Los usuarios ya no pueden iniciar sesión después de ejecutar el comando Convert-MSOLDomaintoFederated para convertir un dominio existente
En este artículo se proporciona información sobre cómo solucionar un problema en el que los usuarios ya no pueden acceder a Office 365, Azure o Microsoft Intune después de ejecutar el Convert-MSOLDomaintoFederated comando para convertir un dominio existente de autenticación estándar a autenticación federada.
Versión del producto original: Cloud Services (roles web/roles de trabajo), Microsoft Entra ID, Microsoft Intune, Azure Backup, Office 365 Identity Management
Número de KB original: 2662960
Nota:
Los módulos de PowerShell de Azure AD y MSOnline quedarán obsoletos a partir del 30 de marzo de 2024. Para obtener más información, lea la actualización de desuso. Después de esta fecha, el soporte técnico de estos módulos se limita a la asistencia para la migración al SDK de Microsoft Graph PowerShell y a las correcciones de seguridad. Los módulos obsoletos seguirán funcionando hasta el 30 de marzo de 2025.
Se recomienda migrar a Microsoft Graph PowerShell para interactuar con Microsoft Entra ID (anteriormente Azure AD). Para obtener respuesta a las preguntas más comunes sobre la migración, consulte las Preguntas frecuentes sobre la migración. Nota: Las versiones 1.0.x de MSOnline pueden experimentar interrupciones después del 30 de junio de 2024.
Síntomas
Durante la instalación del inicio de sesión único (SSO) en un servicio en la nube de Microsoft, como Office 365, Microsoft Azure o Microsoft Intune, ejecute el Convert-MSOLDomaintoFederated comando para convertir un dominio existente de autenticación estándar a autenticación federada. Sin embargo, después de hacerlo, los usuarios que están asociados a ese dominio ya no pueden acceder al servicio en la nube.
Causa
Este problema se produce si el inicio de sesión único no está configurado correctamente o si la instalación no se ha completado.
Advertencia
Es un procedimiento recomendado de Microsoft tener siempre al menos un identificador de usuario de administrador asociado al dominio predeterminado para que el acceso administrativo a la organización no se pierda si el inicio de sesión único está en peligro.
Solución
Para resolver este problema, utilice uno de los siguientes métodos, según corresponda a su situación.
Método 1: Solución de problemas de instalación del inicio de sesión único
Use este método solo si se cumplen todas las condiciones siguientes:
- El problema no se debe a una interrupción del servicio.
- No es necesario restaurar inmediatamente el acceso de usuario.
Para diagnosticar y solucionar problemas de instalación del inicio de sesión único, consulte Solución de problemas de configuración de inicio de sesión único en Office 365, Intune o Azure.
Método 2: Revertir la federación de dominio a la autenticación estándar si el servidor de AD FS no está disponible
Use este método solo si se cumplen todas las condiciones siguientes:
- El problema se debe a una interrupción del servicio que requiere restaurar inmediatamente el acceso del usuario.
- El servidor de AD FS no está disponible.
Si estas condiciones son verdaderas, restablezca la configuración de autenticación para el dominio y para que cada cuenta de usuario use la autenticación estándar. Para ello, siga estos pasos:
Inicie el módulo de Azure Active Directory para Windows PowerShell. Para ello, seleccione Inicio, Todos los programas, Windows Azure Active Directory, haga clic con el botón derecho en Módulo de Windows Azure Active Directory para Windows PowerShell y, a continuación, seleccione Ejecutar como administrador.
Para convertir el dominio, ejecute los siguientes comandos en el orden en que se presentan. Presione Entrar después de escribir cada comando.
$cred = Get-CredentialCuando se le solicite, escriba las credenciales de administrador del servicio en la nube que no estén habilitadas para sso.
Connect-MsolService -credential $credSet-MSOLDomainAuthentication -Authentication Managed -DomainName <federated domain name>Nota:
En este comando, el nombre> de dominio federado del marcador de posición <representa el nombre del dominio para el que el inicio de sesión único no funciona.
Para cada usuario que tenga un sufijo de nombre principal de usuario (UPN) asociado al dominio, ejecute el siguiente comando:
Convert-MSOLFederatedUser -UserPrincipalName <string>Nota:
En este comando, la cadena> de marcador de posición <representa el valor del UPN para el usuario que se va a convertir.
Más información
Importante
En escenarios en los que al último administrador de la organización de servicios en la nube de Microsoft se le asigna el sufijo de dominio de un dominio federado y en los que ese administrador se habilita para sso, los errores posteriores de AD FS limitarán la ejecución del comando connect-MSOLService y pueden impedir la corrección de problemas de SSO. Se recomienda que los administradores de la organización de servicios en la nube de Microsoft conserven siempre al menos una cuenta de administrador global que no esté habilitada para el inicio de sesión único para permitir la solución de problemas de SSO mediante el módulo de Azure Active Directory para Windows PowerShell.
Si se produce este problema, póngase en contacto con Soporte técnico de Microsoft para que la federación de dominio se revierta temporalmente para que el administrador (que ya no tiene habilitado el inicio de sesión único) pueda recuperar el acceso para solucionar problemas relacionados con el inicio de sesión único.
Ponte en contacto con nosotros para obtener ayuda
Si tiene preguntas o necesita ayuda, cree una solicitud de soporte o busque consejo en la comunidad de Azure. También puede enviar comentarios sobre el producto con los comentarios de la comunidad de Azure.
Comentarios
Próximamente: A lo largo de 2024 iremos eliminando gradualmente GitHub Issues como mecanismo de comentarios sobre el contenido y lo sustituiremos por un nuevo sistema de comentarios. Para más información, vea: https://aka.ms/ContentUserFeedback.
Enviar y ver comentarios de