pestaña Usuarios y cree una cuenta de usuario con un nombre como user@fourthcoffeexyz.onmicrosoft.com que no use el nombre de dominio personalizado.Select Users tab, and create a new user account with a name like user@fourthcoffeexyz.onmicrosoft.com that does not use the custom domain name.

  3. Asegúrese de que la cuenta de usuario nueva tenga privilegios administrativos globales en la organización de Azure AD.Ensure that the new user account has global admin privileges for the Azure AD organization.

  4. Abra la pestaña Dominios del Centro de administración de Microsoft 365, seleccione el nombre de dominio y haga clic en Quitar.Open Domains tab in the Microsoft 365 admin center, select the domain name and select Remove.

    quitar el nombre de dominio de Office 365

  5. Si tiene usuarios o grupos en Office 365 que haga referencia al nombre de dominio que se quitó, se les debe cambiar el nombre al dominio .onmicrosoft.com.If you have any users or groups in Office 365 that reference the removed domain name, they must be renamed to the .onmicrosoft.com domain. Si se fuerza la eliminación del nombre de dominio, se cambia automáticamente el nombre de todos los usuarios, como en este ejemplo a user@fourthcoffeexyz.onmicrosoft.com.If you force delete the domain name, all users are automatically renamed, in this example to user@fourthcoffeexyz.onmicrosoft.com.

  6. Inicie sesión en el Centro de administración de Azure AD con una cuenta que tenga el rol de administrador global en la organización de Azure AD.Sign in to the Azure AD admin center with an account that is the global admin for the Azure AD organization.

  7. Seleccione Nombres de dominio personalizados y, luego, agregue el nombre de dominio.Select Custom domain names, then add the domain name. Deberá especificar los registros TXT de DNS para comprobar la propiedad del nombre de dominio.You'll have to enter the DNS TXT records to verify ownership of the domain name.

    comprobación del dominio como agregado a Azure AD

Nota

Cualquier usuario de Power BI o del servicio Azure Rights Management que tenga licencias asignadas en la organización de Office 365 debe guardar los paneles si se quita el nombre de dominio.Any users of Power BI or Azure Rights Management service who have licenses assigned in the Office 365 organization must save their dashboards if the domain name is removed. Debe iniciar sesión con un nombre de usuario como user@fourthcoffeexyz.onmicrosoft.com, en lugar de user@fourthcoffee.xyz.They must sign in with a user name like user@fourthcoffeexyz.onmicrosoft.com rather than user@fourthcoffee.xyz.

Adquisición de administración externaExternal admin takeover

Si ya administra una organización con los servicios de Azure u Office 365, no puede agregar ningún nombre de dominio personalizado si ya se comprobó en otra organización de Azure AD.If you already manage an organization with Azure services or Office 365, you cannot add a custom domain name if it is already verified in another Azure AD organization. Sin embargo, desde la organización administrada en Azure AD puede adquirir una organización no administrada como una adquisición de administración externa.However, from your managed organization in Azure AD you can take over an unmanaged organization as an external admin takeover. El procedimiento general sigue lo que se indica en el artículo Incorporación de un dominio personalizado a Azure AD.The general procedure follows the article Add a custom domain to Azure AD.

Cuando se comprueba la propiedad del nombre de dominio, Azure AD quita el nombre de dominio de la organización no administrada y lo mueve a la organización existente.When you verify ownership of the domain name, Azure AD removes the domain name from the unmanaged organization and moves it to your existing organization. La adquisición de administración externa de un directorio no administrado requiere el mismo proceso de validación de TXT de DNS que la adquisición de administración interna.External admin takeover of an unmanaged directory requires the same DNS TXT validation process as internal admin takeover. La diferencia es que los siguientes elementos también se mueven con el nombre de dominio:The difference is that the following are also moved over with the domain name:

  • UsuariosUsers
  • SuscripcionesSubscriptions
  • Asignaciones de licenciaLicense assignments

Compatibilidad con la adquisición de administración externaSupport for external admin takeover

La adquisición de administración externa es compatible con los servicios en línea siguientes:External admin takeover is supported by the following online services:

  • Azure Rights ManagementAzure Rights Management
  • Exchange OnlineExchange Online

Los planes de servicio compatibles incluyen:The supported service plans include:

  • PowerApps FreePowerApps Free
  • PowerFlow FreePowerFlow Free
  • RMS para individuosRMS for individuals
  • Microsoft StreamMicrosoft Stream
  • Evaluación gratuita de Dynamics 365Dynamics 365 free trial

La adquisición de administración externa no es compatible con ningún servicio con planes de servicio que incluyan SharePoint, OneDrive o Skype Empresarial, por ejemplo, con una suscripción gratuita de Office.External admin takeover is not supported for any service that has service plans that include SharePoint, OneDrive, or Skype For Business; for example, through an Office free subscription.

También puede usar la opción ForceTakeover para quitar el nombre de dominio de la organización no administrada y comprobarlo en la organización deseada.You can optionally use the ForceTakeover option for removing the domain name from the unmanaged organization and verifying it on the desired organization.

Más información acerca de RMS para individuosMore information about RMS for individuals

En el caso de RMS para individuos, cuando la organización no administrada está en la misma región que la organización que posee, tanto la clave de organización de Azure Information Protection como las plantillas de protección predeterminadas, que se crean automáticamente, se mueven con el nombre de dominio.For RMS for individuals, when the unmanaged organization is in the same region as the organization that you own, the automatically created Azure Information Protection organization key and default protection templates are additionally moved over with the domain name.

Si la organización no administrada está en otra región, la clave y las plantillas no se mueven.The key and templates are not moved over when the unmanaged organization is in a different region. Por ejemplo, si la organización no administrada está en Europa y la organización que posee se encuentra en Norteamérica.For example, if the unmanaged organization is in Europe and the organization that you own is in North America.

Aunque RMS para individuos está diseñado para admitir la autenticación de Azure AD para abrir contenido protegido, no impide que los usuarios también protejan el contenido.Although RMS for individuals is designed to support Azure AD authentication to open protected content, it doesn't prevent users from also protecting content. Si los usuarios han protegido el contenido con la suscripción a RMS para individuos y la clave y las plantillas no se han movido, no será posible acceder a dicho contenido después de la adquisición del dominio.If users did protect content with the RMS for individuals subscription, and the key and templates were not moved over, that content is not accessible after the domain takeover.

Cmdlets de Azure AD PowerShell para la opción ForceTakeoverAzure AD PowerShell cmdlets for the ForceTakeover option

Puede ver estos cmdlets en uso en el ejemplo de PowerShell.You can see these cmdlets used in PowerShell example.

cmdletcmdlet UsoUsage
connect-msolservice Cuando se le solicite, inicie sesión en la organización administrada.When prompted, sign in to your managed organization.
get-msoldomain Muestra los nombres de dominio asociados a la organización actual.Shows your domain names associated with the current organization.
new-msoldomain –name <domainname> Agrega el nombre de dominio a la organización como No comprobado (todavía no se realiza ninguna comprobación DNS).Adds the domain name to organization as Unverified (no DNS verification has been performed yet).
get-msoldomain El nombre de dominio ahora se incluye en la lista de los nombres de dominio asociada con la organización administrada, pero aparece como No comprobado.The domain name is now included in the list of domain names associated with your managed organization, but is listed as Unverified.
get-msoldomainverificationdns –Domainname <domainname> –Mode DnsTxtRecord Proporciona la información que se va a ingresar en el registro TXT de DNS para el dominio (MS=xxxxx).Provides the information to put into new DNS TXT record for the domain (MS=xxxxx). Es posible que la comprobación no suceda de inmediato porque el registro TXT tarda un tiempo en propagarse. Por lo tanto, debe esperar unos minutos antes de considerar la opción -ForceTakeover.Verification might not happen immediately because it takes some time for the TXT record to propagate, so wait a few minutes before considering the -ForceTakeover option.
confirm-msoldomain –Domainname <domainname> –ForceTakeover Force
  • Si todavía no es posible comprobar el nombre de dominio, puede continuar con la opción -ForceTakeover.If your domain name is still not verified, you can proceed with the -ForceTakeover option. Comprueba que se creó el registro TXT e inicia el proceso de adquisición.It verifies that the TXT record was created and kicks off the takeover process.
  • La opción -ForceTakeover se debe agregar al cmdlet solo cuando se fuerza una adquisición de administración externa, por ejemplo, cuando la organización no administrada tiene servicios de Office 365 que bloquean la adquisición.The -ForceTakeover option should be added to the cmdlet only when forcing an external admin takeover, such as when the unmanaged organization has Office 365 services blocking the takeover.
  • get-msoldomain La lista de dominios ahora muestra el nombre de dominio como Comprobado.The domain list now shows the domain name as Verified.

    Nota

    La organización de Azure AD no administrada se elimina 10 días después de que se ejecute la opción de fuerza de adquisición externa.The unmanaged Azure AD organization is deleted 10 days after you exercise the external takeover force option.

    Ejemplo de PowerShellPowerShell example

    1. Conéctese a Azure AD con las credenciales que se usaron para responder a la oferta de autoservicio:Connect to Azure AD using the credentials that were used to respond to the self-service offering:

      Install-Module -Name MSOnline
      $msolcred = get-credential
      
      connect-msolservice -credential $msolcred
      
    2. Obtenga una lista de dominios:Get a list of domains:

      Get-MsolDomain
      
    3. Ejecute el cmdlet Get-MsolDomainVerificationDns para crear un desafío:Run the Get-MsolDomainVerificationDns cmdlet to create a challenge:

      Get-MsolDomainVerificationDns –DomainName *your_domain_name* –Mode DnsTxtRecord
      

      Por ejemplo:For example:

      Get-MsolDomainVerificationDns –DomainName contoso.com –Mode DnsTxtRecord
      
    4. Copie el valor (el desafío) que se devuelve desde este comando.Copy the value (the challenge) that is returned from this command. Por ejemplo:For example:

      MS=32DD01B82C05D27151EA9AE93C5890787F0E65D9
      
    5. En el espacio de nombres DNS público, cree un registro txt de DNS que contenga el valor que copió en el paso anterior.In your public DNS namespace, create a DNS txt record that contains the value that you copied in the previous step. El nombre de este registro es el nombre del dominio principal, por lo que si crea este registro de recursos con el rol DNS desde Windows Server, deje el nombre del registro en blanco y pegue el valor en el cuadro de texto.The name for this record is the name of the parent domain, so if you create this resource record by using the DNS role from Windows Server, leave the Record name blank and just paste the value into the Text box.

    6. Ejecute el cmdlet Confirm-MsolDomain para comprobar el desafío:Run the Confirm-MsolDomain cmdlet to verify the challenge:

      Confirm-MsolDomain –DomainName *your_domain_name* –ForceTakeover Force
      

      Por ejemplo:For example:

      Confirm-MsolDomain –DomainName contoso.com –ForceTakeover Force
      

    Un desafío correcto le devuelve el mensaje sin errores.A successful challenge returns you to the prompt without an error.

    Pasos siguientesNext steps