Controlar um diretório não gerenciado como administrador no Azure Active Directory

Este artigo descreve duas maneiras de controlar um nome de domínio DNS em um diretório não gerenciado no Azure AD (Azure Active Directory), parte do Microsoft Entra. Quando um usuário de autoatendimento se inscreve em um serviço de nuvem que usa o Azure AD, eles são adicionados a um diretório do Azure AD não gerenciado com base em seu domínio de email. Para obter mais informações sobre o autoatendimento ou a inscrição "viral" em um serviço, confira O que é a inscrição de autoatendimento do Azure Active Directory?

Decida como você deseja controlar um diretório não gerenciado

Durante o processo de controle do administrador, você pode comprovar a propriedade conforme descrito em Adicionar um nome de domínio personalizado para o Azure AD. As próximas seções explicam a experiência de administração mais detalhadamente, mas aqui está um resumo:

  • Ao realizar um controle do administrador “interno” de um diretório não gerenciado do Azure, você é adicionado como o administrador global do diretório não gerenciado. Nenhum usuário, domínio ou plano de serviço é migrado para qualquer outro diretório que você administra.

  • Ao realizar um controle do administrador “externo” de um diretório não gerenciado do Azure, você adiciona o nome de domínio DNS do diretório não gerenciado ao seu diretório do Azure gerenciado. Ao adicionar o nome de domínio, um mapeamento dos usuários para os recursos é criado no diretório gerenciado do Azure, assim os usuários podem continuar a acessar os serviços sem interrupção.

Assumir como administrador interno

Alguns produtos que incluem o SharePoint e o OneDrive, como o Microsoft 365, não dão suporte a controle externo. Se esse for o seu cenário ou se você for um administrador e quiser controlar uma organização do Azure AD "sombra" ou não gerenciada criada por usuários que usaram inscrição de autoatendimento, faça isso por meio do controle de administrador interno.

  1. Crie um contexto de usuário na organização não gerenciada por meio da inscrição no Power BI. Para fins de conveniência do exemplo, essas etapas pressupõem esse caminho.

  2. Abra o site do Power BI e selecione Iniciar gratuitamente. Insira uma conta de usuário que usa o nome de domínio para a organização como, por exemplo, admin@fourthcoffee.xyz. Depois que você inserir o código de verificação, confira seu email para ver o código de confirmação.

  3. No email de confirmação do Power BI, selecione Sim, sou eu.

  4. Entre no Centro de administração do Microsoft 365 com a conta de usuário do Power BI. Você receberá uma mensagem instruindo a Tornar-se o administrador do nome de domínio que já foi verificado na organização não gerenciada. selecione Sim, quero ser o administrador.

    first screenshot for Become the Admin

  5. Adicione o registro TXT para provar que você possui o nome de domínio fourthcoffee.xyz no seu registrador de nomes de domínio. Neste exemplo, é GoDaddy.com.

    Add a txt record for the domain name

Quando os registros TXT do DNS forem verificados no seu registrador de nomes de domínio, você poderá gerenciar a organização do Azure AD.

Após concluir as etapas anteriores, você será o administrador global da organização Fourth Coffee no Microsoft 365. Para integrar o nome de domínio aos outros serviços do Azure, você pode removê-lo do Microsoft 365 e adicioná-lo a uma organização gerenciada diferente no Azure.

Adicionar o nome de domínio a uma organização gerenciada no Azure AD

  1. Abra o Centro de administração do Microsoft 365.

  2. Selecione a guia Usuários e crie uma nova conta de usuário com um nome como user@fourthcoffeexyz.onmicrosoft.com que não usa o nome de domínio personalizado.

  3. Verifique se a nova conta de usuário tem privilégios de administrador global para a organização do Azure AD.

  4. Abra a guia Domínios no Centro de administração do Microsoft 365, selecione o nome de domínio e escolha Remover.

    Remove the domain name from Microsoft 365

  5. Se você tiver usuários ou grupos no Microsoft 365 que fazem referência ao nome de domínio removido, eles deverão ser renomeados para o domínio .onmicrosoft.com. Se você forçar a exclusão do nome de domínio, todos os usuários serão automaticamente renomeados, neste exemplo para user@fourthcoffeexyz.onmicrosoft.com.

  6. Entre no Centro de administração do Azure AD com uma conta que seja um administrador global na organização do Azure AD.

  7. Selecione Personalizar nomes de domínio e adicione o nome de domínio. Você precisará inserir os registros TXT do DNS para verificar a propriedade do nome de domínio.

    domain verified as added to Azure AD

Observação

Os usuários do PowerBI ou do serviço Azure Rights Management que têm licenças atribuídas na organização do Microsoft 365 deverão salvar seus dashboards se o nome de domínio for removido. Eles devem entrar com um nome de usuário como user@fourthcoffeexyz.onmicrosoft.com em vez de user@fourthcoffee.xyz.

Assumir como administrador externo

Se você já gerencia uma organização com os serviços do Azure ou o Microsoft 365, não será possível adicionar um nome de domínio personalizado se ele já estiver verificado em outra organização do Azure AD. No entanto, da sua organização gerenciada no Azure AD, você poderá controlar uma organização não gerenciada como um controle de administrador externo. O procedimento geral segue o artigo Adicionar um domínio personalizado ao Azure AD.

Quando você verifica a propriedade do nome de domínio, o Azure AD remove o nome de domínio da organização não gerenciada e o migra para a organização existente. O controle de administrador externo de um diretório não gerenciado requer o mesmo processo de validação de TXT do DNS que o controle de administrador interno. A diferença é que os itens a seguir também são movidos com o nome de domínio:

  • Usuários
  • Assinaturas
  • Atribuições de licença

Suporte para controle de administrador externo

O controle de administrador externo tem suporte nos seguintes serviços online:

  • Azure Rights Management
  • Exchange Online

Os planos de serviço com suporte incluem:

  • Power Apps Gratuito
  • Power Automate Gratuito
  • RMS para pessoas
  • Microsoft Stream
  • Avaliação gratuita do Dynamics 365

Não há suporte para controle de administrador externo em nenhum serviço que tenha planos que incluam o SharePoint, o OneDrive ou o Skype For Business; por exemplo, por meio de uma assinatura gratuita do Office.

Observação

A tomada de controle do administrador externo não é compatível entre limites de nuvem (por ex. Azure Comercial para Azure Government). Nesses cenários, é recomendável executar tomada de controle de administração externa em outro locatário do Azure Comercial e, em seguida, excluir o domínio desse locatário para que você possa verificar com êxito o locatário de destino do Azure Governamental.

Você pode usar a opção ForceTakeover para remover o nome de domínio da organização não gerenciada e verificá-lo na organização desejada.

Mais informações sobre o RMS para pessoas

No RMS para pessoas, quando a organização não gerenciada está na mesma região que a organização que você possui, a chave de organização da Proteção de Informações do Azure e os modelos de proteção padrão criados de forma automática são movidos adicionalmente com o nome de domínio.

A chave e os modelos não são movidos quando a organização não gerenciada está em uma região diferente. Por exemplo, se a organização não gerenciada está na Europa e sua organização está nos Estados Unidos.

Embora o RMS para pessoas seja projetado para oferecer suporte à autenticação do Microsoft Azure Active Directory para abrir o conteúdo protegido, ele não impede que os usuários também protejam o conteúdo. Se os usuários tiverem protegido o conteúdo com a assinatura do RMS para pessoas, e a chave e os modelos não tiverem sido movidos, esse conteúdo não ficará acessível após o controle de domínio.

Cmdlets do Azure AD PowerShell para a opção ForceTakeover

Você pode ver esses cmdlets usados no exemplo do PowerShell.

cmdlet Uso
connect-msolservice Quando solicitado, entre na sua organização gerenciada.
get-msoldomain Mostra os nomes de domínio associados à organização atual.
new-msoldomain –name <domainname> Adiciona o nome de domínio à organização como Não verificado (nenhuma verificação de DNS foi executada ainda).
get-msoldomain O nome de domínio agora está incluído na lista de nomes de domínio associados com sua organização gerenciada, mas está listado como Não verificado.
get-msoldomainverificationdns –Domainname <domainname> –Mode DnsTxtRecord Fornece informações que serão colocadas no novo registro TXT do DNS para o domínio (MS=xxxxx). A verificação pode não acontecer imediatamente porque demora algum tempo para o registro TXT se propagar, portanto, aguarde alguns minutos antes de considerar a opção -ForceTakeover.
confirm-msoldomain –Domainname <domainname> –ForceTakeover Force
  • Se seu nome de domínio ainda não foi verificado, você pode prosseguir com a opção -ForceTakeover. Ele verifica se o registro TXT foi criado e inicia o processo de tomada de controle.
  • A opção -ForceTakeover deve ser adicionada ao cmdlet apenas ao forçar um controle de administrador externo, como quando a organização não gerenciada tem serviços do Microsoft 365 que bloqueiam o controle.
  • get-msoldomain A lista de domínios agora mostra o nome de domínio como Verificado.

    Observação

    A organização não gerenciada do Azure AD é excluída dez dias depois que você exercita a opção para forçar o controle externo.

    Exemplo de PowerShell

    1. Conecte o Azure AD usando as credenciais utilizadas para responder à oferta de autoatendimento:

      Install-Module -Name MSOnline
      $msolcred = get-credential
      
      connect-msolservice -credential $msolcred
      
    2. Obter uma lista de domínios:

      Get-MsolDomain
      
    3. Execute o cmdlet Get-MsolDomainVerificationDns para criar um desafio:

      Get-MsolDomainVerificationDns –DomainName *your_domain_name* –Mode DnsTxtRecord
      

      Por exemplo:

      Get-MsolDomainVerificationDns –DomainName contoso.com –Mode DnsTxtRecord
      
    4. Copie o valor (o desafio) que é retornado deste comando. Por exemplo:

      MS=32DD01B82C05D27151EA9AE93C5890787F0E65D9
      
    5. No seu namespace DNS público, crie um registro DNS txt que contenha o valor que você copiou na etapa anterior. O nome deste registro é o nome do domínio pai, então se você criar este registro de recurso usando a função DNS do Windows Server, deixe o nome do Registro em branco e cole apenas o valor na caixa de texto.

    6. Execute o cmdlet Confirm-MsolDomain para verificar o desafio:

      Confirm-MsolDomain –DomainName *your_domain_name* –ForceTakeover Force
      

      Por exemplo:

      Confirm-MsolDomain –DomainName contoso.com –ForceTakeover Force
      

    Um desafio bem-sucedido fará com que você retorne ao prompt sem erros.

    Próximas etapas