如何以系統管理員身分接管 Azure Active Directory 中非受控目錄

  • 文章

本文說明接管 Azure Active Directory (Azure AD) (Microsoft Entra 的一部分) 之非受控目錄中 DNS 網域名稱的兩種方式。 當自助使用者註冊使用 Azure AD 的雲端服務時,系統會根據其電子郵件網域將其新增至非受控 Azure AD 目錄。 如需自助式或「病毒式」服務註冊的詳細資訊,請參閱什麼是 Azure Active Directory 的自助式註冊?

決定要如何接管非受控目錄

在管理員接管的過程中,您可以依照將自訂網域名稱新增到 Azure AD 中所述,證明擁有權。 下一節會更詳細地說明管理員體驗,但其摘要如下:

  • 當您執行非受控 Azure 目錄的「內部」管理員接管時,系統會將您新增為非受控目錄的全域管理員。 系統不會將任何使用者、網域或服務方案移轉至您所管理的其他目錄。

  • 當您執行非受控 Azure 目錄的「外部」管理員接管時,需將非受控目錄的 DNS 網域名稱新增至受控 Azure 目錄。 當您新增網域名稱時,系統會在受控 Azure 目錄中建立使用者與資源的對應,以便讓使用者繼續存取服務而不中斷。

內部管理員接管

有些包含 SharePoint 和 OneDrive 的產品 (例如 Microsoft 365) 並不支援外部接管。 如果您的情況與此相符,或如果您是管理員,而想要接管使用自助式註冊之使用者所建立的非受控或「影子」Azure AD 組織,則您可以藉由內部管理員接管來執行此作業。

  1. 透過註冊 Power BI,在非受控的組織中建立使用者內容。 為了便於範例說明,這些步驟會假設該路徑。

  2. 開啟 Power BI 網站,然後選取 [免費開始]。 輸入使用組織網域名稱的使用者帳戶,例如 admin@fourthcoffee.xyz。 輸入驗證碼之後,請查看您的電子郵件是否有確認碼。

  3. 在來自 Power BI 的確認電子郵件中,選取 [是,這是我]

  4. 使用 Power BI 使用者帳戶來登入 Microsoft 365 系統管理中心。 您會收到指導您成為管理員的訊息,這是已經在非受控組織中驗證的網域名稱的管理員。 請選取 [是,我想要成為管理員]

    first screenshot for Become the Admin

  5. 在您的網域名稱登錄器新增 TXT 記錄,以證明您擁有網域名稱 fourthcoffee.xyz。 在此範例中為 GoDaddy.com。

    Add a txt record for the domain name

在您的網域名稱登錄器驗證 DNS TXT 記錄之後,您便可以管理 Azure AD 組織。

完成上述步驟之後,您現在便已成為 Microsoft 365 中 Fourth Coffee 組織的全域管理員。 若要將網域名稱與您的其他 Azure 服務整合,您可以將其從 Microsoft 365 中移除,然後新增至 Azure 中其他的受控組織。

將網域名稱新增至 Azure AD 中的受控組織

  1. 開啟 Microsoft 365 管理中心

  2. 選取 [使用者]user@fourthcoffeexyz.onmicrosoft.com 索引標籤,然後使用 這類未使用自訂網域名稱的名稱來建立新使用者帳戶。

  3. 確定新使用者帳戶具有 Azure AD 組織的全域管理員權限。

  4. 在 Microsoft 365 系統管理中心開啟 [網域] 索引標籤,選取網域名稱,然後選取 [移除]。

    Remove the domain name from Microsoft 365

  5. 如果您在 Microsoft 365 中有任何使用者或群組參考已移除的網域名稱,就必須將他們重新命名為 .onmicrosoft.com 網域。 如果您強制刪除網域名稱,系統就會自動將所有使用者重新命名,在此範例中是重新命名為 user@fourthcoffeexyz.onmicrosoft.com

  6. 使用具備 Azure AD 組織全域管理員身分的帳戶來登入 Azure AD 系統管理中心

  7. 選取 [自訂網域名稱],然後新增網域名稱。 您將必須輸入 DNS TXT 記錄來驗證網域名稱擁有權。

    domain verified as added to Azure AD

注意

任何 Power BI 或 Azure Rights Management 服務使用者只要在 Microsoft 365 組織中已獲指派授權,如果將網域名稱移除,就必須儲存其儀表板。 他們必須使用 user@fourthcoffeexyz.onmicrosoft.com 這類使用者名稱而不是 user@fourthcoffee.xyz 來進行登入。

外部管理員接管

如果您已經使用 Azure 服務或 Microsoft 365 來管理組織,您將無法新增自訂網域名稱,如果該網域名稱已經在另一個 Azure AD 組織中驗證過。 不過,您可以從 Azure AD 中的受控組織,以外部管理員接管的方式,接管非受控組織。 一般程序會按照將自訂網域名稱新增到 Azure AD一文所述。

當您驗證網域名稱的擁有權時,Azure AD 會將網域名稱從非受控組織中移除,然後移至您現有的組織。 非受控目錄之外部管理員接管所需的 DNS TXT 驗證程序與內部管理員接管相同。 差異在於下列項目也會隨著網域名稱一起移過去:

  • 使用者
  • 訂用帳戶
  • 授權指派

對外部管理員接管的支援

以下是支援外部管理員接管的線上服務:

  • Azure Rights Management
  • Exchange Online

支援的服務方案包括:

  • Power Apps 免費版
  • Power Automate 免費版
  • 個人版 RMS
  • Microsoft Stream
  • Dynamics 365 免費試用版

服務方案中包括 SharePoint、OneDrive 或商務用 Skype (例如透過 Office 免費訂閱) 的任何服務,都不支援外部管理員接管。

注意

外部管理員接管不支援跨雲端界限 (例如 Azure Commercial 到 Azure Government)。 在這些案例中,建議您執行外部管理員接管至另一個 Azure Commercial 租用戶,然後從此租用戶刪除該網域,以便您可以成功地向目的地 Azure Government 租用戶驗證。

您可以選擇性地使用 ForceTakeover 選項,將網域名稱從非受控組織移除,並在所需的組織上加以驗證。

個人版 RMS 的詳細資訊

對於個人版 RMS,當非受控組織與您擁有的組織位於相同區域中時,會額外移動自動建立的 Azure 資訊保護組織金鑰預設保護範本並包含網域名稱。

當非受控的組織位於不同區域時,不會移動金鑰和範本。 例如,如果非受控組織位於歐洲,而您擁有的組織位於北美洲。

雖然個人版 RMS 是針對支援 Azure AD 驗證來開啟受保護內容所設計,但它並不會阻止使用者同時保護內容。 如果使用者的確使用 RMS 個人訂閱來保護內容,且金鑰和範本未移轉,則在網域接管之後將無法存取該內容。

Azure AD 的 ForceTakeover 選項 PowerShell Cmdlet

您可以在 PowerShell 範例中看到使用這些 Cmdlet。

Cmdlet 使用方式
connect-msolservice 出現提示時,登入您的受控組織。
get-msoldomain 顯示與目前組織相關聯的網域名稱。
new-msoldomain –name <domainname> 將網域名稱以「未驗證」狀態 (尚未執行任何 DNS 驗證) 新增至組織。
get-msoldomain 網域名稱現在包含在與受控組織關聯的網域名稱清單中,但其狀態會是 [未驗證]。
get-msoldomainverificationdns –Domainname <domainname> –Mode DnsTxtRecord 提供要放到網域之新 DNS TXT 記錄中的資訊 (MS=xxxxx)。 驗證可能不會立即進行,因為 TXT 記錄需要一些時間傳播,所以請先稍候幾分鐘,再考慮使用 -ForceTakeover 選項。
confirm-msoldomain –Domainname <domainname> –ForceTakeover Force
  • 如果您的網域名稱仍然未驗證,就可以著手執行 -ForceTakeover 選項。 它會驗證是否已建立 TXT 記錄,然後啟動接管程序。
  • 您應該只有在強制執行外部管理員接管時 (例如當非受控組織的 Microsoft 365 服務封鎖接管時),才將 -ForceTakeover 選項新增至 Cmdlet。
    		•
    get-msoldomain 網域清單現在會將網域名稱顯示為 [已驗證]

    注意

    當您執行外部接管強制選項之後,會在 10 天後刪除非受控 Azure AD 組織。

    PowerShell 範例

    1. 使用用來回應自助式供應項目的認證來連接至 Azure AD:

      Install-Module -Name MSOnline
$msolcred = get-credential

connect-msolservice -credential $msolcred

    2. 取得網域清單:

      Get-MsolDomain

    3. 執行 Get-MsolDomainVerificationDns Cmdlet 以建立挑戰:

      Get-MsolDomainVerificationDns –DomainName *your_domain_name* –Mode DnsTxtRecord

      例如:

      Get-MsolDomainVerificationDns –DomainName contoso.com –Mode DnsTxtRecord

    4. 複製從此命令傳回的值 (挑戰)。 例如:

      MS=32DD01B82C05D27151EA9AE93C5890787F0E65D9

    5. 在公用 DNS 命名空間中,建立 DNS txt 記錄,其中包含您在上一個步驟中複製的值。 此記錄的名稱是父系網域的名稱,因此如果您使用 Windows Server 的 DNS 角色來建立此資源記錄,請將記錄名稱留白,而只要將此值貼到文字方塊中即可。

    6. 執行 onfirm-MsolDomain Cmdlet 來驗證挑戰:

      Confirm-MsolDomain –DomainName *your_domain_name* –ForceTakeover Force

      例如:

      Confirm-MsolDomain –DomainName contoso.com –ForceTakeover Force

    成功挑戰會讓您回到提示,但不會產生錯誤。

    後續步驟