Обновление или исправление параметров федеративного домена в Microsoft 365, Azure или Intune

Статья
10/24/2023
Применяется к:

Cloud Services (Web roles/Worker roles), Azure Active Directory, Microsoft Intune, Azure Backup, Microsoft 365

Введение

Единый вход (SSO) в облачной службе Майкрософт, например Microsoft 365, Microsoft Azure или Microsoft Intune, зависит от правильной работы локального развертывания службы федерации Active Directory (AD FS) (AD FS). В нескольких сценариях требуется перестроить конфигурацию федеративного домена в AD FS для устранения технических проблем. В этой статье содержатся пошаговые инструкции по обновлению или исправлению конфигурации федеративного домена.

Дополнительная информация

Обновление конфигурации федеративного домена

Конфигурацию федеративного домена необходимо обновить в сценариях, описанных в следующих статьях базы знаний Майкрософт.

2713898 ошибка "Возникла проблема с доступом к сайту" из AD FS, когда федеративный пользователь входит в Microsoft 365, Azure или Intune
2535191 "К сожалению, но у нас возникают проблемы со входом" и "80048163", когда федеративный пользователь пытается войти в Microsoft 365, Azure или Intune
2647020 "К сожалению, но у нас возникают проблемы со входом" и "80041317" или "80043431", когда федеративный пользователь пытается войти в Microsoft 365, Azure или Intune

Примечание.

модули PowerShell Azure AD и MSOnline устарели с 30 марта 2024 г. Дополнительные сведения см. в статье Обновление для прекращения поддержки. После этой даты поддержка этих модулей ограничивается поддержкой миграции пакета SDK Для Microsoft Graph PowerShell и исправлениями безопасности. Устаревшие модули будут работать до 30 марта 2025 г.

Мы рекомендуем выполнить миграцию в Microsoft Graph PowerShell для взаимодействия с Microsoft Entra ID (ранее Azure AD). Распространенные вопросы о миграции см. в разделе Вопросы и ответы о миграции. Примечание: В версиях 1.0.x MSOnline может возникнуть сбой после 30 июня 2024 г.

Чтобы обновить конфигурацию федеративного домена на присоединенном к домену компьютере с установленным модулем Azure Active Directory для Windows PowerShell, выполните следующие действия.

Нажмите кнопку Пуск, выберите Все программы, Windows Azure Active Directory, а затем — модуль Windows Azure Active Directory для Windows PowerShell.
В командной строке введите следующие команды и нажмите клавишу ВВОД после каждой команды:
```
$cred = get-credential
```
Примечание.

При появлении запроса введите учетные данные администратора облачной службы.
```
Connect-MSOLService –credential:$cred
```
```
Set-MSOLADFSContext –Computer: <AD FS 2.0 ServerName>
```
Примечание.

В этой команде заполнитель <ИМЯ сервера> AD FS 2.0 представляет имя узла Windows основного сервера AD FS.
```
Update-MSOLFederatedDomain –DomainName: <Federated Domain Name>
```
или
```
Update-MSOLFederatedDomain –DomainName: <Federated Domain Name> –supportmultipledomain 
```
Примечание.
- Использование параметра –supportmultipledomain требуется, если несколько доменов верхнего уровня объединены в федерацию с помощью одной службы федерации AD FS.
- В этих командах заполнитель <Федеративное доменное имя> представляет имя домена, который уже является федеративной.

Важно!

Доступен скрипт для регулярной автоматизации обновления метаданных федерации, чтобы убедиться, что изменения в сертификате подписи маркера AD FS реплицируются правильно.

Скрипт создает запланированную задачу Windows на основном сервере AD FS, чтобы убедиться, что изменения в конфигурации AD FS, такие как сведения о доверии, обновления сертификатов подписи и т. д., регулярно распространяются на Microsoft Entra ID.

Если сертификат подписи маркеров автоматически обновляется в среде, где реализован скрипт, скрипт обновит сведения о доверии к облаку, чтобы предотвратить простои, вызванные устаревшими сведениями об облачном сертификате.

Восстановление конфигурации федеративного домена

Конфигурацию федеративного домена необходимо исправить в сценариях, описанных в следующих статьях базы знаний Майкрософт.

2523494 при попытке входа в Microsoft 365, Azure или Intune вы получаете предупреждение о сертификате от AD FS
2618887 при попытке настроить другой федеративный домен в Microsoft 365, Azure или Intune
2713898 ошибка "Возникла проблема с доступом к сайту" из AD FS, когда федеративный пользователь входит в Microsoft 365, Azure или Intune
2647020 ошибка "Вашей организации не удалось войти в эту службу" и "80041317" или "80043431", когда федеративный пользователь пытается войти в Microsoft 365
Имя службы федерации в AD FS изменено.

Чтобы восстановить конфигурацию федеративного домена на присоединенном к домену компьютере с установленным модулем Azure Active Directory для Windows PowerShell, выполните следующие действия.

Предупреждение

Следующая процедура удаляет все настройки, созданные путем ограничения доступа к службам Microsoft 365 с помощью расположения клиента. После восстановления конфигурации федеративного домена может потребоваться перенастроить ограниченный доступ AD FS.
Следующие шаги следует тщательно спланировать. Пользователи, для которых включена функция единого входа в федеративном домене, не смогут пройти проверку подлинности во время этой операции с момента выполнения шага 4 до завершения шага 5. Если тест командлета update-MSOLFederatedDomain на шаге 1 не выполнен успешно, шаг 5 завершится неправильно. Федеративные пользователи не смогут пройти проверку подлинности, пока не удастся успешно запустить командлет update-MSOLFederatedDomain.

Выполните действия, описанные в разделе "Обновление конфигурации федеративного домена" ранее в этой статье, чтобы убедиться, что командлет update-MSOLFederatedDomain успешно завершен.
- Если командлет не завершился успешно, не продолжайте эту процедуру. Вместо этого см. раздел "Известные проблемы, которые могут возникнуть при обновлении или восстановлении федеративного домена" далее в этой статье, чтобы устранить проблему.
- Если командлет завершится успешно, оставьте окно командной строки открытым для последующего использования.
Войдите на сервер AD FS. Для этого нажмите кнопку Пуск, выберите Пункт Все программы, Администрирование, а затем — Управление AD FS (2.0).
В области навигации слева щелкните AD FS (2.0), щелкните Отношения доверия, а затем щелкните Отношения доверия с проверяющей стороной.
В крайней правой области удалите запись Microsoft Office 365 Identity Platform.
В окне Windows PowerShell, открытом на шаге 1, повторно создайте удаленный объект доверия. Для этого выполните следующую команду и нажмите клавишу ВВОД:
```
Update-MSOLFederatedDomain -DomainName <Federated Domain Name>
```
или
```
Update-MSOLFederatedDomain –DomainName:<Federated Domain Name> –supportmultipledomain
```
Примечание.
- Использование параметра –supportmultipledomain требуется, если несколько доменов верхнего уровня объединены в федерацию с помощью одной службы федерации AD FS.
- В этих командах заполнитель <Федеративное доменное имя> представляет имя домена, который уже является федеративной.

Известные проблемы, которые могут возникнуть при обновлении или исправлении федеративного домена

При обновлении или восстановлении федеративного домена проблемы возникают в следующих сценариях:

Подключение с помощью Windows PowerShell невозможно. Дополнительные сведения об этой проблеме см. в следующей статье базы знаний Майкрософт:

2494043 Невозможно подключиться с помощью модуля Azure Active Directory для Windows PowerShell
Модуль Azure Active Directory для Windows PowerShell не удается загрузить из-за отсутствия необходимых компонентов. Дополнительные сведения см. в следующей статье базы знаний Майкрософт:

2461873 Модуль Azure Active Directory для Windows PowerShell
При попытке запустить командлет set-MSOLADFSContext появляется сообщение об ошибке "Доступ запрещен". Дополнительные сведения см. в следующей статье базы знаний Майкрософт:

2587730 ошибка "Сбой подключения к <серверу ServerName> службы федерации Active Directory (AD FS) 2.0" при использовании командлета Set-MsolADFSContext

Требуется дополнительная помощь? Перейдите на веб-сайт Сообщества Майкрософт или на веб-сайт форумов Microsoft Entra.