Aktualizowanie lub naprawianie ustawień domeny federacyjnej na platformie Microsoft 365, platformie Azure lub Intune

  • Artykuł
  • Dotyczy:
    Cloud Services (Web roles/Worker roles), Azure Active Directory, Microsoft Intune, Azure Backup, Microsoft 365

Wprowadzenie

Logowanie jednokrotne w usłudze w chmurze firmy Microsoft, takiej jak Microsoft 365, Microsoft Azure lub Microsoft Intune, zależy od lokalnego wdrożenia Active Directory Federation Services (AD FS), które działa prawidłowo. Kilka scenariuszy wymaga ponownego skompilowania konfiguracji domeny federacyjnej w usługach AD FS w celu rozwiązania problemów technicznych. Ten artykuł zawiera szczegółowe wskazówki dotyczące aktualizowania lub naprawiania konfiguracji domeny federacyjnej.

Więcej informacji

Jak zaktualizować konfigurację domeny federacyjnej

Konfigurację domeny federacyjnej należy zaktualizować w scenariuszach opisanych w następujących artykułach z bazy wiedzy Microsoft Knowledge Base.

  • 2713898 błąd "Wystąpił problem z dostępem do witryny" z usług AD FS, gdy użytkownik federacyjny loguje się do platformy Microsoft 365, platformy Azure lub Intune
  • 2535191 "Niestety, ale występują problemy z logowaniem" i "80048163", gdy użytkownik federacyjny próbuje zalogować się do platformy Microsoft 365, platformy Azure lub Intune
  • 2647020 błąd "Niestety, ale występują problemy z logowaniem" i "80041317" lub "80043431", gdy użytkownik federacyjny próbuje zalogować się do platformy Microsoft 365, platformy Azure lub Intune

Uwaga

Moduły programu PowerShell Azure AD i MSOnline są przestarzałe od 30 marca 2024 r. Aby dowiedzieć się więcej, przeczytaj aktualizację wycofania. Po tej dacie obsługa tych modułów jest ograniczona do pomocy w migracji do zestawu Microsoft Graph PowerShell SDK i poprawek zabezpieczeń. Przestarzałe moduły będą nadal działać do 30 marca 2025 r.

Zalecamy migrację do programu Microsoft Graph PowerShell w celu interakcji z Tożsamość Microsoft Entra (dawniej Azure AD). Aby uzyskać typowe pytania dotyczące migracji, zapoznaj się z często zadawanymi pytaniami dotyczącymi migracji. Uwaga: W wersjach 1.0.x usługi MSOnline mogą wystąpić zakłócenia po 30 czerwca 2024 r.

Aby zaktualizować konfigurację domeny federacyjnej na komputerze przyłączonym do domeny z zainstalowanym modułem usługi Azure Active Directory dla Windows PowerShell, wykonaj następujące kroki:

  1. Kliknij przycisk Start, kliknij pozycję Wszystkie programy, kliknij pozycję Windows Azure Active Directory, a następnie kliknij moduł Windows Azure Active Directory dla Windows PowerShell.

  2. W wierszu polecenia wpisz następujące polecenia i naciśnij klawisz Enter po każdym poleceniu:

    $cred = get-credential

    Uwaga

    Po wyświetleniu monitu wprowadź poświadczenia administratora usługi w chmurze.

    Connect-MSOLService –credential:$cred

    Set-MSOLADFSContext –Computer: <AD FS 2.0 ServerName>

    Uwaga

    W tym poleceniu zastępcza <nazwa> serwera usług AD FS 2.0 reprezentuje nazwę hosta systemu Windows podstawowego serwera usług AD FS.

    Update-MSOLFederatedDomain –DomainName: <Federated Domain Name>

    lub

    Update-MSOLFederatedDomain –DomainName: <Federated Domain Name> –supportmultipledomain

    Uwaga

    • Użycie przełącznika –supportmultipledomain jest wymagane, gdy wiele domen najwyższego poziomu jest federacyjnych przy użyciu tej samej usługi federacyjnej usług AD FS.
    • W tych poleceniach zastępcza < nazwa >domeny federacyjnej reprezentuje nazwę domeny, która jest już federacyjna.

Ważna

Dostępny jest skrypt umożliwiający regularne automatyzowanie aktualizacji metadanych federacji w celu upewnienia się, że zmiany certyfikatu podpisywania tokenu usług AD FS są poprawnie replikowane.

Skrypt tworzy zaplanowane zadanie systemu Windows na podstawowym serwerze usług AD FS, aby upewnić się, że zmiany w konfiguracji usług AD FS, takie jak informacje o zaufaniu, aktualizacje certyfikatów podpisywania i tak dalej, są regularnie propagowane do Tożsamość Microsoft Entra.

Jeśli certyfikat podpisywania tokenu zostanie automatycznie odnowiony w środowisku, w którym skrypt zostanie zaimplementowany, skrypt zaktualizuje informacje o zaufaniu w chmurze, aby zapobiec przestojom spowodowanym nieaktualizowanymi informacjami o certyfikacie w chmurze.

Jak naprawić konfigurację domeny federacyjnej

Konfigurację domeny federacyjnej należy naprawić w scenariuszach opisanych w następujących artykułach z bazy wiedzy Microsoft Knowledge Base.

  • 2523494 Podczas próby zalogowania się do platformy Microsoft 365, platformy Azure lub Intune zostanie wyświetlone ostrzeżenie o certyfikacie od usług AD FS
  • 2618887 "Identyfikator usługi federacyjnej określony na serwerze usług AD FS 2.0 jest już używany." błąd podczas próby skonfigurowania innej domeny federacyjnej na platformie Microsoft 365, azure lub Intune
  • 2713898 błąd "Wystąpił problem z dostępem do witryny" z usług AD FS, gdy użytkownik federacyjny loguje się do platformy Microsoft 365, platformy Azure lub Intune
  • 2647020 błąd "Twoja organizacja nie mogła zalogować się do tej usługi" i kod błędu "80041317" lub "80043431", gdy użytkownik federacyjny próbuje zalogować się do platformy Microsoft 365
  • Nazwa usługi federacyjnej w usługach AD FS została zmieniona.

Aby naprawić konfigurację domeny federacyjnej na komputerze przyłączonym do domeny z zainstalowanym modułem usługi Azure Active Directory dla Windows PowerShell, wykonaj następujące kroki.

Ostrzeżenie

  • Poniższa procedura usuwa wszelkie dostosowania utworzone przez ograniczenie dostępu do usług Microsoft 365 przy użyciu lokalizacji klienta. Po naprawie konfiguracji domeny federacyjnej może być konieczne ponowne skonfigurowanie ograniczonego dostępu usług AD FS.
  • Poniższe kroki należy dokładnie zaplanować. Użytkownicy, dla których funkcja logowania jednokrotnego jest włączona w domenie federacyjnej, nie będą mogli uwierzytelnić się podczas tej operacji od ukończenia kroku 4 do ukończenia kroku 5. Jeśli test polecenia cmdlet update-MSOLFederatedDomain w kroku 1 nie zostanie pomyślnie zastosowany, krok 5 nie zakończy się poprawnie. Użytkownicy federacyjni nie będą mogli uwierzytelniać się do momentu pomyślnego uruchomienia polecenia cmdlet update-MSOLFederatedDomain.
  1. Wykonaj kroki opisane w sekcji "Jak zaktualizować konfigurację domeny federacyjnej" wcześniej w tym artykule, aby upewnić się, że polecenie cmdlet update-MSOLFederatedDomain zakończyło się pomyślnie.
    • Jeśli polecenie cmdlet nie zakończyło się pomyślnie, nie kontynuuj wykonywania tej procedury. Zamiast tego zobacz sekcję "Znane problemy, które mogą wystąpić podczas aktualizowania lub naprawiania domeny federacyjnej" w dalszej części tego artykułu, aby rozwiązać ten problem.
    • Jeśli polecenie cmdlet zakończy się pomyślnie, pozostaw otwarte okno wiersza polecenia do późniejszego użycia.
  2. Zaloguj się na serwerze usług AD FS. W tym celu kliknij przycisk Start, wskaż pozycję Wszystkie programy, wskaż pozycję Narzędzia administracyjne, a następnie kliknij pozycję Zarządzanie usługami AD FS (2.0).
  3. W okienku nawigacji po lewej stronie kliknij pozycję AD FS (2.0), kliknij pozycję Relacje zaufania, a następnie kliknij pozycję Relacje jednostki uzależnionej.
  4. W okienku po prawej stronie usuń wpis Microsoft Office 365 Identity Platform.
  5. W oknie Windows PowerShell otwartym w kroku 1 utwórz ponownie usunięty obiekt zaufania. Aby to zrobić, uruchom następujące polecenie, a następnie naciśnij klawisz Enter:
    Update-MSOLFederatedDomain -DomainName <Federated Domain Name>
    lub
    Update-MSOLFederatedDomain –DomainName:<Federated Domain Name> –supportmultipledomain

    Uwaga

    • Użycie przełącznika –supportmultipledomain jest wymagane, gdy wiele domen najwyższego poziomu jest federacyjnych przy użyciu tej samej usługi federacyjnej usług AD FS.
    • W tych poleceniach zastępcza < nazwa >domeny federacyjnej reprezentuje nazwę domeny, która jest już federacyjna.

Znane problemy, które mogą wystąpić podczas aktualizacji lub naprawy domeny federacyjnej

Następujące scenariusze powodują problemy podczas aktualizowania lub naprawiania domeny federacyjnej:

  • Nie można nawiązać połączenia przy użyciu Windows PowerShell. Aby uzyskać więcej informacji na temat tego problemu, zobacz następujący artykuł z bazy wiedzy Microsoft Knowledge Base:

    2494043 Nie można nawiązać połączenia przy użyciu modułu usługi Azure Active Directory dla Windows PowerShell

  • Moduł usługi Azure Active Directory dla Windows PowerShell nie może ładować się z powodu braku wymagań wstępnych. Aby uzyskać więcej informacji, zobacz następujący artykuł bazy wiedzy Microsoft Knowledge Base:

    2461873 Nie można otworzyć modułu usługi Azure Active Directory dla Windows PowerShell

  • Podczas próby uruchomienia polecenia cmdlet set-MSOLADFSContext jest wyświetlany komunikat o błędzie "Odmowa dostępu". Aby uzyskać więcej informacji, zobacz następujący artykuł bazy wiedzy Microsoft Knowledge Base:

    2587730 błąd "Połączenie z <serwerem ServerName> Active Directory Federation Services 2.0 nie powiodło się" podczas korzystania z polecenia cmdlet Set-MsolADFSContext

Nadal potrzebujesz pomocy? Przejdź do witryny microsoft community lub witryny internetowej forów Microsoft Entra.