Aktualizace nebo oprava nastavení federované domény v Microsoftu 365, Azure nebo Intune

  • Článek
  • Platí pro:
    Cloud Services (Web roles/Worker roles), Azure Active Directory, Microsoft Intune, Azure Backup, Microsoft 365

Úvod

Jednotné přihlašování (SSO) v cloudové službě Microsoftu, jako je Microsoft 365, Microsoft Azure nebo Microsoft Intune závisí na místním nasazení Active Directory Federation Services (AD FS) (AD FS), které funguje správně. Několik scénářů vyžaduje opětovné sestavení konfigurace federované domény ve službě AD FS, aby se opravily technické problémy. Tento článek obsahuje podrobné pokyny k aktualizaci nebo opravě konfigurace federované domény.

Další informace

Postup aktualizace konfigurace federované domény

Konfigurace federované domény musí být aktualizována ve scénářích popsaných v následujících článcích znalostní báze Microsoft Knowledge Base.

  • 2713898 při přihlášení federovaného uživatele k Microsoftu 365, Azure nebo Intune
  • 2535191 "Omlouváme se, ale máme potíže s přihlášením" a "80048163" při pokusu federovaného uživatele o přihlášení k Microsoftu 365, Azure nebo Intune
  • 2647020 "Omlouváme se, ale máme potíže s přihlášením" a "80041317" nebo "80043431", když se federovaný uživatel pokusí přihlásit k Microsoftu 365, Azure nebo Intune

Poznámka

Moduly PowerShellu Azure AD a MSOnline jsou k 30. březnu 2024 zastaralé. Další informace najdete v aktualizaci o vyřazení z provozu. Po tomto datu se podpora těchto modulů omezí na pomoc s migrací na sadu Microsoft Graph PowerShell SDK a opravy zabezpečení. Zastaralé moduly budou fungovat až do 30. března 2025.

Pokud chcete pracovat s Microsoft Entra ID (dříve Azure AD), doporučujeme migrovat na Microsoft Graph PowerShell. Běžné dotazy k migraci najdete v nejčastějších dotazech k migraci. Poznámka: Po 30. červnu 2024 může dojít k přerušení verze 1.0.x nástroje MSOnline.

Pokud chcete aktualizovat konfiguraci federované domény na počítači připojeném k doméně, který má nainstalovaný modul Azure Active Directory pro Windows PowerShell, postupujte takto:

  1. Klikněte na Start, klikněte na Všechny programy, klikněte na Windows Azure Active Directory a potom klikněte na Modul Windows Azure Active Directory pro Windows PowerShell.

  2. Na příkazovém řádku zadejte následující příkazy a po každém příkazu stiskněte klávesu Enter:

    $cred = get-credential

    Poznámka

    Po zobrazení výzvy zadejte přihlašovací údaje správce cloudových služeb.

    Connect-MSOLService –credential:$cred

    Set-MSOLADFSContext –Computer: <AD FS 2.0 ServerName>

    Poznámka

    V tomto příkazu zástupný název<> serveru SLUŽBY AD FS 2.0 představuje název hostitele systému Windows primárního serveru služby AD FS.

    Update-MSOLFederatedDomain –DomainName: <Federated Domain Name>

    nebo

    Update-MSOLFederatedDomain –DomainName: <Federated Domain Name> –supportmultipledomain

    Poznámka

    • Použití přepínače –supportmultipledomain se vyžaduje, pokud je více domén nejvyšší úrovně federovaných pomocí stejné federační služby AD FS.
    • Zástupný název <federované domény> v těchto příkazech představuje název domény, která je už federovaná.

Důležité

K dispozici je skript, který pravidelně automatizuje aktualizaci federačních metadat, aby se zajistilo, že se změny podpisového certifikátu tokenu SLUŽBY AD FS správně replikují.

Skript vytvoří na primárním serveru služby AD FS naplánovanou úlohu Windows, aby se zajistilo, že se změny konfigurace služby AD FS, jako jsou informace o důvěryhodnosti, aktualizace podpisových certifikátů atd., pravidelně šíří do Microsoft Entra ID.

Pokud se podpisový certifikát tokenu automaticky obnoví v prostředí, ve kterém je skript implementovaný, skript aktualizuje informace o důvěryhodnosti cloudu, aby zabránil výpadkům způsobeným zastaralými informacemi o cloudovém certifikátu.

Oprava konfigurace federované domény

Konfigurace federované domény musí být opravena ve scénářích popsaných v následujících článcích znalostní báze Microsoft Knowledge Base.

  • 2523494 Při pokusu o přihlášení k Microsoftu 365, Azure nebo Intune se od služby AD FS zobrazí upozornění certifikátu.
  • 2618887 Při pokusu o nastavení jiné federované domény v Microsoftu 365, Azure nebo Intune
  • 2713898 při přihlášení federovaného uživatele k Microsoftu 365, Azure nebo Intune
  • 2647020 Chyba "Vaše organizace vás nemohla přihlásit k této službě" a kód chyby "80041317" nebo "80043431" při pokusu federovaného uživatele o přihlášení k Microsoftu 365
  • Název federační služby ve službě AD FS se změnil.

Pokud chcete opravit konfiguraci federované domény na počítači připojeném k doméně, který má nainstalovaný modul Azure Active Directory pro Windows PowerShell, postupujte takto.

Upozornění

  • Následující postup odebere všechna vlastní nastavení vytvořená omezením přístupu ke službám Microsoft 365 pomocí umístění klienta. Po opravě konfigurace federované domény možná budete muset překonfigurovat omezený přístup ke službě AD FS.
  • Následující kroky byste měli pečlivě naplánovat. Uživatelé, pro které je ve federované doméně povolená funkce jednotného přihlašování, se nebudou moct během této operace ověřit od dokončení kroku 4 až do dokončení kroku 5. Pokud test rutiny update-MSOLFederatedDomain v kroku 1 není úspěšně dodržen, krok 5 se nedokončí správně. Federované uživatele nebude možné ověřit, dokud nebude možné úspěšně spustit rutinu update-MSOLFederatedDomain.
  1. Spusťte kroky uvedené v části "Jak aktualizovat konfiguraci federované domény" dříve v tomto článku, abyste se ujistili, že se rutina update-MSOLFederatedDomain úspěšně dokončila.
    • Pokud se rutina nedokončila úspěšně, nepokračujte v tomto postupu. Místo toho si projděte část "Známé problémy, se kterými se můžete setkat při aktualizaci nebo opravě federované domény" dále v tomto článku, kde najdete informace o řešení tohoto problému.
    • Pokud se rutina úspěšně dokončí, nechte okno příkazového řádku otevřené pro pozdější použití.
  2. Přihlaste se k serveru SLUŽBY AD FS. Uděláte to tak, že kliknete na Start, přejdete na Všechny programy, přejdete na Nástroje pro správu a potom kliknete na Správa služby AD FS (2.0).
  3. V levém navigačním podokně klikněte na AD FS (2.0), klikněte na Vztahy důvěryhodnosti a potom klikněte na Vztahy důvěryhodnosti předávající strany.
  4. V podokně zcela vpravo odstraňte položku Microsoft Office 365 Identity Platform.
  5. V okně Windows PowerShell, které jste otevřeli v kroku 1, znovu vytvořte odstraněný objekt důvěryhodnosti. Uděláte to tak, že spustíte následující příkaz a stisknete enter:
    Update-MSOLFederatedDomain -DomainName <Federated Domain Name>
    nebo
    Update-MSOLFederatedDomain –DomainName:<Federated Domain Name> –supportmultipledomain

    Poznámka

    • Použití přepínače –supportmultipledomain se vyžaduje, pokud je více domén nejvyšší úrovně federovaných pomocí stejné federační služby AD FS.
    • Zástupný název <federované domény> v těchto příkazech představuje název domény, která je už federovaná.

Známé problémy, se kterými se můžete setkat při aktualizaci nebo opravě federované domény

Následující scénáře způsobují problémy při aktualizaci nebo opravě federované domény:

  • Pomocí Windows PowerShell se nemůžete připojit. Další informace o tomto problému naleznete v následujícím článku znalostní báze Microsoft Knowledge Base:

    2494043 Nemůžete se připojit pomocí modulu Azure Active Directory pro Windows PowerShell

  • Modul Azure Active Directory pro Windows PowerShell nejde načíst kvůli chybějícím předpokladům. Další informace naleznete v následujícím článku znalostní báze Microsoft Knowledge Base:

    2461873 Modul Azure Active Directory nejde otevřít pro Windows PowerShell

  • Při pokusu o spuštění rutiny set-MSOLADFSContext se zobrazí chybová zpráva Přístup odepřen. Další informace naleznete v následujícím článku znalostní báze Microsoft Knowledge Base:

    2587730 při použití rutiny Set-MsolADFSContext se nezdařilo připojení k <serveru ServerName> Active Directory Federation Services (AD FS) 2.0

Stále potřebujete pomoc? Přejděte na web Microsoft Community nebo Microsoft Entra Forums.