執行轉換 MSOLDomaintoFederated 指令程式,將轉換現有的網域後,使用者就無法再存取 Office 365

文章翻譯 文章翻譯
文章編號: 2662960 - 檢視此文章適用的產品。
全部展開 | 全部摺疊

問題

在安裝期間的單一登入 (SSO) 在 Microsoft Office 365 中,您可以執行轉換 MSOLDomaintoFederated指令程式,將現有的網域從標準驗證轉換為聯盟的驗證。不過,執行這項操作之後,該網域相關聯的使用者不能再存取 Office 365。

原因

如果 Office 365 SSO 未正確設定,或安裝程式無法完成,就會發生這個問題。

附註Office 365 小型企業到 Office 365 不支援 SSO 適用於小型企業 (預先升級)。

警告它是 Microsoft 最佳的作法是在 Office 365 永遠有至少一位系統管理員使用者 ID 與預設網域相關聯,所以如果遭到入侵 SSO 組織的系統管理權限不會漏失。

方案

若要解決這個問題,請使用下列方法之一,視您的情況。

方法 1: SSO 安裝疑難排解

只有當下列所有情況皆成立,請使用這個方法:
  • 問題不是由服務中斷所造成的。
  • 立即還原使用者存取並不一定。
  • 帳戶是企業帳戶 Office 365。
診斷和疑難排解 SSO 安裝程式,按一下下面的文件編號,檢視 「 Microsoft 知識庫 」 中的文件:
2530569疑難排解 Office 365、 Windows Intune 或 Windows Azure 中的單一登入安裝問題

方法 2: 如果 AD FS 伺服器使用的反向網域聯盟 Office 365 帳戶網域的驗證設定

只有當下列所有情況皆成立,請使用這個方法:
  • 問題因需要立即還原的使用者存取權的服務中斷或帳戶是 Office 365 小型企業 (預先升級) 帳戶。
  • 使用 Active Directory 同盟服務 (AD FS) 伺服器。
如果這些條件,則為 true,重設網域的驗證設定,為標準驗證。若要這樣做,請依照下列步驟執行:
  1. 啟動 Windows PowerShell Windows Azure 的 Active Directory 模組。執行這項操作,按一下 [開始]、 指向 [所有程式、 按一下Windows Azure Active DirectoryWindows Azure 現用目錄模組的 Windows PowerShell,以滑鼠右鍵按一下,然後按一下 [以系統管理員身分執行
  2. 它們會出現的順序執行下列命令。每個命令之後,請按下 Enter。
    1. $cred = Get-Credential
      當您被提示時,請輸入 Office 365 沒有設定 SSO 啟用的系統管理員認證。
    2. Connect-MsolService –credential $cred
    3. Set-MsolADFSContext –Computer <AD FS 2.0 server name>
      附註 這個命令中,版面配置區<AD fs="" 2.0="" server="" name="">表示主要的 AD FS 伺服器的名稱。</AD>
    4. Convert-MSOLDomainToStandard –DomainName <federated domain name> -SkipUserConversion [$true|$false] -PasswordFile c:\userpasswords.txt
      附註 這個命令中,版面配置區<federated domain="" name="">代表無法正常執行與 SSO 的網域名稱。</federated>

      此命令可移除依賴廠商信任資訊從 Office 365 驗證系統同盟服務,並在場所 AD FS 同盟服務。-PasswordFile 參數會指示包含每個先前聯盟的使用者帳戶的新建立的暫時密碼文字檔案的路徑。

      如果 -SkipUserConversion: $true 使用參數,沒有密碼檔案會產生,且與網域相關聯的使用者帳戶是無法使用。也就是使用者帳戶沒有擁有 Office 365 資源的存取權,直到在下列情況成立:
      • 網域轉換回藉由使用聯合的驗證 轉換 MSOLDomainToFederated 指令程式。
      • 每個使用者帳戶會被轉換成使用標準驗證 轉換 MSOLFederatedUser 指令程式。

方法 3: 如果 AD FS 伺服器無法使用的反向網域聯盟 Office 365 網域的驗證設定

只有當下列所有情況皆成立,請使用這個方法:
  • 問題因需要立即還原的使用者存取權的服務中斷或帳戶是 Office 365 小型企業 (預先升級) 帳戶。
  • AD FS 伺服器便無法使用。
如果這些條件為真,重設為使用標準驗證的驗證設定網域和每個使用者帳戶。若要這樣做,請依照下列步驟執行:
  1. 啟動 Windows PowerShell Windows Azure 的 Active Directory 模組。若要這樣做,請按一下 [開始],請按一下所有 程式中,按一下 [ Windows Azure Active DirectoryWindows Azure 現用目錄模組的 Windows PowerShell,以滑鼠右鍵按一下,然後按一下 [以系統管理員身分執行
  2. 若要將網域轉換,則會顯示的順序執行下列命令。每個命令之後,請按下 Enter。
    1. $cred = Get-Credential
      當您被提示時,請輸入 Office 365 沒有設定 SSO 啟用的系統管理員認證。
    2. Connect-MsolService –credential $cred
    3. Set-MSOLDomainAuthentication -Authentication Managed -DomainName <federated domain name>
      附註 這個命令中,版面配置區<federated domain="" name="">代表無法正常執行與 SSO 的網域名稱。</federated>
  3. 針對每個使用者與網域相關聯的使用者主要名稱 (UPN) 尾碼,執行下列命令:
    Convert-MSOLFederatedUser -UserPrincipalName <string>
    附註 這個命令中,版面配置區<string>代表的值要轉換的使用者的 UPN。</string>

更多資訊

重要在案例中最後一個 Microsoft 定域機組服務組織系統管理員會指派聯盟的網域的網域尾碼,並在該系統管理員即變成 SSO 啟用後,後續的 AD FS 失敗會限制執行連線 MSOLService指令程式,而且可能會造成 SSO 問題的補救措施。它的最佳實務建議,Microsoft 定域機組服務組織系統管理員永遠保持至少一個不允許藉由使用 Windows Azure 現用目錄模組的 Windows PowerShell 疑難排解 SSO SSO 啟用的通用的系統管理員帳戶。

如果發生這個問題,請連絡 Microsoft 支援網域聯盟,意即暫時讓 (限不再 SSO 啟用) 的系統管理員可以重新存取 SSO 相關問題進行疑難排解。

還是需要協助嗎?移至 Office 365 社群 網站或 Windows Azure 的 Active Directory 論壇 網站。

屬性

文章編號: 2662960 - 上次校閱: 2014年3月10日 - 版次: 17.0
這篇文章中的資訊適用於:
  • Windows Azure
  • Microsoft Office 365
  • Microsoft Office 365 for enterprises (pre-upgrade)
  • Microsoft Office 365 for education? (pre-upgrade)
  • CRM Online via Office 365 E Plans
  • Windows Azure Recovery Services
關鍵字:?
o365 o365a o365022013 after upgrade o365062011 pre-upgrade o365e o365m kbmt KB2662960 KbMtzh
機器翻譯
請注意--重要:本文是以 Microsoft 機器翻譯軟體翻譯而成,且可能由 Microsoft Community 利用 Community Translation Framework技術或人工進行事後編修。翻譯過程並無專業譯者參與。Microsoft 同時提供使用者人為翻譯、機器翻譯及社群編修後的機器翻譯三種版本的文章,讓使用者可以依其使用語言使用知識庫中的所有文章。但是,所有翻譯文章都可能不盡完美,內容都可能出現詞彙、語意或文法上的錯誤。就翻譯內容之不正確或錯誤,或客戶因使用翻譯內容所產生的任何損害,微軟不負擔任何責任。Microsoft將依合理的商業努力不斷地更新機器翻譯軟體和工具,以期能為使用者提供更好的服務。
按一下這裡查看此文章的英文版本:2662960
Microsoft及(或)其供應商不就任何在本伺服器上發表的文字資料及其相關圖表資訊的恰當性作任何承諾。所有文字資料及其相關圖表均以「現狀」供應,不負任何擔保責任。Microsoft及(或)其供應商謹此聲明,不負任何對與此資訊有關之擔保責任,包括關於適售性、適用於某一特定用途、權利或不侵權的明示或默示擔保責任。Microsoft及(或)其供應商無論如何不對因或與使用本伺服器上資訊或與資訊的實行有關而引起的契約、過失或其他侵權行為之訴訟中的特別的、間接的、衍生性的損害或任何因使用而喪失所導致的之損害、資料或利潤負任何責任。

提供意見

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com