管理 Microsoft Entra 識別碼中的自訂功能變數名稱

發行項
12/13/2023

功能變數名稱是許多 Microsoft Entra 部署中資源標識碼的重要部分。它是使用者名稱或電子郵件位址的一部分、群組位址的一部分，有時是應用程式的應用程式識別碼 URI 的一部分。 Microsoft Entra 識別符中的資源可以包含 Microsoft Entra 組織（有時稱為租使用者）所擁有的功能變數名稱，其中包含資源。全域管理員 istrators 和功能變數名稱系統管理員可以在 Microsoft Entra ID 中管理網域。

設定 Microsoft Entra 組織的主要網域名稱

提示

本文中的步驟可能會根據您從開始的入口網站稍有不同。

建立組織時，初始網域名稱 (例如 ‘contoso.onmicrosoft.com’) 同時也是主要網域名稱。主要網域是在您建立新使用者時新使用者的預設網域名稱。設定主要網域名稱會簡化管理員在入口網站中建立新使用者的流程。若要變更主要網域名稱：

以至少全域管理員 istrator 身分登入 Microsoft Entra 系統管理中心。
選取 [Microsoft Entra ID]。
選取 [自訂網域名稱]。
選取要成為主要網域的網域名稱。
選取 [設為主要] 命令。出現提示時，確認您的選擇。

您可以將組織的主要網域名稱變更為任何已驗證的非同盟自訂網域。變更組織的主要網域時，並不會變更任何現有使用者的使用者名稱。

將自訂網域名稱新增至 Microsoft Entra 組織

您最多可以新增5000個受控功能變數名稱。如果您要設定所有網域來與內部部署的 Active Directory 同盟，您可以在每個組織中新增最多 2500 個功能變數名稱。

新增自訂網域的子網域

如果您想要將子網域名稱新增至組織，例如 'europe.contoso.com'，則應先新增並驗證根網域，例如 contoso.com。 Microsoft Entra ID 會自動驗證子網域。若要查看是否已驗證您所新增的子網域，請重新整理瀏覽器中的網域清單。

如果您已將 contoso.com 網域新增至一個 Microsoft Entra 組織，您也可以在不同的 Microsoft Entra 組織中驗證子域 europe.contoso.com。新增子網域時，系統會提示您在 DNS 主機服務提供者中新增 TXT 記錄。

如果您針對自訂網域名稱變更 DNS 登錄器，該怎麼做

如果您變更 DNS 註冊機構，Microsoft Entra ID 中沒有其他設定工作。您可以繼續使用網域名稱搭配 Microsoft Entra ID，而不會中斷。如果您的自訂網域名稱搭配使用 Microsoft 365、Intune 或其他仰賴 Microsoft Entra ID 中自訂網域名稱的服務，請參閱相關服務的文件。

刪除自訂網域名稱

如果貴組織不再使用該網域名稱，或您需要在另一個 Microsoft Entra 組織中使用該網域名稱，便可以將該自訂網域名稱從 Microsoft Entra ID 中刪除。

若要刪除自訂網域名稱，您必須先確認組織中沒有任何資源仰賴該網域名稱。如果有下列情況，即無法刪除組織的網域名稱：

任何使用者都有包含網域名稱的使用者名稱、電子郵件地址或 Proxy 位址。
任何群組都有包含網域名稱的電子郵件地址或 Proxy 位址。
Microsoft Entra ID 中的任何應用程式都有包含網域名稱的應用程式識別碼 URI。

您必須變更或刪除 Microsoft Entra 組織中任何這類資源，才能刪除自訂網域名稱。

注意

若要刪除自定義網域，請使用以預設網域（onmicrosoft.com）或不同自定義網域（mydomainname.com）為基礎的全域管理員 istrator 帳戶。

ForceDelete 選項

您可以在 Azure 入口網站或使用 Microsoft Graph API 中強制刪除功能變數名稱。這些選項會使用非同步作業，並更新從自訂網域名稱 (例如 “user@contoso.com”) 到初始預設網域名稱 (例如 “user@contoso.onmicrosoft.com”) 的所有參考。

若要在 Azure 入口網站中呼叫 ForceDelete，您必須確定功能變數名稱的參考少於 1000 個，以及 Exchange 是布建服務的任何參考都必須在 Exchange 管理員中心更新或移除。這包括已啟用 Exchange 郵件的安全性群組和分散式清單。如需詳細資訊，請參閱移除已啟用郵件功能的安全組。此外，如果下列任一項為真，則 ForceDelete 作業不會成功：

您透過 Microsoft 365 網域訂用帳戶服務購買網域
您是合作夥伴，代表其他客戶組織進行管理

在執行 ForceDelete 作業時會執行下列動作：

將參考自訂網域名稱的使用者 UPN、EmailAddress 和 ProxyAddress 重新命名為初始預設網域名稱。
將參考自訂網域名稱的群組 EmailAddress 重新命名為初始預設網域名稱。
將參考自訂網域名稱的應用程式 identifierUris 重新命名為初始預設網域名稱。
停用 Azure/Microsoft Entra 系統管理中心中 ForceDelete 選項所影響的用戶帳戶，並在使用圖形 API 時選擇性地停用。

發生下列情況時會傳回錯誤：

要重新命名的物件數目大於 1000
要重新命名的其中一個應用程式是多租用戶應用程式

網域衛生的最佳做法

使用信譽良好的註冊機構，針對功能變數名稱變更、註冊到期、過期網域的寬限期提供充足的通知，並維護高安全性標準，以控制誰可以存取您的功能變數名稱設定和 TXT 記錄。將您的功能變數名稱保持在註冊機構的最新狀態，並確認 TXT 記錄是否正確。

如果您故意將功能變數名稱過期或將擁有權轉交給其他人（與 Microsoft Entra 租使用者分開），您應該在到期或轉移之前將其從 Microsoft Entra 租使用者中刪除。
如果您允許功能變數名稱過期，如果您能夠重新啟用/重新取得其控制權，請仔細檢閱註冊機構的所有 TXT 記錄，以確保不會竄改您的功能變數名稱。
如果您無法立即重新啟用或重新取得功能變數名稱控制權，您應該從 Microsoft Entra 租使用者中刪除它。除非您能夠解析功能變數名稱的擁有權，並確認完整的 TXT 記錄是否正確，否則請勿讀取/重新驗證。

注意

Microsoft 不允許使用一個以上的 Microsoft Entra 租用戶來驗證功能變數名稱。一旦您從租用戶中刪除功能變數名稱，如果後續新增並驗證另一個 Microsoft Entra 租使用者，將無法重新新增/重新驗證該租使用者。

常見問題集

問：為什麼網域刪除失敗，並出現錯誤，指出我在此域名上擁有 Exchange 主控群組？
答：今天，Exchange 會布建某些群組，例如啟用郵件的安全組和分散式清單，而且必須在 Exchange 管理員中心（EAC）中手動清除。可能會有揮之不去的 ProxyAddresses，其依賴自定義功能變數名稱，而且必須手動更新為另一個功能變數名稱。

問：我已以身分 admin@contoso.com 登入，但無法刪除功能變數名稱「contoso.com」？
答：您無法在使用者帳戶名稱中參考您嘗試刪除的自定義功能變數名稱。請確定全域管理員 istrator 帳戶使用初始預設功能變數名稱（.onmicrosoft.com），例如 admin@contoso.onmicrosoft.com。使用其他全域管理員 istrator 帳戶登入，例如 admin@contoso.onmicrosoft.com ，或帳戶所在的 admin@fabrikam.com「fabrikam.com」之類的另一個自定義功能變數名稱。

問：我已按兩下 [刪除網域] 按鈕，並查看 In Progress 刪除作業的狀態。需要多久時間？如果失敗，會發生什麼事？
答：刪除網域作業是異步背景工作，會將功能變數名稱的所有參考重新命名。最多可能需要 24 小時才能完成。如果網域刪除失敗，請確定您沒有：

使用 appIdentifierURI 在功能變數名稱上設定的應用程式
任何參考自定義功能變數名稱的郵件啟用群組
功能變數名稱超過1000個參考
要移除設定為組織主要網域的網域

另請注意，如果網域使用同盟驗證類型，ForceDelete 選項將無法運作。在此情況下，必須先使用內部部署的 Active Directory 重新命名或移除網域上的使用者/群組，才能重新嘗試移除網域。如果您發現任何條件尚未符合，請手動清除參考，並嘗試再次刪除網域。

使用 PowerShell 或 Microsoft Graph API 來管理功能變數名稱

Microsoft Entra ID 中功能變數名稱的大部分管理工作也可以使用 Microsoft PowerShell 完成，或使用 Microsoft Graph API 以程序設計方式完成。