Aggiornare o ripristinare le impostazioni di un dominio federato in Microsoft 365, Azure o Intune

  • Articolo
  • Si applica a:
    Cloud Services (Web roles/Worker roles), Azure Active Directory, Microsoft Intune, Azure Backup, Microsoft 365

Introduzione

L'accesso Single Sign-On (SSO) in un servizio cloud Microsoft, ad esempio Microsoft 365, Microsoft Azure o Microsoft Intune dipende da una distribuzione locale di Active Directory Federation Services (AD FS) che funzioni correttamente. Diversi scenari richiedono la ricompilazione della configurazione del dominio federato in AD FS per correggere i problemi tecnici. Questo articolo contiene indicazioni dettagliate su come aggiornare o ripristinare la configurazione del dominio federato.

Ulteriori informazioni

Come aggiornare la configurazione del dominio federato

La configurazione del dominio federato deve essere aggiornata negli scenari descritti negli articoli della Microsoft Knowledge Base seguenti.

  • 2713898 errore "Si è verificato un problema durante l'accesso al sito" da AD FS quando un utente federato accede a Microsoft 365, Azure o Intune
  • 2535191 errore ""Spiacenti, ma si verificano problemi di accesso" e "80048163" quando un utente federato tenta di accedere a Microsoft 365, Azure o Intune
  • 2647020 errore "Spiacenti, ma si verificano problemi di accesso" e "80041317" o "80043431" quando un utente federato tenta di accedere a Microsoft 365, Azure o Intune

Nota

I moduli di PowerShell di Azure AD e MSOnline sono deprecati a partire dal 30 marzo 2024. Per altre informazioni, vedere l'aggiornamento della deprecazione. Dopo questa data, il supporto per questi moduli è limitato all'assistenza per la migrazione a Microsoft Graph PowerShell SDK e alle correzioni per la sicurezza. I moduli deprecati continueranno a funzionare fino al 30 marzo 2025.

È consigliabile eseguire la migrazione a Microsoft Graph PowerShell per interagire con Microsoft Entra ID (in precedenza Azure AD). Per domande frequenti sulla migrazione, vedere Domande frequenti sulla migrazione. Nota: Le versioni 1.0.x di MSOnline potrebbero verificarsi interruzioni dopo il 30 giugno 2024.

Per aggiornare la configurazione del dominio federato in un computer aggiunto a un dominio in cui è installato il modulo Azure Active Directory per Windows PowerShell, seguire questa procedura:

  1. Fare clic sul pulsante Start, scegliere Tutti i programmi, Windows Azure Active Directory e quindi fare clic su Modulo di Windows Azure Active Directory per Windows PowerShell.

  2. Al prompt dei comandi digitare i comandi seguenti e premere INVIO dopo ogni comando:

    $cred = get-credential

    Nota

    Quando viene richiesto, immettere le credenziali di amministratore del servizio cloud.

    Connect-MSOLService –credential:$cred

    Set-MSOLADFSContext –Computer: <AD FS 2.0 ServerName>

    Nota

    In questo comando, il segnaposto <AD FS 2.0 Nome> server rappresenta il nome host Windows del server AD FS primario.

    Update-MSOLFederatedDomain –DomainName: <Federated Domain Name>

    oppure

    Update-MSOLFederatedDomain –DomainName: <Federated Domain Name> –supportmultipledomain

    Nota

    • L'uso dell'opzione –supportmultipledomain è necessario quando più domini di primo livello sono federati usando lo stesso servizio federativo AD FS.
    • In questi comandi il segnaposto < Nome >di dominio federato rappresenta il nome del dominio già federato.

Importante

È disponibile uno script per automatizzare regolarmente l'aggiornamento dei metadati di federazione per assicurarsi che le modifiche apportate al certificato di firma del token AD FS vengano replicate correttamente.

Lo script crea un'attività pianificata di Windows nel server AD FS primario per assicurarsi che le modifiche alla configurazione di AD FS, ad esempio informazioni di attendibilità, aggiornamenti del certificato di firma e così via, vengano propagate regolarmente al Microsoft Entra ID.

Se il certificato di firma del token viene rinnovato automaticamente in un ambiente in cui viene implementato lo script, lo script aggiornerà le informazioni sull'attendibilità cloud per evitare tempi di inattività causati da informazioni sul certificato cloud non aggiornate.

Come ripristinare la configurazione del dominio federato

La configurazione del dominio federato deve essere ripristinata negli scenari descritti negli articoli della Microsoft Knowledge Base seguenti.

  • 2523494 Viene visualizzato un avviso di certificato da AD FS quando si tenta di accedere a Microsoft 365, Azure o Intune
  • 2618887 errore "Identificatore del servizio federativo specificato nel server AD FS 2.0 è già in uso". Quando si tenta di configurare un altro dominio federato in Microsoft 365, Azure o Intune
  • 2713898 errore "Si è verificato un problema durante l'accesso al sito" da AD FS quando un utente federato accede a Microsoft 365, Azure o Intune
  • 2647020 "L'organizzazione non è riuscita ad accedere a questo servizio" e il codice di errore "80041317" o "80043431" quando un utente federato tenta di accedere a Microsoft 365
  • Il nome del servizio federativo in AD FS viene modificato.

Per ripristinare la configurazione del dominio federato in un computer aggiunto a un dominio in cui è installato il modulo Azure Active Directory per Windows PowerShell, seguire questa procedura.

Avviso

  • La procedura seguente rimuove tutte le personalizzazioni create limitando l'accesso ai servizi di Microsoft 365 usando la posizione del client. Dopo aver ripristinato la configurazione del dominio federato, potrebbe essere necessario riconfigurare l'accesso AD FS limitato.
  • I passaggi seguenti devono essere pianificati con attenzione. Gli utenti per i quali la funzionalità SSO è abilitata nel dominio federato non potranno eseguire l'autenticazione durante questa operazione dal completamento del passaggio 4 fino al completamento del passaggio 5. Se il test del cmdlet update-MSOLFederatedDomain nel passaggio 1 non viene seguito correttamente, il passaggio 5 non verrà completato correttamente. Gli utenti federati non potranno eseguire l'autenticazione finché non sarà possibile eseguire correttamente il cmdlet update-MSOLFederatedDomain.
  1. Eseguire i passaggi descritti nella sezione "Come aggiornare la configurazione del dominio federato" più indietro in questo articolo per assicurarsi che il cmdlet update-MSOLFederatedDomain sia stato completato correttamente.
    • Se il cmdlet non è stato completato correttamente, non continuare con questa procedura. Per risolvere il problema, vedere invece la sezione "Problemi noti che possono verificarsi durante l'aggiornamento o il ripristino di un dominio federato" più avanti in questo articolo.
    • Se il cmdlet viene completato correttamente, lasciare aperta la finestra del prompt dei comandi per un uso successivo.
  2. Accedere al server AD FS. A tale scopo, fare clic su Start, scegliere Tutti i programmi, Strumenti di amministrazione e quindi gestione di AD FS (2.0).
  3. Nel riquadro di spostamento a sinistra fare clic su AD FS (2.0), fare clic su Relazioni di trust e quindi su Attendibilità relying party.
  4. Nel riquadro più a destra eliminare la voce Microsoft Office 365 Identity Platform.
  5. Nella finestra Windows PowerShell aperta nel passaggio 1 ricreare l'oggetto trust eliminato. A tale scopo, eseguire il comando seguente e quindi premere INVIO:
    Update-MSOLFederatedDomain -DomainName <Federated Domain Name>
    oppure
    Update-MSOLFederatedDomain –DomainName:<Federated Domain Name> –supportmultipledomain

    Nota

    • L'uso dell'opzione –supportmultipledomain è necessario quando più domini di primo livello sono federati usando lo stesso servizio federativo AD FS.
    • In questi comandi il segnaposto < Nome >di dominio federato rappresenta il nome del dominio già federato.

Problemi noti che possono verificarsi quando si aggiorna o si ripristina un dominio federato

Gli scenari seguenti causano problemi quando si aggiorna o si ripristina un dominio federato:

  • Non è possibile connettersi usando Windows PowerShell. Per altre informazioni su questo problema, vedere l'articolo della Microsoft Knowledge Base seguente:

    2494043 Non è possibile connettersi usando il modulo Azure Active Directory per Windows PowerShell

  • Il modulo Azure Active Directory per Windows PowerShell non può essere caricato a causa di prerequisiti mancanti. Per altre informazioni, vedere l'articolo della Microsoft Knowledge Base seguente:

    2461873 Non è possibile aprire il modulo Azure Active Directory per Windows PowerShell

  • Viene visualizzato un messaggio di errore "Accesso negato" quando si tenta di eseguire il cmdlet set-MSOLADFSContext. Per altre informazioni, vedere l'articolo della Microsoft Knowledge Base seguente:

    2587730 errore "La connessione al <serverName> Active Directory Federation Services 2.0 non è riuscita" quando si usa il cmdlet Set-MsolADFSContext

Ulteriore assistenza Accedere alla community Microsoft o al sito Web dei forum di Microsoft Entra.