Användarna kan inte längre logga in när du har kört kommandot Convert-MSOLDomaintoFederated för att konvertera en befintlig domän
Den här artikeln innehåller information om hur du felsöker ett problem där användare inte längre kan komma åt Office 365, Azure eller Microsoft Intune när de Convert-MSOLDomaintoFederated har kört kommandot för att konvertera en befintlig domän från standardautentisering till federerad autentisering.
Ursprunglig produktversion: Cloud Services (webbroller/arbetsroller), Microsoft Entra ID, Microsoft Intune, Azure Backup, Office 365 Identity Management
Ursprungligt KB-nummer: 2662960
Obs!
Azure AD- och MSOnline PowerShell-modulerna är inaktuella från och med den 30 mars 2024. Mer information finns i utfasningsuppdateringen. Efter det här datumet är stödet för dessa moduler begränsat till migreringshjälp till Microsoft Graph PowerShell SDK och säkerhetskorrigeringar. De inaktuella modulerna fortsätter att fungera till och med den 30 mars 2025.
Vi rekommenderar att du migrerar till Microsoft Graph PowerShell för att interagera med Microsoft Entra ID (tidigare Azure AD). Vanliga migreringsfrågor finns i Vanliga frågor och svar om migrering. Observera: Version 1.0.x av MSOnline kan uppleva störningar efter den 30 juni 2024.
Symptom
Under installationen av enkel inloggning (SSO) i en Microsoft-molntjänst som Office 365, Microsoft Azure eller Microsoft Intune kör Convert-MSOLDomaintoFederated du kommandot för att konvertera en befintlig domän från standardautentisering till federerad autentisering. Men när du gör det kan användare som är associerade med den domänen inte längre komma åt molntjänsten.
Orsak
Det här problemet uppstår om enkel inloggning inte har konfigurerats korrekt eller om installationen inte har slutförts.
Varning
Det är bästa praxis för Microsoft att alltid ha minst ett administratörsanvändar-ID som är associerat med standarddomänen så att administrativ åtkomst till organisationen inte går förlorad om enkel inloggning komprometteras.
Åtgärd
Lös problemet genom att använda någon av följande metoder, beroende på vad som är lämpligt för din situation.
Metod 1: Felsöka installation av enkel inloggning
Använd endast den här metoden om alla följande villkor är uppfyllda:
- Problemet orsakas inte av ett tjänstfel.
- Det krävs inte att du omedelbart återställer användaråtkomst.
Information om hur du diagnostiserar och felsöker installation av enkel inloggning finns i Felsöka problem med konfiguration av enkel inloggning i Office 365, Intune eller Azure.
Metod 2: Återställ domänfederationen till standardautentisering om AD FS-servern inte är tillgänglig
Använd endast den här metoden om alla följande villkor är uppfyllda:
- Problemet orsakas av ett tjänstfel som kräver omedelbar återställning av användaråtkomst.
- AD FS-servern är inte tillgänglig.
Om dessa villkor är sanna återställer du autentiseringsinställningen för domänen och för varje användarkonto att använda standardautentisering. Gör så här:
Starta Azure Active Directory-modulen för Windows PowerShell. Det gör du genom att välja Starta, välja Alla program, välja Windows Azure Active Directory, högerklicka på Windows Azure Active Directory-modulen för Windows PowerShell och sedan välja Kör som administratör.
Om du vill konvertera domänen kör du följande kommandon i den ordning de visas. Tryck på Retur när du har angett varje kommando.
$cred = Get-CredentialNär du uppmanas till det anger du autentiseringsuppgifter för molntjänstadministratör som inte är SSO-aktiverade.
Connect-MsolService -credential $credSet-MSOLDomainAuthentication -Authentication Managed -DomainName <federated domain name>Obs!
I det här kommandot representerar platshållarens <federerade domännamn> namnet på den domän som enkel inloggning inte fungerar för.
Kör följande kommando för varje användare som har ett UPN-suffix (user principal name) som är associerat med domänen:
Convert-MSOLFederatedUser -UserPrincipalName <string>Obs!
I det här kommandot representerar platshållarsträngen <> värdet för UPN för den användare som konverteras.
Mer information
Viktigt
I scenarier där den senaste administratören för Microsoft-molntjänster har tilldelats domänsuffixet för en federerad domän och där administratören blir SSO-aktiverad, begränsar efterföljande AD FS-fel körningen av kommandot connect-MSOLService och kan förhindra reparation av problem med enkel inloggning. Det är en rekommendation om bästa praxis att Microsofts molntjänstorganisationsadministratörer alltid behåller minst ett globalt administratörskonto som inte är SSO-aktiverat för felsökning av problem med enkel inloggning med hjälp av Azure Active Directory-modulen för Windows PowerShell.
Om det här problemet uppstår kontaktar du Microsoft Support så att domänfederationen tillfälligt återställs så att administratören (som inte längre är SSO-aktiverad) kan återfå åtkomsten för att felsöka SSO-relaterade problem.
Kontakta oss för att få hjälp
Om du har frågor eller behöver hjälp skapar du en supportförfrågan eller frågar Azure community support. Du kan också skicka produktfeedback till Azure-feedbackcommunityn.
Feedback
Kommer snart: Under hela 2024 kommer vi att fasa ut GitHub-problem som feedbackmekanism för innehåll och ersätta det med ett nytt feedbacksystem. Mer information finns i: https://aka.ms/ContentUserFeedback.
Skicka och visa feedback för