Gebruikers kunnen zich niet meer aanmelden nadat u de opdracht Convert-MSOLDomaintoFederated hebt uitgevoerd om een bestaand domein te converteren
Dit artikel bevat informatie over het oplossen van een probleem waarbij gebruikers geen toegang meer hebben tot Office 365, Azure of Microsoft Intune na het uitvoeren van de Convert-MSOLDomaintoFederated opdracht om een bestaand domein te converteren van standaardverificatie naar federatieve verificatie.
Oorspronkelijke productversie: Cloud Services (webrollen/werkrollen), Microsoft Entra ID, Microsoft Intune, Azure Backup, Office 365 Identity Management
Origineel KB-nummer: 2662960
Opmerking
Azure AD- en MSOnline PowerShell-modules zijn afgeschaft vanaf 30 maart 2024. Lees de afschaffingsupdate voor meer informatie. Na deze datum is ondersteuning voor deze modules beperkt tot hulp bij migratie naar Microsoft Graph PowerShell SDK en beveiligingspatches. De afgeschafte modules blijven functioneren tot en met 30 maart 2025.
U wordt aangeraden te migreren naar Microsoft Graph PowerShell om te communiceren met Microsoft Entra ID (voorheen Azure AD). Raadpleeg de veelgestelde vragen over migratie voor veelgestelde vragen over migratie. Opmerking: Versies 1.0.x van MSOnline kunnen na 30 juni 2024 worden onderbroken.
Symptomen
Tijdens het instellen van eenmalige aanmelding (SSO) in een Microsoft-cloudservice zoals Office 365, Microsoft Azure of Microsoft Intune, voert u de Convert-MSOLDomaintoFederated opdracht uit om een bestaand domein te converteren van standaardverificatie naar federatieve verificatie. Nadat u dit hebt uitgevoerd, hebben gebruikers die zijn gekoppeld aan dat domein echter geen toegang meer tot de cloudservice.
Oorzaak
Dit probleem treedt op als eenmalige aanmelding niet correct is ingesteld of als de installatie niet is voltooid.
Waarschuwing
Het is een best practice van Microsoft om altijd ten minste één beheerdersgebruikers-id te hebben die is gekoppeld aan het standaarddomein, zodat de beheerderstoegang tot de organisatie niet verloren gaat als eenmalige aanmelding wordt gecompromitteerd.
Oplossing
U kunt dit probleem oplossen door een van de volgende methoden te gebruiken, afhankelijk van uw situatie.
Methode 1: Problemen met de installatie van eenmalige aanmelding oplossen
Gebruik deze methode alleen als aan alle volgende voorwaarden wordt voldaan:
- Het probleem wordt niet veroorzaakt door een servicestoring.
- U hoeft de gebruikerstoegang niet onmiddellijk te herstellen.
Zie Problemen met het instellen van eenmalige aanmelding in Office 365, Intune of Azure oplossen om de installatie van eenmalige aanmelding vast te stellen en op te lossen.
Methode 2: de domeinfederatie terugzetten naar standaardverificatie als de AD FS-server niet beschikbaar is
Gebruik deze methode alleen als aan alle volgende voorwaarden wordt voldaan:
- Het probleem wordt veroorzaakt door een servicestoring waarvoor gebruikerstoegang onmiddellijk moet worden hersteld.
- De AD FS-server is niet beschikbaar.
Als aan deze voorwaarden wordt voldaan, stelt u de verificatie-instelling voor het domein opnieuw in en stelt u voor elk gebruikersaccount standaardverificatie in. Ga hiervoor als volgt te werk:
Start de Azure Active Directory-module voor Windows PowerShell. Selecteer hiervoor Start, selecteer Alle programma's, selecteer Windows Azure Active Directory, klik met de rechtermuisknop op Windows Azure Active Directory-module voor Windows PowerShell en selecteer vervolgens Als administrator uitvoeren.
Als u het domein wilt converteren, voert u de volgende opdrachten uit in de volgorde waarin ze worden weergegeven. Druk op Enter nadat u elke opdracht hebt getypt.
$cred = Get-CredentialWanneer u hierom wordt gevraagd, voert u referenties voor cloudservicebeheerder in die niet zijn ingeschakeld voor eenmalige aanmelding.
Connect-MsolService -credential $credSet-MSOLDomainAuthentication -Authentication Managed -DomainName <federated domain name>Opmerking
In deze opdracht vertegenwoordigt de tijdelijke aanduiding <federatieve domeinnaam> de naam van het domein waarvoor eenmalige aanmelding niet werkt.
Voer de volgende opdracht uit voor elke gebruiker die een UPN-achtervoegsel (User Principal Name) heeft dat is gekoppeld aan het domein:
Convert-MSOLFederatedUser -UserPrincipalName <string>Opmerking
In deze opdracht vertegenwoordigt de tijdelijke aanduidingtekenreeks <> de waarde van de UPN voor de gebruiker die wordt geconverteerd.
Meer informatie
Belangrijk
In scenario's waarin de laatste beheerder van de Microsoft-cloudserviceorganisatie het domeinachtervoegsel van een federatief domein krijgt toegewezen en waarin die beheerder eenmalige aanmelding wordt ingeschakeld, beperken volgende AD FS-fouten het uitvoeren van de opdracht connect-MSOLService en kunnen het oplossen van SSO-problemen voorkomen. Het is een aanbevolen aanbeveling om beheerders van microsoft-cloudservices-organisaties altijd ten minste één globale beheerdersaccount te houden dat niet is ingeschakeld voor eenmalige aanmelding, zodat problemen met eenmalige aanmelding kunnen worden opgelost met behulp van de Azure Active Directory-module voor Windows PowerShell.
Als dit probleem zich voordoet, neemt u contact op met Microsoft Ondersteuning om de domeinfederatie tijdelijk ongedaan te maken, zodat de beheerder (die niet langer SSO-ingeschakeld is) weer toegang kan krijgen om problemen met betrekking tot eenmalige aanmelding op te lossen.
Contacteer ons voor hulp
Als u vragen hebt of hulp nodig hebt, maak een ondersteuningsaanvraag of vraag de Azure-communityondersteuning. U kunt ook productfeedback verzenden naar de Feedback-community van Azure.
Feedback
Binnenkort beschikbaar: In de loop van 2024 zullen we GitHub Issues geleidelijk uitfaseren als het feedbackmechanisme voor inhoud. Het wordt vervangen door een nieuw feedbacksysteem. Zie voor meer informatie: https://aka.ms/ContentUserFeedback.
Feedback verzenden en weergeven voor