Gestion des noms de domaine personnalisés dans votre Microsoft Entra ID

Un nom de domaine est une partie importante de l'identifiant des ressources dans de nombreux déploiements Microsoft Entra. Il fait partie du nom ou de l’adresse e-mail d’un utilisateur, de l’adresse d’un groupe et parfois de l’URI de l’ID de l’application. Une ressource dans Microsoft Entra ID peut inclure un nom de domaine appartenant à l'organisation Microsoft Entra (parfois appelée locataire) qui contient la ressource. Les administrateurs généraux et les administrateurs de noms de domaine peuvent gérer les domaines dans Microsoft Entra ID.

Définir le nom de domaine principal de votre organisation Microsoft Entra

Conseil

Les étapes décrites dans cet article pourraient varier légèrement en fonction du portail de départ.

Lors de la création de l’organisation, le nom de domaine initial, par exemple « contoso.onmicrosoft.com », est également le nom de domaine principal. Le domaine principal est le nom de domaine par défaut pour un nouvel utilisateur lorsque vous créez un nouvel utilisateur. Le fait de définir un nom de domaine principal simplifie le processus permettant à un administrateur de créer des utilisateurs dans le portail. Pour modifier le nom de domaine principal, procédez comme suit :

1. Connectez-vous au Centre d’administration Microsoft Entra au moins en tant qu’Administrateur d’utilisateurs.

2. Sélectionnez Microsoft Entra ID.

3. Sélectionnez Noms de domaine personnalisés.

   

4. Sélectionnez le nom du domaine que vous souhaitez choisir comme domaine principal.

5. Sélectionnez la commande Définir comme principal. Confirmez votre choix lorsque vous y êtes invité.

   

Vous pouvez modifier le nom de domaine principal de votre organisation par n’importe quel domaine personnalisé vérifié qui n’est pas fédéré. La modification du domaine principal de votre organisation ne change pas le nom d’utilisateur des utilisateurs existants.

Ajoutez des noms de domaine personnalisés à votre organisation Microsoft Entra

Vous pouvez ajouter jusqu’à 5 000 noms de domaine managé. Si vous configurez tous vos domaines pour la fédération avec Windows Server Active Directory, vous pouvez ajouter jusqu’à 2 500 noms de domaine dans chaque organisation.

Ajouter des sous-domaines d’un domaine personnalisé

Si vous souhaitez ajouter un nom de sous-domaine, tel que « europe.contoso.com » à votre organisation, vous devez tout d’abord ajouter et vérifier le domaine racine, tel que « contoso.com ». Le sous-domaine est automatiquement vérifié par Microsoft Entra ID. Pour voir que le sous-domaine ajouté est vérifié, actualisez la liste des domaines dans le navigateur.

Si vous avez déjà ajouté un domaine contoso.com à une organisation Microsoft Entra, vous pouvez également vérifier le sous-domaine europe.contoso.com dans une autre organisation Microsoft Entra. Lorsque vous ajoutez le sous-domaine, vous êtes invité à ajouter un enregistrement TXT au fournisseur d’hébergement DNS.

Que faire en cas de modification du bureau d’enregistrement DNS pour votre nom de domaine personnalisé ?

Si vous modifiez les bureaux d'enregistrement DNS, il n'y a aucune autre tâche de configuration dans Microsoft Entra ID. Vous pouvez continuer à utiliser le nom de domaine avec Microsoft Entra ID sans interruption. Si vous utilisez votre nom de domaine personnalisé avec Microsoft 365, Intune ou d'autres services qui reposent sur des noms de domaine personnalisés dans Microsoft Entra ID, consultez la documentation de ces services.

Supprimer un nom de domaine personnalisé

Vous pouvez supprimer un nom de domaine personnalisé de votre identifiant Microsoft Entra si votre organisation n'utilise plus ce nom de domaine ou si vous devez utiliser ce nom de domaine avec une autre organisation Microsoft Entra.

Pour supprimer un nom de domaine personnalisé, vous devez d’abord vous assurer qu’aucune des ressources de votre organisation ne s’appuie sur le nom de domaine. Vous ne pouvez pas supprimer un nom de domaine de votre organisation si :

• L’utilisateur dispose d’un nom d’utilisateur, d’une adresse de messagerie ou d’une adresse de proxy qui incluent le nom de domaine.
• Le groupe dispose d’une adresse de messagerie ou d’une adresse de proxy qui incluent le nom de domaine.
• Toute application de votre Microsoft Entra ID possède un URI d’ID d’application qui inclut le nom de domaine.

Vous devez modifier ou supprimer une ressource de ce type dans votre organisation Microsoft Entra avant de pouvoir supprimer le nom de domaine personnalisé.

Remarque

Pour supprimer le domaine personnalisé, utilisez un compte Administrateur général basé sur le domaine par défaut (onmicrosoft.com) ou sur un autre domaine personnalisé (mydomainname.com).

Option ForceDelete

Vous pouvez appliquer l’option ForceDelete à un nom de domaine dans le portail Azure ou en utilisant l’API Microsoft Graph. Ces options utilisent une opération asynchrone et mettent à jour toutes les références depuis le nom de domaine personnalisé comme « user@contoso.com » vers le nom de domaine par défaut initial comme « user@contoso.onmicrosoft.com ».

Pour appeler ForceDelete dans le Portail Azure, vous devez vous assurer qu’il y a moins de 1 000 références au nom de domaine, et toutes les références dans lesquelles Exchange est le service d’approvisionnement doivent être mises à jour ou supprimées dans le Centre d’administration Exchange. Cela inclut les groupes de sécurité à extension messagerie et les listes distribuées. Pour plus d’informations, consultez Suppression de groupes de sécurité à extension courrier. En outre, l’opération ForceDelete échoue si l’un des énoncés suivants est vrai :

• Vous avez acheté un domaine par le biais des services d’abonnement de domaine Microsoft 365
• Vous êtes un partenaire qui administre le compte d’une autre organisation cliente

Les actions suivantes sont effectuées dans le cadre de l’opération ForceDelete :

• Renommage des éléments UPN, EmailAddress et ProxyAddress des utilisateurs avec des références au nom de domaine personnalisé vers le nom de domaine par défaut initial.
• Renommage de l’élément EmailAddress des groupes avec des références au nom de domaine personnalisé vers le nom de domaine par défaut initial.
• Renommage des éléments identifierUris des applications avec des références au nom de domaine personnalisé vers le nom de domaine par défaut initial.
• Désactive les comptes d’utilisateur affectés par l’option ForceDelete dans le portail Azure/centre d’administration Microsoft Entra et éventuellement lors de l’utilisation de l’API Graph.

Une erreur est renvoyée quand :

• Le nombre d’objets à renommer est supérieur à 1 000
• L'une des applications à renommer est une application multilocataire

Bonnes pratiques pour l’hygiène de domaine

Utilisez un bureau d’enregistrement fiable qui fournit de nombreuses notifications pour les changements de nom de domaine, l’expiration des inscriptions, une période de grâce pour les domaines expirés, et maintient des normes de sécurité élevées pour contrôler qui a accès à votre configuration de nom de domaine et à vos enregistrements TXT. Tenez vos noms de domaine à jour auprès de votre bureau d’enregistrement et vérifiez l’exactitude des enregistrements TXT.

• Vous devez modifier ou supprimer une ressource de ce type dans votre organisation Microsoft Entra avant de pouvoir supprimer le nom de domaine personnalisé.
• Si vous autorisez l’expiration de votre nom de domaine, si vous êtes en mesure de le réactiver ou de reprendre son contrôle, examinez attentivement tous les enregistrements TXT auprès du bureau d’enregistrement pour vous assurer qu’aucune falsification de votre nom de domaine n’a eu lieu.
• Si vous ne pouvez pas réactiver ou reprendre le contrôle de votre nom de domaine immédiatement, vous devez le supprimer de votre client Microsoft Entra. Ne lisez/revérifiez pas tant que vous n’êtes pas en mesure de résoudre la propriété du nom de domaine et de vérifier l’exactitude de l’enregistrement TXT entier.

Remarque

Microsoft n’autorisera pas la vérification d’un nom de domaine avec plus d’un tenant Microsoft Entra. Une fois que vous avez supprimé un nom de domaine de votre locataire, vous ne pourrez plus l'ajouter/le revérifier avec votre locataire Microsoft Entra s'il est ensuite ajouté et vérifié avec un autre locataire Microsoft Entra.

Forum aux questions

Q : Pourquoi la suppression du domaine échoue-t-elle avec une erreur indiquant que je dispose de groupes Exchange contrôlés sur ce nom de domaine ?
R : Aujourd'hui, certains groupes tels que les groupes de sécurité à extension messagerie et les listes distribuées sont approvisionnés par Exchange et doivent être nettoyés manuellement dans le Centre d'administration Exchange. Des éléments ProxyAddresses, qui reposent sur le nom de domaine personnalisé, peuvent être en attente et devront être mis à jour manuellement avec un autre nom de domaine.

Q : Je suis connecté en tant que admin@contoso.com, mais je ne peux pas supprimer le nom de domaine « contoso.com ?
R : Vous ne pouvez pas référencer le nom de domaine personnalisé que vous cherchez à supprimer dans votre nom de compte d’utilisateur. Assurez-vous que le compte d’administrateur général utilise le nom de domaine par défaut initial (.onmicrosoft.com) comme admin@contoso.onmicrosoft.com. Connectez-vous avec un compte d’administrateur général différent comme admin@contoso.onmicrosoft.com ou un autre nom de domaine personnalisé comme « fabrikam.com » où le compte est admin@fabrikam.com.

Q : J’ai cliqué sur le bouton Supprimer un domaine et je peux voir l’état In Progress pour l’opération de suppression. Combien de temps cela prend-il ? Que se passe-t-il en cas d’échec ?
R : L'opération de suppression de domaine est une tâche d'arrière-plan asynchrone qui renomme toutes les références au nom de domaine. Cette opération peut prendre jusqu'à 24 heures. En cas d’échec de suppression du domaine, vérifiez que vous n’avez pas :

• Des applications configurées sur le nom de domaine avec l’appIdentifierURI
• Des groupes à extension de messagerie référençant le nom de domaine personnalisé
• Plus de 1 000 références au nom de domaine
• Domaine à supprimer comme domaine principal de votre organisation

Notez également que l’option ForceDelete ne fonctionne pas si le domaine utilise le type d’authentification fédérée. Dans ce cas, les utilisateurs/groupes sur le domaine doivent être renommés ou supprimés à l’aide de l’instance Active Directory locale avant de réessayer la suppression du domaine. Si vous remarquez que l’une des conditions n’a pas été respectée, nettoyez manuellement les références et essayez une nouvelle fois de supprimer le domaine.

Utiliser PowerShell ou l’API Microsoft Graph pour gérer les noms de domaine

La plupart des tâches de gestion des noms de domaine dans Microsoft Entra ID peuvent également être effectuées à l'aide de Microsoft PowerShell ou par programme à l'aide de l'API Microsoft Graph.

• Utiliser PowerShell pour gérer les noms de domaine dans Microsoft Entra ID
• Domain type de ressource

Étapes suivantes

• Ajouter des noms de domaines personnalisés
• Supprimer les groupes de sécurité à extension messagerie Exchange dans le Centre d'administration Exchange sur un nom de domaine personnalisé dans Microsoft Entra ID
• ForceDelete a custom domain name with Microsoft Graph API (Appliquer une opération ForceDelete sur un nom de domaine personnalisé avec l’API Microsoft Graph)