Uppdatera eller reparera inställningarna för en federerad domän i Microsoft 365, Azure eller Intune
Inledning
Enkel inloggning (SSO) i en Microsoft-molntjänst som Microsoft 365, Microsoft Azure eller Microsoft Intune är beroende av en lokal distribution av Active Directory Federation Services (AD FS) (AD FS) som fungerar korrekt. Flera scenarier kräver att konfigurationen av den federerade domänen i AD FS återskapas för att åtgärda tekniska problem. Den här artikeln innehåller stegvisa anvisningar om hur du uppdaterar eller reparerar konfigurationen av den federerade domänen.
Mer information
Så här uppdaterar du konfigurationen av den federerade domänen
Konfigurationen av den federerade domänen måste uppdateras i de scenarier som beskrivs i följande Microsoft Knowledge Base-artiklar.
- 2713898 felet "Det gick inte att komma åt webbplatsen" från AD FS när en federerad användare loggar in på Microsoft 365, Azure eller Intune
- 2535191 felet "Tyvärr, men vi har problem med att logga in dig" och "80048163" när en federerad användare försöker logga in på Microsoft 365, Azure eller Intune
- 2647020 felmeddelandet "Tyvärr, men vi har problem med att logga in dig" och "80041317" eller "80043431" när en federerad användare försöker logga in på Microsoft 365, Azure eller Intune
Obs!
Azure AD- och MSOnline PowerShell-modulerna är inaktuella från och med den 30 mars 2024. Mer information finns i utfasningsuppdateringen. Efter det här datumet är stödet för dessa moduler begränsat till migreringshjälp till Microsoft Graph PowerShell SDK och säkerhetskorrigeringar. De inaktuella modulerna fortsätter att fungera till och med den 30 mars 2025.
Vi rekommenderar att du migrerar till Microsoft Graph PowerShell för att interagera med Microsoft Entra ID (tidigare Azure AD). Vanliga migreringsfrågor finns i Vanliga frågor och svar om migrering. Observera: Version 1.0.x av MSOnline kan uppleva störningar efter den 30 juni 2024.
Följ dessa steg för att uppdatera konfigurationen av den federerade domänen på en domänansluten dator som har Azure Active Directory-modulen för Windows PowerShell installerad:
Klicka på Start, klicka på Alla program, klicka på Windows Azure Active Directory och klicka sedan på Windows Azure Active Directory-modulen för Windows PowerShell.
Skriv följande kommandon i kommandotolken och tryck på Retur efter varje kommando:
$cred = get-credential
Obs!
När du uppmanas att göra det anger du autentiseringsuppgifterna för molntjänstens administratör.
Connect-MSOLService –credential:$cred
Set-MSOLADFSContext –Computer: <AD FS 2.0 ServerName>
Obs!
I det här kommandot representerar platshållaren <AD FS 2.0 ServerNamn> Windows-värdnamnet för den primära AD FS-servern.
Update-MSOLFederatedDomain –DomainName: <Federated Domain Name>
eller
Update-MSOLFederatedDomain –DomainName: <Federated Domain Name> –supportmultipledomain
Obs!
- Med växeln –supportmultipledomain krävs när flera toppnivådomäner federeras med hjälp av samma AD FS-federationstjänst.
- I dessa kommandon representerar platshållaren <Federerat domännamn> namnet på den domän som redan är federerad.
Viktigt
Ett skript är tillgängligt för att automatisera uppdateringen av federationsmetadata regelbundet för att se till att ändringar i AD FS-tokensigneringscertifikatet replikeras korrekt.
Skriptet skapar en schemalagd Windows-aktivitet på den primära AD FS-servern för att se till att ändringar i AD FS-konfigurationen, till exempel förtroendeinformation, signeringscertifikatuppdateringar och så vidare, sprids regelbundet till Microsoft Entra ID.
Om certifikatet för tokensignering förnyas automatiskt i en miljö där skriptet implementeras uppdaterar skriptet informationen om molnförtroendet för att förhindra avbrott som orsakas av inaktuell information om molncertifikat.
Så här reparerar du konfigurationen av den federerade domänen
Konfigurationen av den federerade domänen måste repareras i de scenarier som beskrivs i följande Microsoft Knowledge Base-artiklar.
- 2523494 Du får en certifikatvarning från AD FS när du försöker logga in på Microsoft 365, Azure eller Intune
- 2618887 felet "Federationstjänstidentifierare som anges i AD FS 2.0-servern används redan." när du försöker konfigurera en annan federerad domän i Microsoft 365, Azure eller Intune
- 2713898 felet "Det gick inte att komma åt webbplatsen" från AD FS när en federerad användare loggar in på Microsoft 365, Azure eller Intune
- 2647020 felet "Din organisation kunde inte logga in dig på den här tjänsten" och felkoden "80041317" eller "80043431" när en federerad användare försöker logga in på Microsoft 365
- Federationstjänstens namn i AD FS ändras.
Följ dessa steg för att reparera konfigurationen av federerade domäner på en domänansluten dator som har Azure Active Directory-modulen för Windows PowerShell installerad.
Varning
- Följande procedur tar bort alla anpassningar som skapas genom att begränsa åtkomsten till Microsoft 365-tjänster med hjälp av klientens plats. När konfigurationen av den federerade domänen har reparerats kan du behöva konfigurera om begränsad AD FS-åtkomst.
- Följande steg bör planeras noggrant. Användare för vilka SSO-funktionen är aktiverad i den federerade domänen kan inte autentiseras under den här åtgärden från slutförandet av steg 4 tills steg 5 har slutförts. Om cmdlet-testet update-MSOLFederatedDomain i steg 1 inte följs slutförs inte steg 5 korrekt. Federerade användare kan inte autentisera förrän cmdleten update-MSOLFederatedDomain kan köras.
- Kör stegen i avsnittet "Så här uppdaterar du konfigurationen av federerad domän" tidigare i den här artikeln för att kontrollera att cmdleten update-MSOLFederatedDomain har slutförts.
- Om cmdleten inte har slutförts ska du inte fortsätta med den här proceduren. Se i stället avsnittet "Kända problem som kan uppstå när du uppdaterar eller reparerar en federerad domän" senare i den här artikeln för att felsöka problemet.
- Om cmdleten har slutförts lämnar du kommandotolken öppen för senare användning.
- Logga in på AD FS-servern. Det gör du genom att klicka på Start, peka på Alla program, peka på Administrationsverktyg och sedan klicka på AD FS -hantering (2.0).
- I det vänstra navigeringsfönstret klickar du på AD FS (2.0), klickar på Förtroenderelationer och sedan på Förlitande partsförtroenden.
- Ta bort posten Microsoft Office 365 Identity Platform längst till höger.
- I det Windows PowerShell fönster som du öppnade i steg 1 återskapar du det borttagna förtroendeobjektet. Det gör du genom att köra följande kommando och sedan trycka på Retur:
ellerUpdate-MSOLFederatedDomain -DomainName <Federated Domain Name>
Update-MSOLFederatedDomain –DomainName:<Federated Domain Name> –supportmultipledomain
Obs!
- Med växeln –supportmultipledomain krävs när flera toppnivådomäner federeras med hjälp av samma AD FS-federationstjänst.
- I dessa kommandon representerar platshållaren <Federerat domännamn> namnet på den domän som redan är federerad.
Kända problem som kan uppstå när du uppdaterar eller reparerar en federerad domän
Följande scenarier orsakar problem när du uppdaterar eller reparerar en federerad domän:
Du kan inte ansluta med hjälp av Windows PowerShell. Mer information om det här problemet finns i följande artikel i Microsoft Knowledge Base:
2494043 Du kan inte ansluta med hjälp av Azure Active Directory-modulen för Windows PowerShell
Azure Active Directory-modulen för Windows PowerShell kan inte läsas in på grund av saknade krav. Mer information finns i följande artikel i Microsoft Knowledge Base:
2461873 Du kan inte öppna Azure Active Directory-modulen för Windows PowerShell
Du får felmeddelandet "Åtkomst nekad" när du försöker köra cmdleten set-MSOLADFSContext. Mer information finns i följande artikel i Microsoft Knowledge Base:
2587730 felet "Anslutningen till <ServerName> Active Directory Federation Services (AD FS) 2.0-servern misslyckades" när du använder cmdleten Set-MsolADFSContext
Behöver du fortfarande hjälp? Gå till Microsoft Community eller webbplatsen för Microsoft Entra Forum.
Feedback
https://aka.ms/ContentUserFeedback.
Kommer snart: Under hela 2024 kommer vi att fasa ut GitHub-problem som feedbackmekanism för innehåll och ersätta det med ett nytt feedbacksystem. Mer information finns i:Skicka och visa feedback för