Condividi tramite

Aggiungere un dominio a un tenancy client con Windows PowerShell per i partner di autorizzazione accesso delegato (DAP, Delegated Access Permission)

  • Articolo

Questo articolo si applica sia a Microsoft 365 Enterprise che a Office 365 Enterprise.

È possibile creare e associare nuovi domini alla tenancy del cliente con PowerShell per Microsoft 365 più velocemente rispetto all'interfaccia di amministrazione di Microsoft 365.

I partner di autorizzazione accesso delegato (DAP, Delegated Access Permission) sono partner di Syndication e Cloud Solution Provider (CSP). Sono spesso fornitori di rete o di telecomunicazioni per altre aziende. Raggruppano le sottoscrizioni di Microsoft 365 nelle offerte di servizio ai clienti. Quando vendono un abbonamento a Microsoft 365, gli vengono concesse automaticamente le autorizzazioni Amministra per conto di (AOBO) per i tenancies dei clienti in modo che possano amministrare e segnalare le tenancies dei clienti.

Che cosa è necessario sapere prima di iniziare?

Per le procedure descritte in questo articolo è necessario connettersi a Connettersi a Microsoft 365 con PowerShell.

Sono necessarie anche le credenziali di amministratore tenant del partner.

Sono necessarie anche le informazioni seguenti:

  • È necessario il nome di dominio completo (FQDN) che desidera il cliente.

  • È necessario il TenantId del cliente.

  • Il nome di dominio completo deve essere registrato con un registrar di DNS (Domain Name Service), come GoDaddy. Per altre informazioni su come registrare pubblicamente un nome di dominio, vedere Come acquistare un nome di dominio.

  • È necessario conoscere la procedura per aggiungere un record TXT alla zona DNS registrata per il proprio registrar. Per altre informazioni su come aggiungere un record TXT, vedere Aggiungere record DNS per connettere il dominio. Se queste procedure non funzionano, sarà necessario trovare le procedure per il registrar DNS.

Creare domini

È probabile che i clienti chiedano di creare domini aggiuntivi da associare alla tenancy perché non vogliono che il dominio domain.onmicrosoft.com> predefinito <sia quello primario che rappresenta le identità aziendali nel mondo. La procedura seguente illustra i passaggi per creare un nuovo dominio associato alla tenancy del cliente.

Nota

Per eseguire alcune di queste operazioni, l'account amministratore partner con cui si esegue l'accesso deve essere impostato su Amministrazione completa per l'impostazione Assegna accesso amministrativo alle società supportate disponibile nei dettagli dell'account amministratore nell'interfaccia di amministrazione di Microsoft 365. Per altre informazioni sulla gestione dei ruoli di amministratore partner, vedere Partner: Offrire l'amministrazione delegata.

Creare il dominio in Microsoft Entra ID

Questo comando crea il dominio nell'ID Microsoft Entra, ma non lo associa al dominio registrato pubblicamente. Ciò avviene quando si dimostra di essere proprietari del dominio registrato pubblicamente in Microsoft 365 per le aziende.

Nota

Il modulo Azure Active Directory viene sostituito da Microsoft Graph PowerShell SDK. È possibile usare Microsoft Graph PowerShell SDK per accedere a tutte le API di Microsoft Graph. Per altre informazioni, vedere Inizia a usare Attività iniziali con Microsoft Graph PowerShell SDK.

Per prima cosa, usare un account amministratore di Microsoft Entra DC o cloud application admin per connettersi al tenant di Microsoft 365.

L'assegnazione e la rimozione di licenze per un utente richiedono l'ambito di autorizzazione Domain.ReadWrite.All o una delle altre autorizzazioni elencate nella pagina di riferimento dell'API Graph "Assegna licenza".

Nota

I moduli PowerShell di Azure AD e MSOnline saranno deprecati a partire dal 30 marzo 2024. Per ulteriori informazioni, leggere l'aggiornamento sulla deprecazione. Dopo questa data, il supporto per questi moduli è limitato all'assistenza per la migrazione a Microsoft Graph PowerShell SDK e alle correzioni per la sicurezza. I moduli deprecati continueranno a funzionare fino al 30 marzo 2025.

È consigliabile effettuare la migrazione a Microsoft Graph PowerShell per interagire con Microsoft Entra ID (in precedenza Azure AD). Per le domande più comuni sulla migrazione, consultare Domande frequenti sulla migrazione. Nota: le versioni 1.0.x di MSOnline potrebbero subire interruzioni dopo il 30 giugno 2024.

Connect-MgGraph -Scopes "Domain.ReadWrite.All"

Eseguire il comando seguente per creare un nuovo dominio:

New-MgDomain -Id <customer TenantId> -DomainNameReferences <FQDN of new domain>

Recuperare i dati per il record di verifica TXT DNS

Microsoft 365 genera i dati specifici che è necessario inserire nel record di verifica TXT DNS. Per ottenere i dati, eseguire questo comando.

Import-Module Microsoft.Graph.Identity.DirectoryManagement
(Get-MgDomainVerificationDnsRecord -DomainId <domain ID, i.e. contoso.com> | Where-Object {$_.RecordType -eq "Txt"}).AdditionalProperties.text

Questo comando fornisce un output simile al seguente:

MS=ms########

Nota

Questo testo sarà necessario per creare il record TXT nella zona DNS registrata pubblicamente. Copiarlo e salvarlo.

Aggiungere un record TXT per l'area DNS registrata pubblicamente

Prima che Microsoft 365 inizi ad accettare il traffico indirizzato al nome di dominio registrato pubblicamente, è necessario dimostrare di essere proprietario e di disporre delle autorizzazioni di amministratore per il dominio. È possibile dimostrare di essere il proprietario del dominio creando un record TXT nel dominio. Un record TXT non produce alcun effetto sul dominio e può essere eliminato dopo aver confermato la proprietà del dominio. Per creare i record TXT, seguire le procedure riportate in Aggiungere record DNS per connettere il dominio. Se queste procedure non funzionano, è necessario trovare le procedure per il registrar DNS.

Confermare la creazione del record TXT tramite nslookup. Seguire questa sintassi:

nslookup -type=TXT <FQDN of registered domain>

Questo comando fornisce un output simile al seguente:

Non-authoritative answer:

FQDN of the registered domain

text=MS=ms########

Convalidare la proprietà del dominio in Microsoft 365

In questo ultimo passaggio si convalida a Microsoft 365 che si è proprietari del dominio registrato pubblicamente. Dopo questo passaggio, Microsoft 365 inizierà ad accettare il traffico indirizzato al nuovo nome di dominio. Per completare la procedura di registrazione e creazione del dominio, eseguire questo comando.

Confirm-MgDomain -DomainId <FQDN of new domain> -InputObject @{TenantId=<customer TenantId>}

Questo comando non restituisce alcun output, quindi per verificare che il comando abbia funzionato, eseguire questo comando.

Get-MgDomain -DomainId <FQDN of new domain>

Verrà restituito un risultato simile al seguente:

Id                            AuthenticationType AvailabilityStatus IsAdminManaged IsDefault IsInitial IsRoot IsVerified Manufact 
                                                                                                                         urer     
--                            ------------------ ------------------ -------------- --------- --------- ------ ---------- -------- 
contoso.com                   Managed                               True           True      True      True   True

Vedere anche

Guida per partner