Atualizar ou reparar as definições de um domínio federado no Microsoft 365, no Azure ou Intune

  • Artigo
  • Aplica-se a:
    Cloud Services (Web roles/Worker roles), Azure Active Directory, Microsoft Intune, Azure Backup, Microsoft 365

Introdução

O início de sessão único (SSO) num serviço cloud da Microsoft, como o Microsoft 365, o Microsoft Azure ou Microsoft Intune depende de uma implementação no local do Serviços de Federação do Active Directory (AD FS) (AD FS) que funciona corretamente. Vários cenários requerem a reconstrução da configuração do domínio federado no AD FS para corrigir problemas técnicos. Este artigo contém orientações passo a passo sobre como atualizar ou reparar a configuração do domínio federado.

Mais informações

Como atualizar a configuração do domínio federado

A configuração do domínio federado tem de ser atualizada nos cenários descritos nos seguintes artigos da Base de Dados de Conhecimento Microsoft.

  • 2713898 erro "Ocorreu um problema ao aceder ao site" do AD FS quando um utilizador federado inicia sessão no Microsoft 365, no Azure ou no Intune
  • 2535191 "Pedimos desculpa, mas estamos a ter problemas ao iniciar sessão" e erro "80048163" quando um utilizador federado tenta iniciar sessão no Microsoft 365, no Azure ou no Intune
  • 2647020 erro "Lamentamos, mas estamos a ter problemas ao iniciar sessão" e erro "80041317" ou "80043431" quando um utilizador federado tenta iniciar sessão no Microsoft 365, no Azure ou no Intune

Nota

Azure AD e os módulos do PowerShell do MSOnline são preteridos a partir de 30 de março de 2024. Para saber mais, leia a atualização de preterição. Após esta data, o suporte para estes módulos está limitado à assistência de migração para o SDK do PowerShell do Microsoft Graph e correções de segurança. Os módulos preteridos continuarão a funcionar até 30 de março de 2025.

Recomendamos que migre para o Microsoft Graph PowerShell para interagir com Microsoft Entra ID (anteriormente Azure AD). Para perguntas de migração comuns, veja as FAQ sobre Migração. Nota: As versões 1.0.x do MSOnline podem sofrer interrupções após 30 de junho de 2024.

Para atualizar a configuração do domínio federado num computador associado a um domínio que tenha o módulo do Azure Active Directory para Windows PowerShell instalado, siga estes passos:

  1. Clique em Iniciar, clique em Todos os Programas, clique em Windows Azure Active Directory e, em seguida, clique em Módulo do Windows Azure Active Directory para Windows PowerShell.

  2. Na linha de comandos, escreva os seguintes comandos e prima Enter após cada comando:

    $cred = get-credential

    Nota

    Quando lhe for pedido, introduza as credenciais de administrador do serviço cloud.

    Connect-MSOLService –credential:$cred

    Set-MSOLADFSContext –Computer: <AD FS 2.0 ServerName>

    Nota

    Neste comando, o marcador< de posição AD FS 2.0 Nome> do Servidor representa o nome do anfitrião do Windows do servidor AD FS principal.

    Update-MSOLFederatedDomain –DomainName: <Federated Domain Name>

    ou

    Update-MSOLFederatedDomain –DomainName: <Federated Domain Name> –supportmultipledomain

    Nota

    • A utilização do comutador –supportmultipledomain é necessária quando vários domínios de nível superior são federados através do mesmo serviço de federação do AD FS.
    • Nestes comandos, o marcador < de posição Nome > de Domínio Federado representa o nome do domínio que já está federado.

Importante

Está disponível um script para automatizar regularmente a atualização de metadados de federação para garantir que as alterações ao certificado de assinatura de tokens do AD FS são replicadas corretamente.

O script cria uma tarefa agendada do Windows no servidor primário do AD FS para garantir que as alterações à configuração do AD FS, como informações de confiança, atualizações de certificado de assinatura, etc., são propagadas regularmente para o Microsoft Entra ID.

Se o certificado de assinatura de tokens for renovado automaticamente num ambiente onde o script é implementado, o script atualizará as informações de confiança da cloud para impedir o período de indisponibilidade causado por informações de certificados na cloud desatualizadas.

Como reparar a configuração do domínio federado

A configuração do domínio federado tem de ser reparada nos cenários descritos nos seguintes artigos da Base de Dados de Conhecimento Microsoft.

  • 2523494 Recebe um aviso de certificado do AD FS quando tenta iniciar sessão no Microsoft 365, no Azure ou no Intune
  • 2618887 erro "O identificador do serviço de federação especificado no servidor do AD FS 2.0 já está a ser utilizado". Erro ao tentar configurar outro domínio federado no Microsoft 365, Azure ou Intune
  • 2713898 erro "Ocorreu um problema ao aceder ao site" do AD FS quando um utilizador federado inicia sessão no Microsoft 365, no Azure ou no Intune
  • 2647020 erro "A sua organização não conseguiu iniciar sessão neste serviço" e o código de erro "80041317" ou "80043431" quando um utilizador federado tenta iniciar sessão no Microsoft 365
  • O nome do Serviço de Federação no AD FS é alterado.

Para reparar a configuração do domínio federado num computador associado a um domínio que tenha o módulo do Azure Active Directory para Windows PowerShell instalado, siga estes passos.

Aviso

  • O procedimento seguinte remove todas as personalizações que são criadas ao limitar o acesso aos serviços do Microsoft 365 através da localização do cliente. Após a configuração do domínio federado ser reparada, poderá ter de reconfigurar o acesso limitado ao AD FS.
  • Os passos seguintes devem ser planeados cuidadosamente. Os utilizadores para os quais a funcionalidade SSO está ativada no domínio federado não poderão autenticar-se durante esta operação desde a conclusão do passo 4 até à conclusão do passo 5. Se o teste do cmdlet update-MSOLFederatedDomain no passo 1 não for seguido com êxito, o passo 5 não será concluído corretamente. Os utilizadores federados não poderão autenticar até que o cmdlet update-MSOLFederatedDomain possa ser executado com êxito.
  1. Execute os passos na secção "Como atualizar a configuração do domínio federado" anteriormente neste artigo para garantir que o cmdlet update-MSOLFederatedDomain foi concluído com êxito.
    • Se o cmdlet não tiver sido concluído com êxito, não continue com este procedimento. Em vez disso, consulte a secção "Problemas conhecidos que poderá encontrar ao atualizar ou reparar um domínio federado" mais à frente neste artigo para resolver o problema.
    • Se o cmdlet for concluído com êxito, deixe a janela da Linha de Comandos aberta para utilização posterior.
  2. Inicie sessão no servidor do AD FS. Para tal, clique em Iniciar, aponte para Todos os Programas, aponte para Ferramentas Administrativas e, em seguida, clique em Gestão do AD FS (2.0).
  3. No painel de navegação esquerdo, clique em AD FS (2.0), clique em Relações de Confiança e, em seguida, clique em Confianças da Entidade Confiadora.
  4. No painel mais à direita, elimine a entrada Microsoft Office 365 Plataforma de Identidade.
  5. Na janela Windows PowerShell que abriu no passo 1, recrie o objeto de fidedignidade eliminado. Para tal, execute o seguinte comando e, em seguida, prima Enter:
    Update-MSOLFederatedDomain -DomainName <Federated Domain Name>
    ou
    Update-MSOLFederatedDomain –DomainName:<Federated Domain Name> –supportmultipledomain

    Nota

    • A utilização do comutador –supportmultipledomain é necessária quando vários domínios de nível superior são federados através do mesmo serviço de federação do AD FS.
    • Nestes comandos, o marcador < de posição Nome > de Domínio Federado representa o nome do domínio que já está federado.

Problemas conhecidos que pode encontrar ao atualizar ou reparar um domínio federado

Os seguintes cenários causam problemas ao atualizar ou reparar um domínio federado:

  • Não é possível ligar através de Windows PowerShell. Para obter mais informações sobre este problema, consulte o seguinte artigo da Base de Dados de Conhecimento Microsoft:

    2494043 Não é possível ligar com o módulo do Azure Active Directory para Windows PowerShell

  • O módulo do Azure Active Directory para Windows PowerShell não consegue carregar devido a pré-requisitos em falta. Para obter mais informações, consulte o seguinte artigo da Base de Dados de Conhecimento Microsoft:

    2461873 Não é possível abrir o módulo do Azure Active Directory para Windows PowerShell

  • Recebe uma mensagem de erro "Acesso Negado" quando tenta executar o cmdlet set-MSOLADFSContext. Para obter mais informações, consulte o seguinte artigo da Base de Dados de Conhecimento Microsoft:

    2587730 erro "Falha na ligação ao <servidor ServerName> Serviços de Federação do Active Directory (AD FS) 2.0" ao utilizar o cmdlet Set-MsolADFSContext

Ainda necessita de ajuda? Aceda ao site Microsoft Community ou Microsoft Entra Forums.