Добавление домена к аренде клиента с помощью Windows PowerShell для партнеров службы разрешений делегированного доступа (DAP)

  • Статья

Эта статья относится к Microsoft 365 корпоративный и Office 365 корпоративный.

Вы можете создавать и связывать новые домены с клиентом с помощью PowerShell для Microsoft 365 быстрее, чем при использовании Центр администрирования Microsoft 365.

Партнеры по делегированным правам доступа (DAP) — партнеры по синдикации и поставщики облачных решений (CSP). Они часто сетевые или телекоммуникационные провайдеры для других компаний. Они объединяют подписки Microsoft 365 в свои предложения служб для своих клиентов. При продаже подписки На Microsoft 365 они автоматически получают разрешения на администрирование от имени клиента (AOBO), чтобы они могли администрировать клиентские арендаторы и сообщать о них.

Что нужно знать перед началом работы

Процедуры, описанные в этой статье, требуют подключения к Подключению к Microsoft 365 с помощью PowerShell.

Вам также необходимы учетные данные администратора для клиента партнера.

Кроме того, понадобятся указанные ниже сведения.

  • Необходимо полное доменное имя (FQDN), которое требуется вашему клиенту.

  • Вам необходим идентификатор TenantId пользователя.

  • Полное доменное имя должно быть зарегистрировано у регистратора служб доменных имен Интернета (DNS), например GoDaddy. Дополнительные сведения о том, как публично зарегистрировать доменное имя, см. в разделе Как купить доменное имя.

  • Вам необходимо знать, как добавить запись типа TXT в зарегистрированную зону DNS для своего регистратора DNS. Дополнительные сведения о том, как добавить запись ТИПА TXT, см. в разделе Добавление записей DNS для подключения к домену. Если эти процедуры вам не пойдут, вам потребуется найти процедуры для регистратора DNS.

Создание доменов

Клиенты, скорее всего, попросят вас создать дополнительные домены для связывания с их клиентом, так как они не хотят, чтобы домен domain.onmicrosoft.com> по умолчанию <был основным доменом, который представляет их корпоративные удостоверения в мире. Это руководство поможет вам создать новый домен, связанный с пользовательским клиентом.

Примечание.

Для выполнения некоторых из этих операций для учетной записи администратора партнера, с которым вы выполняете вход, необходимо установить значение Полное администрирование для параметра Назначить административный доступ для компаний, которые вы поддерживаете, в сведениях об учетной записи администратора в Центр администрирования Microsoft 365. Дополнительные сведения об управлении ролями администратора партнеров см. в статье Партнеры: предложение делегированного администрирования.

Создание домена в Microsoft Entra ID

Эта команда создает домен в Microsoft Entra ID, но не связывает его с общедоступным зарегистрированным доменом. Это происходит, когда вы доказываете, что вы являетесь владельцем общедоступного зарегистрированного домена в Microsoft 365 для предприятий.

Примечание.

Модуль Azure Active Directory заменяется пакетом SDK Для Microsoft Graph PowerShell. Можно использовать пакет SDK Microsoft Graph PowerShell для доступа ко всем API Microsoft Graph. Дополнительные сведения см. разделе Начало работы с пакетом SDK Microsoft Graph PowerShell.

Сначала используйте учетную запись администратора Microsoft Entra контроллера домена, Администратор облачного приложения или глобального администратора для подключения к клиенту Microsoft 365.

Для назначения и удаления лицензий для пользователя требуется разрешение Domain.ReadWrite.All область или одно из других разрешений, перечисленных на странице справочника "Назначение лицензии" API Graph.

Примечание.

модули PowerShell Azure AD и MSOnline устарели с 30 марта 2024 г. Дополнительные сведения см. в статье Обновление для прекращения поддержки. После этой даты поддержка этих модулей ограничивается поддержкой миграции пакета SDK Для Microsoft Graph PowerShell и исправлениями безопасности. Устаревшие модули будут работать до 30 марта 2025 г.

Мы рекомендуем выполнить миграцию в Microsoft Graph PowerShell для взаимодействия с Microsoft Entra ID (ранее Azure AD). Распространенные вопросы о миграции см. в разделе Вопросы и ответы о миграции. Примечание: В версиях 1.0.x MSOnline может возникнуть сбой после 30 июня 2024 г.

Connect-MgGraph -Scopes "Domain.ReadWrite.All"

Выполните следующую команду, чтобы создать новый домен:

New-MgDomain -Id <customer TenantId> -DomainNameReferences <FQDN of new domain>

Получение данных для записи TXT проверки DNS

Microsoft 365 создает определенные данные, которые необходимо поместить в запись проверки DNS TXT. Чтобы получить эти данные, выполните указанную ниже команду.

Import-Module Microsoft.Graph.Identity.DirectoryManagement
(Get-MgDomainVerificationDnsRecord -DomainId <domain ID, i.e. contoso.com> | Where-Object {$_.RecordType -eq "Txt"}).AdditionalProperties.text

Эта команда предоставляет следующие выходные данные:

MS=ms########

Примечание.

Этот текст потребуется для создания записи TXT в публично зарегистрированной зоне DNS. Обязательно скопируйте и сохраните его.

Добавление записи TXT в публично зарегистрированную зону DNS

Прежде чем Microsoft 365 начнет принимать трафик, направленный на общедоступное доменное имя, необходимо доказать, что вы являетесь владельцем домена и имеете права администратора для домена. Для этого нужно создать для домена запись типа TXT. Такая запись не выполняет никаких действий в домене, и ее можно удалить, когда ваше владение доменом будет подтверждено. Чтобы создать записи TXT, выполните действия, описанные в статье Добавление записей DNS для подключения к домену. Если эти процедуры вам не пойдут, необходимо найти процедуры для регистратора DNS.

Убедитесь, что запись TXT создана успешно, с помощью команды nslookup. Используйте следующий синтаксис.

nslookup -type=TXT <FQDN of registered domain>

Эта команда предоставляет следующие выходные данные:

Non-authoritative answer:

FQDN of the registered domain

text=MS=ms########

Проверка владения доменом в Microsoft 365

На последнем шаге вы подтвердите в Microsoft 365, что вы являетесь владельцем общедоступного зарегистрированного домена. После этого шага Microsoft 365 начнет принимать трафик, перенаправленный на новое доменное имя. Чтобы завершить процесс создания и регистрации домена, выполните следующую команду.

Confirm-MgDomain -DomainId <FQDN of new domain> -InputObject @{TenantId=<customer TenantId>}

Эта команда не возвращает выходные данные, поэтому, чтобы убедиться, что команда сработала, выполните эту команду.

Get-MgDomain -DomainId <FQDN of new domain>

Возвращается примерно следующее:

Id                            AuthenticationType AvailabilityStatus IsAdminManaged IsDefault IsInitial IsRoot IsVerified Manufact 
                                                                                                                         urer     
--                            ------------------ ------------------ -------------- --------- --------- ------ ---------- -------- 
contoso.com                   Managed                               True           True      True      True   True

См. также

Справка для партнеров