Mettre à jour ou réparer les paramètres d’un domaine fédéré dans Microsoft 365, Azure ou Intune

  • Article
  • S’applique à:
    Cloud Services (Web roles/Worker roles), Azure Active Directory, Microsoft Intune, Azure Backup, Microsoft 365

Introduction

L’authentification unique (SSO) dans un service cloud Microsoft tel que Microsoft 365, Microsoft Azure ou Microsoft Intune dépend d’un déploiement local de Services ADFS (AD FS) qui fonctionne correctement. Plusieurs scénarios nécessitent la reconstruction de la configuration du domaine fédéré dans AD FS pour corriger les problèmes techniques. Cet article contient des instructions pas à pas sur la façon de mettre à jour ou de réparer la configuration du domaine fédéré.

Informations supplémentaires

Comment mettre à jour la configuration du domaine fédéré

La configuration du domaine fédéré doit être mise à jour dans les scénarios décrits dans les articles suivants de la Base de connaissances Microsoft.

  • 2713898 erreur « Il y a eu un problème d’accès au site » à partir d’AD FS lorsqu’un utilisateur fédéré se connecte à Microsoft 365, Azure ou Intune
  • 2535191 erreur « Désolé, mais nous rencontrons des difficultés pour vous connecter » et « 80048163 » lorsqu’un utilisateur fédéré tente de se connecter à Microsoft 365, Azure ou Intune
  • 2647020 « Désolé, mais nous rencontrons des problèmes de connexion » et « 80041317 » ou « 80043431 » lorsqu’un utilisateur fédéré tente de se connecter à Microsoft 365, Azure ou Intune

Remarque

Les modules PowerShell Azure AD et MSOnline sont déconseillés à compter du 30 mars 2024. Pour en savoir plus, lisez la mise à jour déconseillée. Après cette date, la prise en charge de ces modules est limitée à l’assistance à la migration vers le Kit de développement logiciel (SDK) Microsoft Graph PowerShell et aux correctifs de sécurité. Les modules déconseillés continueront de fonctionner jusqu’au 30 mars 2025.

Nous vous recommandons de migrer vers Microsoft Graph PowerShell pour interagir avec Microsoft Entra ID (anciennement Azure AD). Pour les questions courantes sur la migration, reportez-vous au FAQ sur la migration. Note: Les versions 1.0.x de MSOnline peuvent être interrompues après le 30 juin 2024.

Pour mettre à jour la configuration du domaine fédéré sur un ordinateur joint à un domaine sur lequel le module Azure Active Directory pour Windows PowerShell est installé, procédez comme suit :

  1. Cliquez sur Démarrer, sur Tous les programmes, sur Windows Azure Active Directory, puis sur Module Windows Azure Active Directory pour Windows PowerShell.

  2. À l’invite de commandes, tapez les commandes suivantes, puis appuyez sur Entrée après chaque commande :

    $cred = get-credential

    Remarque

    Lorsque vous y êtes invité, entrez vos informations d’identification d’administrateur de service cloud.

    Connect-MSOLService –credential:$cred

    Set-MSOLADFSContext –Computer: <AD FS 2.0 ServerName>

    Remarque

    Dans cette commande, l’espace réservé <AD FS 2.0 Server Name> représente le nom d’hôte Windows du serveur AD FS principal.

    Update-MSOLFederatedDomain –DomainName: <Federated Domain Name>

    ou

    Update-MSOLFederatedDomain –DomainName: <Federated Domain Name> –supportmultipledomain

    Remarque

    • L’utilisation du commutateur –supportmultipledomain est nécessaire lorsque plusieurs domaines de niveau supérieur sont fédérés à l’aide du même service de fédération AD FS.
    • Dans ces commandes, l’espace réservé < Nom > de domaine fédéré représente le nom du domaine qui est déjà fédéré.

Importante

Un script est disponible pour automatiser la mise à jour régulière des métadonnées de fédération afin de s’assurer que les modifications apportées au certificat de signature de jeton AD FS sont correctement répliquées.

Le script crée une tâche planifiée Windows sur le serveur AD FS principal pour s’assurer que les modifications apportées à la configuration AD FS, telles que les informations d’approbation, les mises à jour de certificat de signature, etc., sont propagées régulièrement au Microsoft Entra ID.

Si le certificat de signature de jeton est automatiquement renouvelé dans un environnement où le script est implémenté, le script met à jour les informations d’approbation cloud pour éviter les temps d’arrêt provoqués par des informations de certificat cloud obsolètes.

Comment réparer la configuration du domaine fédéré

La configuration du domaine fédéré doit être réparée dans les scénarios décrits dans les articles suivants de la Base de connaissances Microsoft.

  • 2523494 Vous recevez un avertissement de certificat d’AD FS lorsque vous essayez de vous connecter à Microsoft 365, Azure ou Intune
  • 2618887 erreur « L’identificateur de service de fédération spécifié dans le serveur AD FS 2.0 est déjà utilisé » lorsque vous essayez de configurer un autre domaine fédéré dans Microsoft 365, Azure ou Intune
  • 2713898 erreur « Il y a eu un problème d’accès au site » à partir d’AD FS lorsqu’un utilisateur fédéré se connecte à Microsoft 365, Azure ou Intune
  • 2647020 erreur « Votre organization n’a pas pu vous connecter à ce service » et « 80041317 » ou « 80043431 » quand un utilisateur fédéré tente de se connecter à Microsoft 365
  • Le nom du service de fédération dans AD FS est modifié.

Pour réparer la configuration de domaine fédéré sur un ordinateur joint à un domaine sur lequel le module Azure Active Directory pour Windows PowerShell est installé, procédez comme suit.

Avertissement

  • La procédure suivante supprime toutes les personnalisations créées en limitant l’accès aux services Microsoft 365 à l’aide de l’emplacement du client. Une fois la configuration du domaine fédéré réparée, vous devrez peut-être reconfigurer l’accès AD FS limité.
  • Les étapes suivantes doivent être planifiées avec soin. Les utilisateurs pour lesquels la fonctionnalité d’authentification unique est activée dans le domaine fédéré ne pourront pas s’authentifier pendant cette opération, de la fin de l’étape 4 à la fin de l’étape 5. Si le test de l’applet de commande update-MSOLFederatedDomain à l’étape 1 n’est pas suivi correctement, l’étape 5 ne se termine pas correctement. Les utilisateurs fédérés ne pourront pas s’authentifier tant que l’applet de commande update-MSOLFederatedDomain n’est pas exécutée correctement.
  1. Exécutez les étapes décrites dans la section « Comment mettre à jour la configuration du domaine fédéré » plus haut dans cet article pour vous assurer que l’applet de commande update-MSOLFederatedDomain s’est terminée correctement.
    • Si l’applet de commande ne s’est pas terminée correctement, ne poursuivez pas cette procédure. Au lieu de cela, consultez la section « Problèmes connus que vous pouvez rencontrer lorsque vous mettez à jour ou réparez un domaine fédéré » plus loin dans cet article pour résoudre le problème.
    • Si l’applet de commande se termine correctement, laissez la fenêtre d’invite de commandes ouverte pour une utilisation ultérieure.
  2. Connectez-vous au serveur AD FS. Pour ce faire, cliquez sur Démarrer, pointez sur Tous les programmes, sur Outils d’administration, puis cliquez sur Gestion AD FS (2.0).
  3. Dans le volet de navigation gauche, cliquez sur AD FS (2.0), sur Relations d’approbation, puis sur Approbations de partie de confiance.
  4. Dans le volet le plus à droite, supprimez l’entrée Microsoft Office 365 Identity Platform.
  5. Dans la fenêtre Windows PowerShell que vous avez ouverte à l’étape 1, recréez l’objet d’approbation supprimé. Pour ce faire, exécutez la commande suivante, puis appuyez sur Entrée :
    Update-MSOLFederatedDomain -DomainName <Federated Domain Name>
    ou
    Update-MSOLFederatedDomain –DomainName:<Federated Domain Name> –supportmultipledomain

    Remarque

    • L’utilisation du commutateur –supportmultipledomain est nécessaire lorsque plusieurs domaines de niveau supérieur sont fédérés à l’aide du même service de fédération AD FS.
    • Dans ces commandes, l’espace réservé < Nom > de domaine fédéré représente le nom du domaine qui est déjà fédéré.

Problèmes connus que vous pouvez rencontrer lorsque vous mettez à jour ou réparez un domaine fédéré

Les scénarios suivants posent des problèmes lorsque vous mettez à jour ou réparez un domaine fédéré :

  • Vous ne pouvez pas vous connecter à l’aide de Windows PowerShell. Pour plus d’informations sur ce problème, consultez l’article suivant de la Base de connaissances Microsoft :

    2494043 Vous ne pouvez pas vous connecter à l’aide du module Azure Active Directory pour Windows PowerShell

  • Le module Azure Active Directory pour Windows PowerShell ne peut pas se charger en raison de conditions préalables manquantes. Pour plus d’informations, consultez l’article suivant de la Base de connaissances Microsoft :

    2461873 Vous ne pouvez pas ouvrir le module Azure Active Directory pour Windows PowerShell

  • Vous obtenez un message d’erreur « Accès refusé » lorsque vous essayez d’exécuter l’applet de commande set-MSOLADFSContext. Pour plus d’informations, consultez l’article suivant de la Base de connaissances Microsoft :

    2587730 erreur « Échec de la connexion au <serveur ServerName> Services ADFS 2.0 » lorsque vous utilisez l’applet de commande Set-MsolADFSContext

Encore besoin d’aide ? Rejoignez la Communauté Microsoft ou accédez au site web Forums Microsoft Entra.