Os usuários não podem mais entrar depois de executar o comando Convert-MSOLDomaintoFederated para converter um domínio existente
Este artigo fornece informações sobre como solucionar problemas em que os usuários não podem mais acessar Office 365, Azure ou Microsoft Intune depois de executar o Convert-MSOLDomaintoFederated comando para converter um domínio existente da autenticação padrão para a autenticação federada.
Versão do produto original: Serviços de Nuvem (funções da Web/funções de Trabalho), Microsoft Entra ID, Microsoft Intune, Backup do Azure, Gerenciamento de Identidades do Office 365
Número de KB original: 2662960
Observação
os módulos Azure AD e MSOnline PowerShell são preteridos a partir de 30 de março de 2024. Para saber mais, leia a atualização de preterição. Após essa data, o suporte para esses módulos é limitado à assistência de migração para o SDK do Microsoft Graph PowerShell e correções de segurança. Os módulos preteridos continuarão funcionando até março de 2025.
Recomendamos migrar para o Microsoft Graph PowerShell para interagir com Microsoft Entra ID (anteriormente Azure AD). Para perguntas comuns sobre migração, consulte as perguntas frequentes sobre migração. Nota: As versões 1.0.x do MSOnline podem sofrer interrupções após 30 de junho de 2024.
Sintomas
Durante a instalação do SSO (logon único) em um serviço de nuvem da Microsoft, como Office 365, Microsoft Azure ou Microsoft Intune, você executa o Convert-MSOLDomaintoFederated comando para converter um domínio existente da autenticação padrão para a autenticação federada. No entanto, depois de fazer isso, os usuários associados a esse domínio não poderão mais acessar o serviço de nuvem.
Motivo
Esse problema ocorrerá se o SSO não estiver configurado corretamente ou se a configuração não estiver concluída.
Aviso
É uma prática recomendada da Microsoft sempre ter pelo menos uma ID de usuário de administrador associada ao domínio padrão para que o acesso administrativo à organização não seja perdido se o SSO estiver comprometido.
Solução
Para resolver esse problema, use um dos seguintes métodos, conforme apropriado para sua situação.
Método 1: solucionar problemas de configuração do SSO
Use este método somente se todas as seguintes condições forem verdadeiras:
- O problema não é causado por uma interrupção de serviço.
- Não é necessário restaurar imediatamente o acesso do usuário.
Para diagnosticar e solucionar problemas de configuração do SSO, confira Solucionar problemas de configuração de logon único no Office 365, Intune ou no Azure.
Método 2: reverter a federação de domínio de volta à autenticação padrão se o servidor AD FS não estiver disponível
Use este método somente se todas as seguintes condições forem verdadeiras:
- O problema é causado por uma interrupção de serviço que requer a restauração imediata do acesso do usuário.
- O servidor AD FS não está disponível.
Se essas condições forem verdadeiras, reinicie a configuração de autenticação para o domínio e para cada conta de usuário usar a autenticação padrão. Para fazer isso, siga estas etapas:
Inicie o módulo do Azure Active Directory para Windows PowerShell. Para fazer isso, selecione Iniciar, selecione Todos os Programas, Selecione Windows Azure Active Directory, clique com o botão direito do mouse no módulo do Windows Azure Active Directory para Windows PowerShell e selecione Executar como administrador.
Para converter o domínio, execute os seguintes comandos na ordem em que eles são apresentados. Pressione Enter depois de digitar cada comando.
$cred = Get-CredentialQuando você for solicitado, insira credenciais de administrador de serviço de nuvem que não estejam habilitadas para SSO.
Connect-MsolService -credential $credSet-MSOLDomainAuthentication -Authentication Managed -DomainName <federated domain name>Observação
Neste comando, o nome> de domínio federado do espaço reservado <representa o nome do domínio para o qual o SSO não está funcionando.
Para cada usuário que tem um sufixo UPN (nome de entidade de usuário) associado ao domínio, execute o seguinte comando:
Convert-MSOLFederatedUser -UserPrincipalName <string>Observação
Neste comando, a cadeia de espaços> reservados <representa o valor do UPN para o usuário que está sendo convertido.
Mais informações
Importante
Em cenários em que o último administrador da organização de serviços de nuvem da Microsoft recebe o sufixo de domínio de um domínio federado e em que esse administrador se torna habilitado para SSO, falhas subsequentes do AD FS limitarão a execução do comando connect-MSOLService e poderão impedir a correção de problemas de SSO. É uma recomendação de prática recomendada que os administradores da organização de serviços de nuvem da Microsoft sempre mantenham pelo menos uma conta de administrador global que não esteja habilitada para SSO para permitir a solução de problemas de SSO usando o módulo do Azure Active Directory para Windows PowerShell.
Se esse problema ocorrer, entre em contato com Suporte da Microsoft para que a federação de domínio seja revertida temporariamente para que o administrador (que não está mais habilitado para SSO) possa recuperar o acesso para solucionar problemas relacionados ao SSO.
Entre em contato conosco para obter ajuda
Se você tiver dúvidas ou precisar de ajuda, crie uma solicitação de suporte ou peça ajuda à comunidade de suporte do Azure. Você também pode enviar comentários sobre o produto para a comunidade de comentários do Azure.
Comentários
Brevemente: Ao longo de 2024, vamos descontinuar progressivamente o GitHub Issues como mecanismo de feedback para conteúdos e substituí-lo por um novo sistema de feedback. Para obter mais informações, veja: https://aka.ms/ContentUserFeedback.
Submeter e ver comentários