Les utilisateurs ne peuvent plus se connecter après avoir exécuté la commande Convert-MSOLDomaintoFederated pour convertir un domaine existant

  • Article

Cet article fournit des informations sur la résolution d’un problème dans lequel les utilisateurs ne peuvent plus accéder à Office 365, Azure ou Microsoft Intune après avoir exécuté la Convert-MSOLDomaintoFederated commande pour convertir un domaine existant de l’authentification standard à l’authentification fédérée.

Version du produit d’origine : Services cloud (rôles web/de travail), Microsoft Entra ID, Microsoft Intune, Sauvegarde Azure, Gestion des identités Office 365
Numéro de la base de connaissances d’origine : 2662960

Remarque

Les modules PowerShell Azure AD et MSOnline sont déconseillés à compter du 30 mars 2024. Pour en savoir plus, lisez la mise à jour déconseillée. Après cette date, la prise en charge de ces modules est limitée à l’assistance à la migration vers le Kit de développement logiciel (SDK) Microsoft Graph PowerShell et aux correctifs de sécurité. Les modules déconseillés continueront de fonctionner jusqu’au 30 mars 2025.

Nous vous recommandons de migrer vers Microsoft Graph PowerShell pour interagir avec Microsoft Entra ID (anciennement Azure AD). Pour les questions courantes sur la migration, reportez-vous au FAQ sur la migration. Note: Les versions 1.0.x de MSOnline peuvent être interrompues après le 30 juin 2024.

Symptômes

Pendant la configuration de l’authentification unique (SSO) dans un service cloud Microsoft tel que Office 365, Microsoft Azure ou Microsoft Intune, vous exécutez la Convert-MSOLDomaintoFederated commande pour convertir un domaine existant de l’authentification standard en authentification fédérée. Toutefois, une fois cette opération terminée, les utilisateurs associés à ce domaine ne peuvent plus accéder au service cloud.

Cause

Ce problème se produit si l’authentification unique n’est pas configurée correctement ou si l’installation n’est pas terminée.

Avertissement

Il est recommandé de toujours avoir au moins un ID d’utilisateur administrateur associé au domaine par défaut afin que l’accès administratif à l’organization ne soit pas perdu si l’authentification unique est compromise.

Résolution

Pour résoudre ce problème, utilisez l’une des méthodes suivantes, en fonction de votre situation.

Méthode 1 : Résoudre les problèmes de configuration de l’authentification unique

Utilisez cette méthode uniquement si toutes les conditions suivantes sont remplies :

  • Le problème n’est pas dû à une panne de service.
  • La restauration immédiate de l’accès utilisateur n’est pas nécessaire.

Pour diagnostiquer et résoudre les problèmes d’installation de l’authentification unique, consultez Résoudre les problèmes de configuration de l’authentification unique dans Office 365, Intune ou Azure.

Méthode 2 : Rétablir la fédération de domaine à l’authentification standard si le serveur AD FS n’est pas disponible

Utilisez cette méthode uniquement si toutes les conditions suivantes sont remplies :

  • Le problème est dû à une panne de service qui nécessite la restauration immédiate de l’accès utilisateur.
  • Le serveur AD FS n’est pas disponible.

Si ces conditions sont remplies, réinitialisez le paramètre d’authentification pour le domaine et pour chaque compte d’utilisateur pour utiliser l’authentification standard. Pour cela, procédez comme suit :

  1. Démarrez le module Azure Active Directory pour Windows PowerShell. Pour ce faire, sélectionnez Démarrer, Tous les programmes, Windows Azure Active Directory, cliquez avec le bouton droit sur Module Windows Azure Active Directory pour Windows PowerShell, puis sélectionnez Exécuter en tant qu’administrateur.

  2. Pour convertir le domaine, exécutez les commandes suivantes dans l’ordre dans lequel elles sont présentées. Appuyez sur Entrée après avoir tapé chaque commande.

    $cred = Get-Credential

    Lorsque vous y êtes invité, entrez les informations d’identification de l’administrateur de service cloud qui ne sont pas activées pour l’authentification unique.

    Connect-MsolService -credential $cred

    Set-MSOLDomainAuthentication -Authentication Managed -DomainName <federated domain name>

    Remarque

    Dans cette commande, le nom> de domaine fédéré de l’espace réservé <représente le nom du domaine pour lequel l’authentification unique ne fonctionne pas.

  3. Pour chaque utilisateur qui a un suffixe de nom d’utilisateur principal (UPN) associé au domaine, exécutez la commande suivante :

    Convert-MSOLFederatedUser -UserPrincipalName <string>

    Remarque

    Dans cette commande, la chaîne> d’espace réservé <représente la valeur de l’UPN pour l’utilisateur en cours de conversion.

Informations supplémentaires

Importante

Dans les scénarios dans lesquels le dernier service cloud Microsoft organization administrateur se voit attribuer le suffixe de domaine d’un domaine fédéré et dans lesquels cet administrateur prend en charge l’authentification unique, les échecs AD FS suivants limitent l’exécution de la commande connect-MSOLService et peuvent empêcher la correction des problèmes d’authentification unique. Il est recommandé que les services cloud Microsoft organization les administrateurs conservent toujours au moins un compte d’administrateur général qui n’est pas activé pour l’authentification unique afin de résoudre les problèmes d’authentification unique à l’aide du module Azure Active Directory pour Windows PowerShell.

Si ce problème se produit, contactez Support Microsoft pour que la fédération de domaine soit annulée temporairement afin que l’administrateur (qui n’est plus activé pour l’authentification unique) puisse récupérer l’accès pour résoudre les problèmes liés à l’authentification unique.

Contactez-nous pour obtenir de l’aide

Pour toute demande ou assistance, créez une demande de support ou posez une question au support de la communauté Azure. Vous pouvez également soumettre des commentaires sur les produits à la communauté de commentaires Azure.