Użytkownicy nie mogą już logować się po uruchomieniu polecenia Convert-MSOLDomaintoFederated, aby przekonwertować istniejącą domenę
Ten artykuł zawiera informacje dotyczące rozwiązywania problemu, w którym użytkownicy nie mogą już uzyskiwać dostępu do Office 365, platformy Azure lub Microsoft Intune po uruchomieniu Convert-MSOLDomaintoFederated polecenia w celu przekonwertowania istniejącej domeny ze standardowego uwierzytelniania na uwierzytelnianie federacyjne.
Oryginalna wersja produktu: Cloud Services (role sieci Web/role procesu roboczego), Tożsamość Microsoft Entra, Microsoft Intune, Azure Backup, Office 365 Identity Management
Oryginalny numer KB: 2662960
Uwaga
Moduły programu PowerShell Azure AD i MSOnline są przestarzałe od 30 marca 2024 r. Aby dowiedzieć się więcej, przeczytaj aktualizację wycofania. Po tej dacie obsługa tych modułów jest ograniczona do pomocy w migracji do zestawu Microsoft Graph PowerShell SDK i poprawek zabezpieczeń. Przestarzałe moduły będą nadal działać do 30 marca 2025 r.
Zalecamy migrację do programu Microsoft Graph PowerShell w celu interakcji z Tożsamość Microsoft Entra (dawniej Azure AD). Aby uzyskać typowe pytania dotyczące migracji, zapoznaj się z często zadawanymi pytaniami dotyczącymi migracji. Uwaga: W wersjach 1.0.x usługi MSOnline mogą wystąpić zakłócenia po 30 czerwca 2024 r.
Symptomy
Podczas konfigurowania logowania jednokrotnego w usłudze w chmurze firmy Microsoft, takiej jak Office 365, Microsoft Azure lub Microsoft Intune, uruchom Convert-MSOLDomaintoFederated polecenie , aby przekonwertować istniejącą domenę ze standardowego uwierzytelniania na uwierzytelnianie federacyjne. Jednak po wykonaniu tej czynności użytkownicy skojarzoni z tą domeną nie będą mogli już uzyskiwać dostępu do usługi w chmurze.
Przyczyna
Ten problem występuje, jeśli funkcja logowania jednokrotnego nie jest poprawnie skonfigurowana lub konfiguracja nie została ukończona.
Ostrzeżenie
Najlepszym rozwiązaniem firmy Microsoft jest zawsze posiadanie co najmniej jednego identyfikatora użytkownika administratora skojarzonego z domeną domyślną, dzięki czemu dostęp administracyjny do organizacji nie zostanie utracony w przypadku naruszenia zabezpieczeń logowania jednokrotnego.
Rozwiązanie
Aby rozwiązać ten problem, użyj jednej z następujących metod, stosownie do twojej sytuacji.
Metoda 1. Rozwiązywanie problemów z konfiguracją logowania jednokrotnego
Użyj tej metody tylko wtedy, gdy spełnione są wszystkie następujące warunki:
- Problem nie jest spowodowany awarią usługi.
- Natychmiastowe przywracanie dostępu użytkownika nie jest wymagane.
Aby zdiagnozować i rozwiązać problemy z konfiguracją logowania jednokrotnego, zobacz Rozwiązywanie problemów z konfiguracją logowania jednokrotnego w Office 365, Intune lub na platformie Azure.
Metoda 2. Przywróć federację domeny z powrotem do uwierzytelniania standardowego, jeśli serwer usług AD FS nie jest dostępny
Użyj tej metody tylko wtedy, gdy spełnione są wszystkie następujące warunki:
- Problem jest spowodowany awarią usługi, która wymaga natychmiastowego przywrócenia dostępu użytkownika.
- Serwer usług AD FS jest niedostępny.
Jeśli te warunki są spełnione, zresetuj ustawienie uwierzytelniania dla domeny i dla każdego konta użytkownika, aby używać uwierzytelniania standardowego. Aby to zrobić, wykonaj następujące kroki.
Uruchom moduł usługi Azure Active Directory dla Windows PowerShell. W tym celu wybierz pozycję Start, wybierz pozycję Wszystkie programy, wybierz pozycję Windows Azure Active Directory, kliknij prawym przyciskiem myszy moduł Windows Azure Active Directory dla Windows PowerShell, a następnie wybierz pozycję Uruchom jako administrator.
Aby przekonwertować domenę, uruchom następujące polecenia w kolejności, w jakiej są prezentowane. Naciśnij klawisz Enter po wpisaniu każdego polecenia.
$cred = Get-CredentialPo wyświetleniu monitu wprowadź poświadczenia administratora usługi w chmurze, które nie są włączone dla logowania jednokrotnego.
Connect-MsolService -credential $credSet-MSOLDomainAuthentication -Authentication Managed -DomainName <federated domain name>Uwaga
W tym poleceniu nazwa domeny> federacyjnej symbolu zastępczego <reprezentuje nazwę domeny, dla której logowanie jednokrotne nie działa.
Dla każdego użytkownika, który ma sufiks głównej nazwy użytkownika (UPN) skojarzony z domeną, uruchom następujące polecenie:
Convert-MSOLFederatedUser -UserPrincipalName <string>Uwaga
W tym poleceniu ciąg> symbolu zastępczego <reprezentuje wartość nazwy UPN dla użytkownika, który jest konwertowany.
Więcej informacji
Ważna
W scenariuszach, w których ostatni administrator organizacji usług w chmurze firmy Microsoft ma przypisany sufiks domeny domeny federacyjnej i w którym ten administrator jest włączony do logowania jednokrotnego, kolejne błędy usług AD FS ograniczą uruchamianie polecenia connect-MSOLService i mogą zapobiec korygowaniu problemów z logowaniem jednokrotnym. Zalecamy, aby administratorzy organizacji usług w chmurze firmy Microsoft zawsze zachowali co najmniej jedno konto administratora globalnego, które nie jest włączone dla logowania jednokrotnego, aby umożliwić rozwiązywanie problemów z logowaniem jednokrotnym przy użyciu modułu usługi Azure Active Directory dla Windows PowerShell.
Jeśli ten problem wystąpi, skontaktuj się z pomoc techniczna firmy Microsoft, aby federacja domeny została tymczasowo cofnięta, aby administrator (który nie jest już włączony logowaniem jednokrotnym) mógł odzyskać dostęp do rozwiązywania problemów związanych z logowaniem jednokrotnym.
Skontaktuj się z nami, aby uzyskać pomoc
Jeśli masz pytania lub potrzebujesz pomocy, utwórz wniosek o pomoc techniczną lub zadaj pytanie w społeczności wsparcia dla platformy Azure. Możesz również przesłać opinię o produkcie do społeczności opinii platformy Azure.
Opinia
Dostępne już wkrótce: W 2024 r. będziemy stopniowo wycofywać zgłoszenia z serwisu GitHub jako mechanizm przesyłania opinii na temat zawartości i zastępować go nowym systemem opinii. Aby uzyskać więcej informacji, sprawdź: https://aka.ms/ContentUserFeedback.
Prześlij i wyświetl opinię dla