Actualice o repare la configuración de un dominio federado en Microsoft 365, Azure o Intune

  • Artículo
  • Se aplica a:
    Cloud Services (Web roles/Worker roles), Azure Active Directory, Microsoft Intune, Azure Backup, Microsoft 365

Introducción

El inicio de sesión único (SSO) en un servicio en la nube de Microsoft como Microsoft 365, Microsoft Azure o Microsoft Intune depende de una implementación local de Servicios de federación de Active Directory (AD FS) (AD FS) que funcione correctamente. Varios escenarios requieren la recompilación de la configuración del dominio federado en AD FS para corregir problemas técnicos. Este artículo contiene instrucciones paso a paso sobre cómo actualizar o reparar la configuración del dominio federado.

Más información

Actualización de la configuración del dominio federado

La configuración del dominio federado debe actualizarse en los escenarios que se describen en los siguientes artículos de Microsoft Knowledge Base.

  • 2713898 error "Se produjo un problema al acceder al sitio" desde AD FS cuando un usuario federado inicia sesión en Microsoft 365, Azure o Intune
  • 2535191 error ""Lo sentimos, pero tenemos problemas para iniciar sesión" y "80048163" cuando un usuario federado intenta iniciar sesión en Microsoft 365, Azure o Intune
  • 2647020 error "Lo sentimos, pero tenemos problemas para iniciar sesión" y "80041317" o "80043431" cuando un usuario federado intenta iniciar sesión en Microsoft 365, Azure o Intune

Nota:

Los módulos de PowerShell de Azure AD y MSOnline están en desuso a partir del 30 de marzo de 2024. Para obtener más información, lea la actualización de desuso. Después de esta fecha, la compatibilidad con estos módulos se limita a la ayuda de migración al SDK de PowerShell de Microsoft Graph y a las correcciones de seguridad. Los módulos en desuso seguirán funcionando hasta el 30 de marzo de 2025.

Se recomienda migrar a Microsoft Graph PowerShell para interactuar con Microsoft Entra ID (anteriormente Azure AD). Para obtener preguntas comunes sobre la migración, consulte las Preguntas más frecuentes sobre la migración. Nota: Las versiones 1.0.x de MSOnline pueden experimentar interrupciones después del 30 de junio de 2024.

Para actualizar la configuración del dominio federado en un equipo unido a un dominio que tenga instalado el módulo de Azure Active Directory para Windows PowerShell, siga estos pasos:

  1. Haga clic en Inicio, en Todos los programas, en Windows Azure Active Directory y, a continuación, en Módulo de Windows Azure Active Directory para Windows PowerShell.

  2. En el símbolo del sistema, escriba los comandos siguientes y presione Entrar después de cada comando:

    $cred = get-credential

    Nota:

    Cuando se le solicite, escriba las credenciales de administrador del servicio en la nube.

    Connect-MSOLService –credential:$cred

    Set-MSOLADFSContext –Computer: <AD FS 2.0 ServerName>

    Nota:

    En este comando, el marcador de posición <Nombre> del servidor de AD FS 2.0 representa el nombre de host de Windows del servidor de AD FS principal.

    Update-MSOLFederatedDomain –DomainName: <Federated Domain Name>

    o

    Update-MSOLFederatedDomain –DomainName: <Federated Domain Name> –supportmultipledomain

    Nota:

    • El uso del modificador –supportmultipledomain es necesario cuando se federan varios dominios de nivel superior mediante el mismo servicio de federación de AD FS.
    • En estos comandos, el marcador de posición < Nombre >de dominio federado representa el nombre del dominio que ya está federado.

Importante

Hay disponible un script para automatizar la actualización de metadatos de federación con regularidad para asegurarse de que los cambios en el certificado de firma de tokens de AD FS se replican correctamente.

El script crea una tarea programada de Windows en el servidor de AD FS principal para asegurarse de que los cambios en la configuración de AD FS, como la información de confianza, las actualizaciones de certificados de firma, etc., se propagan periódicamente a la Microsoft Entra ID.

Si el certificado de firma de tokens se renueva automáticamente en un entorno donde se implementa el script, el script actualizará la información de confianza en la nube para evitar el tiempo de inactividad causado por la información de certificado en la nube obsoleta.

Reparación de la configuración del dominio federado

La configuración del dominio federado debe repararse en los escenarios que se describen en los siguientes artículos de Microsoft Knowledge Base.

  • 2523494 Recibe una advertencia de certificado de AD FS al intentar iniciar sesión en Microsoft 365, Azure o Intune
  • 2618887 error "Identificador de servicio de federación especificado en el servidor de AD FS 2.0". Al intentar configurar otro dominio federado en Microsoft 365, Azure o Intune
  • 2713898 error "Se produjo un problema al acceder al sitio" desde AD FS cuando un usuario federado inicia sesión en Microsoft 365, Azure o Intune
  • 2647020 código de error "Su organización no pudo iniciar sesión en este servicio" y "80041317" o "80043431" cuando un usuario federado intenta iniciar sesión en Microsoft 365
  • Se cambia el nombre del servicio de federación en AD FS.

Para reparar la configuración del dominio federado en un equipo unido a un dominio que tenga instalado el módulo de Azure Active Directory para Windows PowerShell, siga estos pasos.

Advertencia

  • El siguiente procedimiento quita las personalizaciones que se crean limitando el acceso a los servicios de Microsoft 365 mediante la ubicación del cliente. Una vez reparada la configuración del dominio federado, es posible que tenga que volver a configurar el acceso limitado a AD FS.
  • Los pasos siguientes deben planearse cuidadosamente. Los usuarios para los que la funcionalidad de SSO está habilitada en el dominio federado no podrán autenticarse durante esta operación desde la finalización del paso 4 hasta la finalización del paso 5. Si la prueba del cmdlet update-MSOLFederatedDomain del paso 1 no se sigue correctamente, el paso 5 no finalizará correctamente. Los usuarios federados no podrán autenticarse hasta que el cmdlet update-MSOLFederatedDomain se pueda ejecutar correctamente.
  1. Ejecute los pasos descritos en la sección "Actualización de la configuración del dominio federado" anteriormente en este artículo para asegurarse de que el cmdlet update-MSOLFederatedDomain ha finalizado correctamente.
    • Si el cmdlet no finalizó correctamente, no continúe con este procedimiento. En su lugar, consulte la sección "Problemas conocidos que puede encontrar al actualizar o reparar un dominio federado" más adelante en este artículo para solucionar el problema.
    • Si el cmdlet finaliza correctamente, deje abierta la ventana del símbolo del sistema para su uso posterior.
  2. Inicie sesión en el servidor de AD FS. Para ello, haga clic en Inicio, seleccione Todos los programas, Herramientas administrativasy, a continuación, haga clic en Administración de AD FS (2.0).
  3. En el panel de navegación izquierdo, haga clic en AD FS (2.0), haga clic en Relaciones de confianzay, a continuación, haga clic en Confianzas de usuario de confianza.
  4. En el panel situado más a la derecha, elimine la entrada Microsoft Office 365 Identity Platform.
  5. En la ventana Windows PowerShell que abrió en el paso 1, vuelva a crear el objeto de confianza eliminado. Para ello, ejecute el siguiente comando y presione Entrar:
    Update-MSOLFederatedDomain -DomainName <Federated Domain Name>
    o
    Update-MSOLFederatedDomain –DomainName:<Federated Domain Name> –supportmultipledomain

    Nota:

    • El uso del modificador –supportmultipledomain es necesario cuando se federan varios dominios de nivel superior mediante el mismo servicio de federación de AD FS.
    • En estos comandos, el marcador de posición < Nombre >de dominio federado representa el nombre del dominio que ya está federado.

Problemas conocidos que puede encontrar al actualizar o reparar un dominio federado

Los siguientes escenarios provocan problemas al actualizar o reparar un dominio federado:

  • No se puede conectar mediante Windows PowerShell. Para obtener más información sobre este problema, consulte el siguiente artículo de Microsoft Knowledge Base:

    2494043 No se puede conectar mediante el módulo de Azure Active Directory para Windows PowerShell

  • El módulo de Azure Active Directory para Windows PowerShell no se puede cargar debido a que faltan requisitos previos. Para obtener más información, consulte el siguiente artículo de Microsoft Knowledge Base:

    2461873 No se puede abrir el módulo de Azure Active Directory para Windows PowerShell

  • Aparece un mensaje de error "Acceso denegado" al intentar ejecutar el cmdlet set-MSOLADFSContext. Para obtener más información, consulte el siguiente artículo de Microsoft Knowledge Base:

    2587730 error "Error de conexión al <servidor ServerName> Servicios de federación de Active Directory (AD FS) 2.0" al usar el cmdlet Set-MsolADFSContext

¿Aún necesita ayuda? Vaya a Microsoft Community o al sitio web de los foros de Microsoft Entra.