Benutzer können sich nicht mehr anmelden, nachdem Sie den Befehl Convert-MSOLDomaintoFederated ausgeführt haben, um eine vorhandene Domäne zu konvertieren.
Dieser Artikel enthält Informationen zur Behandlung eines Problems, bei dem Benutzer nicht mehr auf Office 365, Azure oder Microsoft Intune zugreifen können, nachdem sie den Convert-MSOLDomaintoFederated Befehl zum Konvertieren einer vorhandenen Domäne von der Standardauthentifizierung in die Verbundauthentifizierung ausgeführt haben.
Ursprüngliche Produktversion: Cloud-Dienste (Webrollen/Workerrollen), Microsoft Entra ID, Microsoft Intune, Azure Backup, Office 365 Identity Management
Ursprüngliche KB-Nummer: 2662960
Hinweis
Azure AD- und MSOnline PowerShell-Module sind ab dem 30. März 2024 veraltet. Weitere Informationen finden Sie im Veralteten Update. Nach diesem Datum ist die Unterstützung für diese Module auf Migrationsunterstützung zum Microsoft Graph PowerShell SDK und Sicherheitskorrekturen beschränkt. Die veralteten Module funktionieren weiterhin bis zum 30. März 2025.
Es wird empfohlen, zu Microsoft Graph PowerShell zu migrieren, um mit Microsoft Entra ID (früher Azure AD) zu interagieren. Häufig gestellte Fragen zur Migration finden Sie in den häufig gestellten Fragen zur Migration. Hinweis: Version 1.0.x von MSOnline kann nach dem 30. Juni 2024 unterbrochen werden.
Problembeschreibung
Während der Einrichtung des einmaligen Anmeldens (Single Sign-On, SSO) in einem Microsoft-Clouddienst wie Office 365, Microsoft Azure oder Microsoft Intune führen Sie den Convert-MSOLDomaintoFederated Befehl aus, um eine vorhandene Domäne von der Standardauthentifizierung in die Verbundauthentifizierung zu konvertieren. Danach können Benutzer, die dieser Domäne zugeordnet sind, jedoch nicht mehr auf den Clouddienst zugreifen.
Ursache
Dieses Problem tritt auf, wenn SSO nicht ordnungsgemäß eingerichtet ist oder wenn das Setup nicht abgeschlossen ist.
Warnung
Es ist eine bewährte Methode von Microsoft, immer über mindestens eine Administratorbenutzer-ID zu verfügen, die der Standarddomäne zugeordnet ist, damit der Administratorzugriff auf die organization nicht verloren geht, wenn einmaliges Anmelden kompromittiert wird.
Fehlerbehebung
Wenden Sie Ihrer spezifischen Situation entsprechend eine der folgenden Methoden an, um dieses Problem zu beheben.
Methode 1: Problembehandlung beim Einrichten des einmaligen Anmeldens
Verwenden Sie diese Methode nur, wenn alle folgenden Bedingungen erfüllt sind:
- Das Problem wird nicht durch einen Dienstausfall verursacht.
- Die sofortige Wiederherstellung des Benutzerzugriffs ist nicht erforderlich.
Informationen zur Diagnose und Problembehandlung beim Einrichten des einmaligen Anmeldens finden Sie unter Behandeln von Problemen beim Einrichten des einmaligen Anmeldens in Office 365, Intune oder Azure.
Methode 2: Zurücksetzen des Domänenverbunds zur Standardauthentifizierung, wenn der AD FS-Server nicht verfügbar ist
Verwenden Sie diese Methode nur, wenn alle folgenden Bedingungen erfüllt sind:
- Das Problem wird durch einen Dienstausfall verursacht, bei dem der Benutzerzugriff sofort wiederhergestellt werden muss.
- Der AD FS-Server ist nicht verfügbar.
Wenn diese Bedingungen erfüllt sind, setzen Sie die Authentifizierungseinstellung für die Domäne und für jedes Benutzerkonto zurück, um die Standardauthentifizierung zu verwenden. Gehen Sie dazu wie folgt vor:
Starten Sie das Azure Active Directory-Modul für Windows PowerShell. Wählen Sie hierzu Start, Alle Programme, Windows Azure Active Directory aus, klicken Sie mit der rechten Maustaste auf Windows Azure Active Directory-Modul für Windows PowerShell, und wählen Sie dann Als Administrator ausführen aus.
Führen Sie zum Konvertieren der Domäne die folgenden Befehle in der Reihenfolge aus, in der sie dargestellt werden. Drücken Sie die EINGABETASTE, nachdem Sie die einzelnen Befehle eingegeben haben.
$cred = Get-CredentialWenn Sie dazu aufgefordert werden, geben Sie Die Anmeldeinformationen des Clouddienstadministrators ein, die nicht SSO-fähig sind.
Connect-MsolService -credential $credSet-MSOLDomainAuthentication -Authentication Managed -DomainName <federated domain name>Hinweis
In diesem Befehl stellt der Platzhalter-Verbunddomänenname <> den Namen der Domäne dar, für die SSO nicht funktioniert.
Führen Sie für jeden Benutzer, der über ein Benutzerprinzipalnamensuffix (UPN) verfügt, das der Domäne zugeordnet ist, den folgenden Befehl aus:
Convert-MSOLFederatedUser -UserPrincipalName <string>Hinweis
In diesem Befehl stellt die Platzhalterzeichenfolge <> den Wert des UPN für den Benutzer dar, der konvertiert wird.
Weitere Informationen
Wichtig
In Szenarien, in denen dem letzten Microsoft Cloud Services organization Administrator das Domänensuffix einer Verbunddomäne zugewiesen wird und in denen dieser Administrator SSO-fähig wird, schränken nachfolgende AD FS-Fehler die Ausführung des Befehls connect-MSOLService ein und können die Behebung von SSO-Problemen verhindern. Es wird empfohlen, dass Microsoft Cloud Services organization Administratoren immer mindestens ein globales Administratorkonto beibehalten, das nicht SSO-fähig ist, um die Behandlung von SSO-Problemen mithilfe des Azure Active Directory-Moduls für Windows PowerShell zu ermöglichen.
Wenn dieses Problem auftritt, wenden Sie sich an Microsoft-Support, um den Domänenverbund vorübergehend rückgängig zu machen, damit der Administrator (der nicht mehr SSO-fähig ist) wieder Zugriff auf die Behandlung von Problemen im Zusammenhang mit SSO erhalten kann.
Kontaktieren Sie uns für Hilfe
Wenn Sie Fragen haben oder Hilfe mit Ihren Azure-Gutschriften benötigen, dann erstellen Sie beim Azure-Support eine Support-Anforderung oder fragen Sie den Azure Community-Support. Sie können auch Produktfeedback an die Azure Feedback Community senden.
Feedback
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Issues stufenweise als Feedbackmechanismus für Inhalte abbauen und durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unter https://aka.ms/ContentUserFeedback.
Feedback senden und anzeigen für