Oppdater eller reparer innstillingene for et samlet domene i Microsoft 365, Azure eller Intune

  • Artikkel
  • Gjelder for:
    Cloud Services (Web roles/Worker roles), Azure Active Directory, Microsoft Intune, Azure Backup, Microsoft 365

Innledning

Enkel pålogging (SSO) i en Microsoft-skytjeneste, for eksempel Microsoft 365, Microsoft Azure eller Microsoft Intune, avhenger av en lokal distribusjon av Active Directory Federation Services (AD FS) som fungerer som den skal. Flere scenarioer krever gjenoppbygging av konfigurasjonen av det organisasjonsdomenet i AD FS for å løse tekniske problemer. Denne artikkelen inneholder trinnvis veiledning om hvordan du oppdaterer eller reparerer konfigurasjonen av det organisasjonsbaserte domenet.

Mer informasjon

Slik oppdaterer du konfigurasjonen av det forbundsdomenet

Konfigurasjonen av det forbundsdomenet må oppdateres i scenarioene som er beskrevet i følgende Microsoft Knowledge Base-artikler.

  • 2713898 feilmeldingen «Det oppstod et problem med tilgang til nettstedet» fra AD FS når en organisasjonsbasert bruker logger seg på Microsoft 365, Azure eller Intune
  • 2535191 «Beklager, men vi har problemer med å logge deg på» og «80048163»-feil når en bruker i forbund prøver å logge på Microsoft 365, Azure eller Intune
  • 2647020 feilmeldingen «Beklager, men vi har problemer med å logge deg på» og «80041317» eller «80043431» når en bruker i forbund prøver å logge på Microsoft 365, Azure eller Intune

Obs!

Azure AD- og MSOnline PowerShell-moduler avvikles fra og med 30. mars 2024. Hvis du vil ha mer informasjon, kan du lese avskrivingsoppdateringen. Etter denne datoen er støtte for disse modulene begrenset til overføringshjelp til Microsoft Graph PowerShell SDK og sikkerhetsoppdateringer. De avskrevne modulene vil fortsette å fungere til og med 30. mars 2025.

Vi anbefaler at du overfører til Microsoft Graph PowerShell for å samhandle med Microsoft Entra ID (tidligere Azure AD). Se vanlige spørsmål om overføring for vanlige spørsmål om overføring. Merk: Versjoner 1.0.x av MSOnline kan oppleve forstyrrelser etter 30. juni 2024.

Følg disse trinnene for å oppdatere konfigurasjonen av det forbundsdomenet på en domenetilkoblet datamaskin som har Azure Active Directory-modul for Windows PowerShell installert:

  1. Klikk Start, klikk Alle programmer, klikk Windows Azure Active Directory, og klikk deretter Windows Azure Active Directory-modulen for Windows PowerShell.

  2. Skriv inn følgende kommandoer i ledeteksten, og trykk ENTER etter hver kommando:

    $cred = get-credential

    Obs!

    Når du blir bedt om det, skriver du inn administratorlegitimasjonen for skytjenesten.

    Connect-MSOLService –credential:$cred

    Set-MSOLADFSContext –Computer: <AD FS 2.0 ServerName>

    Obs!

    I denne kommandoen representerer plassholderen <AD FS 2.0 Server Name> Windows-vertsnavnet for den primære AD FS-serveren.

    Update-MSOLFederatedDomain –DomainName: <Federated Domain Name>

    eller

    Update-MSOLFederatedDomain –DomainName: <Federated Domain Name> –supportmultipledomain

    Obs!

    • Bruk av bryteren –supportmultipledomain kreves når flere domener på øverste nivå er samlet ved hjelp av samme AD FS-forbundstjeneste.
    • I disse kommandoene representerer plassholderen <organisasjonsbasert domenenavn> navnet på domenet som allerede er i forbund.

Viktig

Et skript er tilgjengelig for å automatisere oppdateringen av forbundsmetadata regelmessig for å sikre at endringer i AD FS-tokensigneringssertifikatet replikeres på riktig måte.

Skriptet oppretter en Windows-planlagt oppgave på den primære AD FS-serveren for å sikre at endringer i AD FS-konfigurasjonen, for eksempel klareringsinformasjon, signering av sertifikatoppdateringer og så videre, overføres regelmessig til Microsoft Entra ID.

Hvis tokensigneringssertifikatet fornyes automatisk i et miljø der skriptet implementeres, oppdaterer skriptet klareringsinformasjonen i skyen for å forhindre nedetid som skyldes utdatert informasjon om skysertifikat.

Slik reparerer du konfigurasjonen av det forbundsdomenet

Konfigurasjonen av det forbundsdomenet må repareres i scenarioene som er beskrevet i følgende Microsoft Knowledge Base-artikler.

  • 2523494 Du mottar en sertifikatadvarsel fra AD FS når du prøver å logge på Microsoft 365, Azure eller Intune
  • 2618887 «Forbundstjenesteidentifikatoren som er angitt i AD FS 2.0-serveren, er allerede i bruk». Når du prøver å konfigurere et annet forbundsdomene i Microsoft 365, Azure eller Intune
  • 2713898 feilmeldingen «Det oppstod et problem med tilgang til nettstedet» fra AD FS når en organisasjonsbasert bruker logger seg på Microsoft 365, Azure eller Intune
  • 2647020 feilmeldingen «Organisasjonen kan ikke logge deg på denne tjenesten» og «80041317» eller «80043431» når en bruker i forbund prøver å logge på Microsoft 365
  • Navnet på forbundstjenesten i AD FS er endret.

Følg disse trinnene for å reparere konfigurasjonen av forbundsdomene på en domenetilkoblet datamaskin som har Azure Active Directory-modul for Windows PowerShell installert.

Advarsel

  • Følgende fremgangsmåte fjerner eventuelle tilpassinger som er opprettet ved å begrense tilgangen til Microsoft 365-tjenester ved hjelp av klientens plassering. Etter at konfigurasjonen av domenet i organisasjonsforbundet er reparert, må du kanskje konfigurere begrenset AD FS-tilgang på nytt.
  • Følgende trinn bør planlegges nøye. Brukere som SSO-funksjonaliteten er aktivert for i det forbundsdomenet, kan ikke godkjenne under denne operasjonen fra fullføring av trinn 4 til trinn 5 er fullført. Hvis cmdlet-testen update-MSOLFederatedDomain i trinn 1 ikke følges, fullføres ikke trinn 5 på riktig måte. Brukere i organisasjonsforbund kan ikke godkjenne før cmdleten update-MSOLFederatedDomain kan kjøres.
  1. Kjør trinnene i delen «Slik oppdaterer du konfigurasjonen av det organisasjonsbaserte domenet» tidligere i denne artikkelen for å sikre at cmdleten update-MSOLFederatedDomain er fullført.
    • Hvis cmdleten ikke ble fullført, må du ikke fortsette med denne prosedyren. Se i stedet avsnittet Kjente problemer som kan oppstå når du oppdaterer eller reparerer et organisasjonsdomene senere i denne artikkelen for å feilsøke problemet.
    • Hvis cmdleten er ferdig, lar du ledetekstvinduet være åpent for senere bruk.
  2. Logg på AD FS-serveren. Dette gjør du ved å klikke Start, peke på Alle programmer, peke på Administrative verktøy og deretter klikke AD FS (2.0) Administrasjon.
  3. Klikk AD FS (2.0) i venstre navigasjonsrute, klikk Klarer relasjoner, og klikk deretter Klareringer for beroende part.
  4. Slett oppføringen for Microsoft Office 365 Identitetsplattform i ruten lengst til høyre.
  5. Opprett det slettede klareringsobjektet på nytt i det Windows PowerShell vinduet du åpnet i trinn 1. Hvis du vil gjøre dette, kjører du følgende kommando og trykker enter:
    Update-MSOLFederatedDomain -DomainName <Federated Domain Name>
    eller
    Update-MSOLFederatedDomain –DomainName:<Federated Domain Name> –supportmultipledomain

    Obs!

    • Bruk av bryteren –supportmultipledomain kreves når flere domener på øverste nivå er samlet ved hjelp av samme AD FS-forbundstjeneste.
    • I disse kommandoene representerer plassholderen <organisasjonsbasert domenenavn> navnet på domenet som allerede er i forbund.

Kjente problemer som kan oppstå når du oppdaterer eller reparerer et domene i forbund

Følgende scenarioer forårsaker problemer når du oppdaterer eller reparerer et forbundsdomene:

  • Du kan ikke koble til ved hjelp av Windows PowerShell. Hvis du vil ha mer informasjon om dette problemet, kan du se følgende Microsoft Knowledge Base-artikkel:

    2494043 Du kan ikke koble til ved hjelp av Azure Active Directory-modulen for Windows PowerShell

  • Azure Active Directory-modulen for Windows PowerShell kan ikke lastes inn på grunn av manglende forutsetninger. Hvis du vil ha mer informasjon, kan du se følgende Microsoft Knowledge Base-artikkel:

    2461873 Du kan ikke åpne Azure Active Directory-modulen for Windows PowerShell

  • Du får feilmeldingen Ingen tilgang når du prøver å kjøre set-MSOLADFSContext-cmdleten. Hvis du vil ha mer informasjon, kan du se følgende Microsoft Knowledge Base-artikkel:

    2587730 feilmeldingen «Tilkoblingen til <ServerName> Active Directory Federation Services 2.0-serveren mislyktes» når du bruker cmdleten Set-MsolADFSContext

Trenger du fremdeles hjelp? Gå til Microsoft Community eller nettstedet Microsoft Entra Forums.