Erreur lorsque vous essayez de configurer un autre domaine fédéré dans Office 365, Azure ou Intune : l’identificateur de service de fédération spécifié dans le serveur AD FS 2.0 est déjà utilisé

  • Article

Cet article fournit des informations sur la résolution d’un problème dans lequel vous recevez un message d’erreur lors de l’exécution de la New-MSOLFederatedDomain commande ou de la commande à l’aide du Convert-MSOLDomainToFederated module Azure Active Directory pour Windows PowerShell.

Version du produit d’origine : Services cloud (rôles web/de travail), Microsoft Entra ID, Microsoft Intune, Sauvegarde Azure, Gestion des identités Office 365
Numéro de la base de connaissances d’origine : 2618887

Remarque

Les modules PowerShell Azure AD et MSOnline seront obsolètes à compter du 30 mars 2024. Pour en savoir plus, consultez la mise à jour sur l’obsolescence. Après cette date, la prise en charge de ces modules sera limitée à l’assistance à la migration vers le kit de développement logiciel Microsoft Graph PowerShell et aux correctifs de sécurité. Les modules obsolètes continueront de fonctionner jusqu’au 30 mars 2025.

Nous vous recommandons de migrer vers Microsoft Graph PowerShell pour interagir avec Microsoft Entra ID (anciennement Azure AD). Pour toutes questions liées à la migration, consultez la FAQ sur la migration. Remarque : les versions 1.0.x de MSOnline pourront subir des perturbations après le 30 juin 2024.

Symptômes

Dans un service cloud Microsoft tel que Office 365, Microsoft Azure ou Microsoft Intune, vous ne pouvez pas configurer un deuxième domaine fédéré sur un serveur Services ADFS (AD FS). Lorsque vous utilisez le module Azure Active Directory pour Windows PowerShell exécuter la New-MSOLFederatedDomain commande ou la Convert-MSOLDomainToFederated commande, vous recevez le message d’erreur suivant :

L’identificateur du service de fédération spécifié dans le serveur Services ADFS 2.0 est déjà utilisé. Corrigez cette valeur dans la console de gestion AD FS 2.0 et réexécutez la commande.

Cause

Le système d’authentification Microsoft Entra nécessite un URI (Uniform Resource Identifier) de marque de fédération unique pour chaque domaine fédéré. Par défaut, AD FS utilise une valeur globale pour toutes les approbations fédérées. Lorsque vous essayez de fédérer un deuxième domaine dans un scénario où une approbation fédérée existe déjà, la requête échoue, car l’URI est déjà utilisé.

Résolution

Pour résoudre le problème, vous devez utiliser le -supportmultipledomain commutateur pour ajouter ou convertir chaque domaine fédéré par le service cloud. Cela inclut les domaines fédérés qui existent déjà.

Étape 1 : Installer le correctif cumulatif 1 pour AD FS 2.0

Sur chaque nœud de la batterie de serveurs du service de fédération AD FS 2.0, téléchargez et installez le correctif cumulatif 1 pour AD FS 2.0. Pour plus d’informations sur le téléchargement et l’installation du correctif cumulatif 1 pour AD FS 2.0, consultez Description du correctif cumulatif 1 pour Services ADFS (AD FS) 2.0.

Remarque

Cette mise à jour nécessite un redémarrage de l’ordinateur. Si vous ne redémarrez pas l’ordinateur, vous rencontrerez le problème « Désolé, mais nous rencontrons des problèmes de connexion » et l’erreur « 8004789A » quand un utilisateur fédéré tente de se connecter à Office 365, Azure ou Intune.

Étape 2 : Vérifier que la Update-MSOLFederatedDomain commande peut être exécutée correctement sur l’environnement AD FS

  1. Sélectionnez Démarrer>tous les programmes>Windows Azure Active Directory, cliquez avec le bouton droit sur module Windows Azure Active Directory pour Windows PowerShell et sélectionnez Exécuter en tant qu’administrateur.

  2. À l’invite de commandes, exécutez les commandes suivantes dans l’ordre dans lequel elles sont présentées. Appuyez sur Entrée après chaque commande.

    Connect-MSOLService

    Remarque

    Lorsque vous y êtes invité, entrez les informations d’identification de l’administrateur général de votre service cloud.

    Set-MSOLADFSContext -Computer <AD FS 2.0 server name>

    Remarque

    Dans cette commande, <le nom> du serveur AD FS 2.0 est le nom d’ordinateur d’un nœud dans la batterie de serveurs du service de fédération AD FS.

    Update-MSOLFederatedDomain -DomainName <Federated Domain Name>

    Remarque

    Dans cette commande, <Le nom> de domaine fédéré est le nom du domaine qui est déjà fédéré avec Microsoft Entra ID pour l’authentification unique (SSO).

  3. Si la Update-MSOLFederatedDomain commande réussit et que vous ne recevez pas de messages d’erreur, passez à l’étape 3 pour supprimer l’approbation fédérée du serveur AD FS.

Étape 3 : Mettre à jour l’approbation fédérée sur le serveur AD FS

Avertissement

Les étapes suivantes doivent être planifiées avec soin. Les utilisateurs pour lesquels la fonctionnalité d’authentification unique est activée dans le domaine fédéré ne pourront pas s’authentifier entre l’exécution des étapes C et D. Si le test de commande de l’étape Update-MSOLFederatedDomain 2 n’a pas été effectué correctement, l’étape D de cette procédure ne se terminera pas correctement. Les utilisateurs fédérés ne pourront pas s’authentifier tant que la Update-MSOLFederatedDomain commande n’est pas exécutée correctement.

  1. Connectez-vous à la console du serveur AD FS, sélectionnez Démarrer>tous les programmes>Outils d’administration, puis sélectionnezGestion A D FS (2.0).

  2. Dans le volet de navigation gauche, sélectionnez AD FS (2.0),relations d’approbation, puis approbations de partie de confiance.

  3. Dans le volet de droite, supprimez l’entrée Microsoft Office 365 Identity Platform.

  4. Recréez l’objet d’approbation supprimé à l’aide du -supportmultipledomain commutateur . Dans la fenêtre PowerShell ouverte à partir de l’étape 1C, exécutez la commande suivante, puis appuyez sur Entrée :

    Update-MSOLFederatedDomain -DomainName <Federated Domain Name> -supportmultipledomain

Remarque

Dans cette commande, <Le nom> de domaine fédéré est le nom du domaine qui est déjà fédéré avec le service cloud pour l’authentification unique.

Étape 4 : Utiliser le -supportmultipledomain commutateur pour ajouter ou convertir des domaines fédérés supplémentaires

Après avoir mis à jour l’approbation existante à l’étape 2, utilisez le commutateur -supportmultipledomain pour ajouter ou convertir des domaines fédérés supplémentaires. Ce commutateur indique à la commande d’utiliser un espace de noms URI unique pour chaque domaine fédéré par le service cloud. Pour ce faire, utilisez l’une des syntaxes de commande suivantes :

New-MSOLFederatedDomain -domainname <domain name> -supportmultipledomain

Convert-MSOLDomainToFederated -domainname <domain name> -supportmultipledomain

Remarque

Dans cette commande, <le nom> de domaine représente le nom du domaine que vous essayez de fédérer.

Solution de contournement

Implémentez une batterie de serveurs de services de fédération AD FS pour fédérer chaque domaine de service cloud pour lequel les fonctionnalités d’authentification unique seront utilisées. Vous trouverez des conseils d’implémentation AD FS pour Office 365 à l’article suivant :

Conseils d’implémentation pas à pas : Planifier et déployer Services ADFS 2.0 pour une utilisation avec l’authentification unique

Contactez-nous pour obtenir de l’aide

Pour toute demande ou assistance, créez une demande de support ou posez une question au support de la communauté Azure. Vous pouvez également soumettre des commentaires sur les produits à la communauté de commentaires Azure.