Gestione dei nomi di dominio personalizzati nell'ID Microsoft Entra

Un nome di dominio è una parte importante dell'identificatore per le risorse in molte distribuzioni di Microsoft Entra. Fa parte di un nome utente o di un indirizzo di posta elettronica per un utente, parte dell'indirizzo di un gruppo e a volte fa parte dell'URI ID app per un'applicazione. Una risorsa in Microsoft Entra ID può includere un nome di dominio di proprietà dell'organizzazione Microsoft Entra (talvolta denominato tenant) che contiene la risorsa. Gli Amministrazione istrator globali e gli amministratori dei nomi di dominio possono gestire i domini in Microsoft Entra ID.

Impostare il nome di dominio primario per l'organizzazione Microsoft Entra

Suggerimento

I passaggi descritti in questo articolo possono variare leggermente in base al portale da cui si inizia.

Quando viene creata l'organizzazione, il nome di dominio iniziale, ad esempio "contoso.onmicrosoft.com", è anche il nome di dominio primario. Il dominio primario è il nome di dominio predefinito per un nuovo utente quando si crea un nuovo utente. Impostare un nome di dominio primario semplifica il processo di creazione di nuovi utenti nel portale da parte degli amministratori. Per cambiare il nome di dominio primario:

1. Accedere all'interfaccia di amministrazione di Microsoft Entra come almeno un Amministrazione istrator globale.

2. Selezionare Microsoft Entra ID.

3. Selezionare Nomi di dominio personalizzati.

   

4. Selezionare il nome del dominio che si vuole impostare come dominio primario.

5. Selezionare il comando Imposta come primario. Confermare la scelta quando viene richiesto.

   

È possibile modificare il nome di dominio primario per l'organizzazione scegliendo qualsiasi dominio personalizzato verificato e non federato. La modifica del dominio primario per l'organizzazione non comporta la modifica dei nomi utente degli utenti esistenti.

Aggiungere nomi di dominio personalizzati all'organizzazione Microsoft Entra

È possibile aggiungere fino a 5000 nomi di dominio gestiti. Se si configurano tutti i domini per la federazione con Active Directory locale, è possibile aggiungere fino a 2500 nomi di dominio in ogni organizzazione.

Aggiungere sottodomini di un dominio personalizzato

Per aggiungere un nome di sottodominio, ad esempio "europe.contoso.com" all'organizzazione, è prima necessario aggiungere e verificare il dominio radice, ad esempio contoso.com. Il sottodominio viene verificato automaticamente da Microsoft Entra ID. Per controllare che il sottodominio aggiunto sia verificato, aggiornare l'elenco dei domini nel browser.

Se è già stato aggiunto un dominio contoso.com a un'organizzazione Microsoft Entra, è anche possibile verificare il sottodominio europe.contoso.com in un'altra organizzazione Microsoft Entra. Quando si aggiunge il sottodominio, viene richiesto di aggiungere un record TXT nel provider di hosting DNS.

Cosa fare se si modifica il registrar DNS per il nome di dominio personalizzato

Se si modifica il registrar DNS, non sono presenti altre attività di configurazione in Microsoft Entra ID. È possibile continuare a usare il nome di dominio con Microsoft Entra ID senza interruzioni. Se si usa il nome di dominio personalizzato con Microsoft 365, Intune o altri servizi che si basano sui nomi di dominio personalizzati in Microsoft Entra ID, vedere la documentazione relativa a tali servizi.

Eliminare un nome di dominio personalizzato

È possibile eliminare da Microsoft Entra ID i nomi di dominio personalizzati che l'organizzazione non usa più o se si desidera usarli in un'altra organizzazione di Microsoft Entra.

Per eliminare un nome di dominio personalizzato, è prima necessario assicurarsi che nell'organizzazione non siano presenti risorse che usano tale nome di dominio. Non è possibile eliminare un nome di dominio dall'organizzazione nei casi seguenti:

• Sono presenti utenti con un nome utente, un indirizzo di posta elettronica o un indirizzo proxy che include il nome di dominio.
• Sono presenti gruppi con un indirizzo di posta elettronica o un indirizzo proxy che include il nome di dominio.
• Qualsiasi applicazione in Microsoft Entra ID ha un’app ID URI che include il nome di dominio.

È necessario modificare o eliminare tali risorse nell'organizzazione di Microsoft Entra prima di poter eliminare il nome di dominio personalizzato.

Nota

Per eliminare il dominio personalizzato, usare un account Amministrazione istrator globale basato sul dominio predefinito (onmicrosoft.com) o su un dominio personalizzato diverso (mydomainname.com).

Opzione ForceDelete

È possibile forceDelete un nome di dominio nel portale di Azure o usare l'API Microsoft Graph. Tali opzioni usano un'operazione asincrona e aggiornano tutti i riferimenti del nome di dominio personalizzato, come "user@contoso.com", con il nome di dominio predefinito iniziale, come "user@contoso.onmicrosoft.com".

Per chiamare ForceDelete nel portale di Azure, è necessario verificare che siano presenti meno di 1000 riferimenti al nome di dominio e aggiornare o rimuovere nell'interfaccia di amministrazione di Exchange tutti i riferimenti in cui il servizio di provisioning è Exchange. Ciò include le liste di distribuzione e i gruppi di sicurezza abilitati per la posta di Exchange. Per altre informazioni, vedere Rimozione di gruppi di sicurezza abilitati alla posta elettronica. L'operazione ForceDelete non riesce, inoltre, in presenza di una delle condizioni seguenti:

• È stato acquistato un dominio tramite i servizi di sottoscrizione di domini di Microsoft 365
• Si amministra come partner per conto dell'organizzazione di un altro cliente

L'operazione ForceDelete include le azioni seguenti:

• Rinomina il nome dell'entità utente, l'indirizzo di posta elettronica e l'indirizzo proxy degli utenti con riferimenti al nome di dominio personalizzato usando il nome di dominio predefinito iniziale.
• Rinomina l'indirizzo di posta elettronica dei gruppi con riferimenti al nome di dominio personalizzato usando il nome di dominio predefinito iniziale.
• Rinomina gli URI identificatore delle applicazioni con riferimenti al nome di dominio personalizzato usando il nome di dominio predefinito iniziale.
• Disabilita gli account utente interessati dall'opzione ForceDelete nell'interfaccia di amministrazione di Azure/Microsoft Entra e, facoltativamente, quando si usa l'API Graph.

Viene restituito un errore nei casi seguenti:

• Il numero di oggetti da rinominare è superiore a 1000
• Una delle applicazioni da rinominare è un'app multi-tenant

Procedure consigliate per l'igiene del dominio

Usare un registrar affidabile che fornisce numerose notifiche per le modifiche dei nomi di dominio, la scadenza della registrazione, un periodo di tolleranza per i domini scaduti e mantiene standard di sicurezza elevati per controllare chi ha accesso alla configurazione del nome di dominio e ai record TXT. Mantenere aggiornati i nomi di dominio con il registrar e verificare la precisione dei record TXT.

• Se il nome di dominio è scaduto o si trasferisce la proprietà a un altro utente (separatamente dal tenant di Microsoft Entra), è consigliabile eliminarlo dal tenant di Microsoft Entra prima della scadenza o del trasferimento.
• Se si consente la scadenza del nome di dominio, se è possibile riattivarlo o riprenderne il controllo, esaminare attentamente tutti i record TXT con il registrar per assicurarsi che non sia stata eseguita alcuna manomissione del nome di dominio.
• Se non è possibile riattivare o recuperare immediatamente il controllo del nome di dominio, è necessario eliminarlo dal tenant di Microsoft Entra. Non leggere/ripetere la verifica finché non si riesce a risolvere la proprietà del nome di dominio e verificare la correttezza del record TXT completo.

Nota

Microsoft non consentirà la verifica di un nome di dominio con più tenant di Microsoft Entra. Dopo aver eliminato un nome di dominio dal tenant, non sarà possibile riaggiungerlo/verificarlo nuovamente con il tenant di Microsoft Entra se successivamente viene aggiunto e verificato con un altro tenant di Microsoft Entra.

Domande frequenti

D: Perché l'eliminazione del dominio non riesce e genera un errore che indica la presenza di gruppi gestiti da Exchange per il nome di dominio?
R: Attualmente, il provisioning di determinati gruppi, come gli elenchi distribuiti e i gruppi di sicurezza abilitati alla posta elettronica, viene effettuato da Exchange ed è necessario eseguirne manualmente la pulizia nell'interfaccia di amministrazione di Exchange. Potrebbe esserci proxyAddresses persistente, che si basa sul nome di dominio personalizzato e dovrà essere aggiornato manualmente a un altro nome di dominio.

D: Perché dopo aver eseguito l'accesso come admin@contoso.com non è possibile eliminare il nome di dominio "contoso.com"?
R: Non è possibile fare riferimento al nome di dominio personalizzato che si sta tentando di eliminare nel nome dell'account utente. Assicurarsi che l'account amministratore globale usi il nome di dominio predefinito iniziale ".onmicrosoft.com", ad esempio admin@contoso.onmicrosoft.com. Accedere con un diverso account amministratore globale, ad esempio admin@contoso.onmicrosoft.com, o con un altro nome di dominio personalizzato come "fabrikam.com", per il quale l'account è admin@fabrikam.com.

D: Ho fatto clic sul pulsante Elimina dominio e visualizzare In Progress lo stato per l'operazione Di eliminazione. Quanto tempo richiede? Che cosa accade se non riesce?
R: L'operazione di eliminazione di un dominio è un attività asincrona in background che rinomina tutti i riferimenti al nome di dominio. Il completamento può richiedere fino a 24 ore. Se l'eliminazione del dominio non riesce, verificare che non sia presente quanto segue:

• App configurate per il nome di dominio con l'URI identificatore dell'app
• Gruppi abilitati alla posta elettronica che fanno riferimento al nome di dominio personalizzato
• Più di 1000 riferimenti al nome di dominio
• Dominio da rimuovere come dominio primario dell'organizzazione

Si noti anche che l'opzione ForceDelete non funzionerà se il dominio usa il tipo di autenticazione federata. In tal caso, gli utenti o i gruppi nel dominio devono essere rinominati o rimossi usando il Active Directory locale prima di ripetere la rimozione del dominio. Se si rileva che una delle condizioni non è stata soddisfatta, pulire manualmente i riferimenti e provare a eliminare nuovamente il dominio.

Usare PowerShell o l'API Microsoft Graph per gestire i nomi di dominio

La maggior parte delle attività di gestione per i nomi di dominio in Microsoft Entra ID può essere completata anche tramite Microsoft PowerShell o a livello di codice tramite l'API Microsoft Graph.

• Uso di PowerShell per gestire i nomi di dominio in Microsoft Entra ID
• Domain tipo di risorsa

Passaggi successivi

• Aggiungere nomi di dominio personalizzati
• Rimuovere i gruppi di sicurezza abilitati alla posta elettronica di Exchange in Exchange Amministrazione Center in un nome di dominio personalizzato in Microsoft Entra ID
• Eseguire l'operazione ForceDelete su un nome di dominio personalizzato con l'API Microsoft Graph