Пользователи больше не смогут выполнять вход после выполнения команды Convert-MSOLDomaintoFederated для преобразования существующего домена.
В этой статье содержатся сведения об устранении проблемы, из-за которой пользователи больше не могут получить доступ к Office 365, Azure или Microsoft Intune после выполнения Convert-MSOLDomaintoFederated команды для преобразования существующего домена из стандартной проверки подлинности в федеративную проверку подлинности.
Исходная версия продукта: Облачные службы (веб-роли или рабочие роли), Microsoft Entra ID, Microsoft Intune, Azure Backup, управление удостоверениями Office 365
Исходный номер базы знаний: 2662960
Примечание.
модули PowerShell Azure AD и MSOnline устарели с 30 марта 2024 г. Дополнительные сведения см. в статье Обновление для прекращения поддержки. После этой даты поддержка этих модулей ограничивается поддержкой миграции пакета SDK Для Microsoft Graph PowerShell и исправлениями безопасности. Устаревшие модули будут работать до 30 марта 2025 г.
Мы рекомендуем выполнить миграцию в Microsoft Graph PowerShell для взаимодействия с Microsoft Entra ID (ранее Azure AD). Распространенные вопросы о миграции см. в разделе Вопросы и ответы о миграции. Примечание: В версиях 1.0.x MSOnline может возникнуть сбой после 30 июня 2024 г.
Симптомы
Во время установки единого входа (SSO) в облачной службе Майкрософт, например Office 365, Microsoft Azure или Microsoft Intune, выполните Convert-MSOLDomaintoFederated команду, чтобы преобразовать существующий домен со стандартной проверки подлинности на федеративную проверку подлинности. Однако после этого пользователи, связанные с этим доменом, больше не смогут получить доступ к облачной службе.
Причина
Эта проблема возникает, если единый вход настроен неправильно или если настройка не завершена.
Предупреждение
Корпорация Майкрософт рекомендует всегда иметь по крайней мере один идентификатор пользователя администратора, связанный с доменом по умолчанию, чтобы не потерять административный доступ к организации в случае компрометации единого входа.
Решение
Чтобы устранить эту проблему, используйте один из следующих методов в соответствии с вашей ситуацией.
Способ 1. Устранение неполадок при настройке единого входа
Используйте этот метод, только если выполняются все следующие условия:
- Проблема не вызвана сбоем службы.
- Немедленное восстановление доступа пользователей не требуется.
Сведения о диагностике и устранении неполадок при настройке единого входа см. в статье Устранение неполадок с настройкой единого входа в Office 365, Intune или Azure.
Способ 2. Возврат федерации домена к стандартной проверке подлинности, если сервер AD FS недоступен
Используйте этот метод, только если выполняются все следующие условия:
- Проблема вызвана сбоем службы, который требует немедленного восстановления доступа пользователей.
- Сервер AD FS недоступен.
Если эти условия выполняются, сбросьте параметр проверки подлинности для домена и для каждой учетной записи пользователя, чтобы использовать стандартную проверку подлинности. Для этого выполните следующие действия:
Запустите модуль Azure Active Directory для Windows PowerShell. Для этого выберите Пуск, Все программы, Windows Azure Active Directory, щелкните правой кнопкой мыши модуль Windows Azure Active Directory для Windows PowerShell, а затем выберите Запуск от имени администратора.
Чтобы преобразовать домен, выполните следующие команды в том порядке, в котором они представлены. Нажмите клавишу ВВОД после ввода каждой команды.
$cred = Get-CredentialПри появлении запроса введите учетные данные администратора облачных служб, которые не поддерживают единый вход.
Connect-MsolService -credential $credSet-MSOLDomainAuthentication -Authentication Managed -DomainName <federated domain name>Примечание.
В этой команде заполнитель <федеративного доменного имени> представляет имя домена, для которого единый вход не работает.
Для каждого пользователя, у которого есть суффикс имени участника-пользователя (UPN), связанный с доменом, выполните следующую команду:
Convert-MSOLFederatedUser -UserPrincipalName <string>Примечание.
В этой команде строка> заполнителя <представляет значение имени участника-пользователя, который преобразуется.
Дополнительная информация
Важно!
В сценариях, в которых последнему администратору организации облачных служб Майкрософт назначается суффикс домена федеративного домена и в которых этот администратор получает возможность единого входа, последующие сбои AD FS ограничивают выполнение команды connect-MSOLService и могут препятствовать устранению проблем единого входа. Рекомендуется, чтобы администраторы организации облачных служб Майкрософт всегда сохраняли хотя бы одну учетную запись глобального администратора, которая не поддерживает единый вход, чтобы устранять проблемы единого входа с помощью модуля Azure Active Directory для Windows PowerShell.
В случае возникновения этой проблемы обратитесь к служба поддержки Майкрософт, чтобы временно отменить федерацию доменов, чтобы администратор (который больше не поддерживает единый вход) смог восстановить доступ для устранения проблем, связанных с единым входом.
Свяжитесь с нами для получения помощи
Если у вас есть вопросы или вам нужна помощь, создайте запрос в службу поддержки или обратитесь за поддержкой сообщества Azure. Вы также можете отправить отзыв о продукте в сообщество отзывов Azure.
Обратная связь
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделе https://aka.ms/ContentUserFeedback.
Отправить и просмотреть отзыв по