De instellingen van een federatief domein bijwerken of herstellen in Microsoft 365, Azure of Intune

  • Artikel
  • Van toepassing op:
    Cloud Services (Web roles/Worker roles), Azure Active Directory, Microsoft Intune, Azure Backup, Microsoft 365

Inleiding

Eenmalige aanmelding (SSO) in een Microsoft-cloudservice zoals Microsoft 365, Microsoft Azure of Microsoft Intune is afhankelijk van een on-premises implementatie van Active Directory Federation Services (AD FS) die correct werkt. Voor verschillende scenario's moet de configuratie van het federatieve domein in AD FS opnieuw worden opgebouwd om technische problemen op te lossen. Dit artikel bevat stapsgewijze richtlijnen voor het bijwerken of herstellen van de configuratie van het federatieve domein.

Meer informatie

De configuratie van het federatieve domein bijwerken

De configuratie van het federatieve domein moet worden bijgewerkt in de scenario's die worden beschreven in de volgende Microsoft Knowledge Base-artikelen.

  • 2713898 fout 'Er is een probleem opgetreden bij het openen van de site' van AD FS wanneer een federatieve gebruiker zich aanmeldt bij Microsoft 365, Azure of Intune
  • 2535191 ''Sorry, but we're having trouble you in' and '80048163' error when a federatieve gebruiker probeert zich aan te melden bij Microsoft 365, Azure of Intune
  • 2647020 'Er zijn problemen met aanmelden' en '80041317' of '80043431' fout wanneer een federatieve gebruiker zich probeert aan te melden bij Microsoft 365, Azure of Intune

Opmerking

Azure AD- en MSOnline PowerShell-modules zijn afgeschaft vanaf 30 maart 2024. Lees de afschaffingsupdate voor meer informatie. Na deze datum is ondersteuning voor deze modules beperkt tot hulp bij migratie naar Microsoft Graph PowerShell SDK en beveiligingspatches. De afgeschafte modules blijven functioneren tot en met 30 maart 2025.

U wordt aangeraden te migreren naar Microsoft Graph PowerShell om te communiceren met Microsoft Entra ID (voorheen Azure AD). Raadpleeg de veelgestelde vragen over migratie voor veelgestelde vragen over migratie. Opmerking: Versies 1.0.x van MSOnline kunnen na 30 juni 2024 worden onderbroken.

Voer de volgende stappen uit om de configuratie van het federatieve domein bij te werken op een computer die lid is van een domein waarop de Azure Active Directory-module voor Windows PowerShell is geïnstalleerd:

  1. Klik op Start, klik op Alle programma's, klik op Windows Azure Active Directory en klik vervolgens op Windows Azure Active Directory-module voor Windows PowerShell.

  2. Typ bij de opdrachtprompt de volgende opdrachten en druk na elke opdracht op Enter:

    $cred = get-credential

    Opmerking

    Wanneer u hierom wordt gevraagd, voert u de referenties van de cloudservicebeheerder in.

    Connect-MSOLService –credential:$cred

    Set-MSOLADFSContext –Computer: <AD FS 2.0 ServerName>

    Opmerking

    In deze opdracht vertegenwoordigt de tijdelijke aanduiding <AD FS 2.0-servernaam> de Windows-hostnaam van de primaire AD FS-server.

    Update-MSOLFederatedDomain –DomainName: <Federated Domain Name>

    of

    Update-MSOLFederatedDomain –DomainName: <Federated Domain Name> –supportmultipledomain

    Opmerking

    • Het gebruik van de switch –supportmultipledomain is vereist wanneer meerdere domeinen op het hoogste niveau worden gefedereerd met behulp van dezelfde AD FS-federatieservice.
    • In deze opdrachten vertegenwoordigt de tijdelijke aanduiding <Federatieve domeinnaam> de naam van het domein dat al federatief is.

Belangrijk

Er is een script beschikbaar om het regelmatig bijwerken van federatiemetagegevens te automatiseren om ervoor te zorgen dat wijzigingen in het AD FS-tokenondertekeningscertificaat correct worden gerepliceerd.

Het script maakt een geplande Windows-taak op de primaire AD FS-server om ervoor te zorgen dat wijzigingen in de AD FS-configuratie, zoals vertrouwensgegevens, ondertekening van certificaatupdates, enzovoort, regelmatig worden doorgegeven aan de Microsoft Entra ID.

Als het tokenondertekeningscertificaat automatisch wordt vernieuwd in een omgeving waarin het script is geïmplementeerd, werkt het script de cloudvertrouwensgegevens bij om downtime te voorkomen die wordt veroorzaakt door verouderde cloudcertificaatgegevens.

De configuratie van het federatieve domein herstellen

De configuratie van het federatieve domein moet worden hersteld in de scenario's die worden beschreven in de volgende Microsoft Knowledge Base-artikelen.

  • 2523494 U ontvangt een certificaatwaarschuwing van AD FS wanneer u zich probeert aan te melden bij Microsoft 365, Azure of Intune
  • 2618887 'Federation-service-id die is opgegeven in de AD FS 2.0-server is al in gebruik'. fout wanneer u een ander federatief domein probeert in te stellen in Microsoft 365, Azure of Intune
  • 2713898 fout 'Er is een probleem opgetreden bij het openen van de site' van AD FS wanneer een federatieve gebruiker zich aanmeldt bij Microsoft 365, Azure of Intune
  • 2647020 fout 'Uw organisatie kan u niet aanmelden bij deze service' en de foutcode '80041317' of '80043431' wanneer een federatieve gebruiker zich probeert aan te melden bij Microsoft 365
  • De naam van de Federation-service in AD FS wordt gewijzigd.

Volg deze stappen om de federatieve domeinconfiguratie te herstellen op een computer die lid is van een domein waarop de Azure Active Directory-module voor Windows PowerShell is geïnstalleerd.

Waarschuwing

  • Met de volgende procedure worden alle aanpassingen verwijderd die zijn gemaakt door de toegang tot Microsoft 365-services te beperken met behulp van de locatie van de client. Nadat de configuratie van het federatieve domein is hersteld, moet u mogelijk de beperkte AD FS-toegang opnieuw configureren.
  • De volgende stappen moeten zorgvuldig worden gepland. Gebruikers voor wie de SSO-functionaliteit is ingeschakeld in het federatieve domein, kunnen zich tijdens deze bewerking niet verifiëren vanaf de voltooiing van stap 4 tot de voltooiing van stap 5. Als de cmdlet-test update-MSOLFederatedDomain in stap 1 niet wordt gevolgd, wordt stap 5 niet correct voltooid. Federatieve gebruikers kunnen zich pas verifiëren als de cmdlet update-MSOLFederatedDomain kan worden uitgevoerd.
  1. Voer de stappen uit in de sectie De federatieve domeinconfiguratie bijwerken eerder in dit artikel om ervoor te zorgen dat de cmdlet update-MSOLFederatedDomain is voltooid.
    • Als de cmdlet niet is voltooid, gaat u niet verder met deze procedure. Raadpleeg in plaats daarvan de sectie Bekende problemen die kunnen optreden wanneer u een federatief domein bijwerkt of herstelt verderop in dit artikel om het probleem op te lossen.
    • Als de cmdlet is voltooid, laat u het opdrachtpromptvenster geopend voor later gebruik.
  2. Meld u aan bij de AD FS-server. Klik hiervoor op Start, wijs Alle programma's aan, wijs Systeembeheer aan en klik vervolgens op AD FS (2.0) Beheer.
  3. Klik in het linkernavigatiedeelvenster op AD FS (2.0), klik op Vertrouwensrelaties en klik vervolgens op Relying Party-vertrouwensrelaties.
  4. Verwijder in het rechterdeelvenster de vermelding Microsoft Office 365 Identity Platform.
  5. Maak het verwijderde vertrouwensobject opnieuw in het Windows PowerShell venster dat u in stap 1 hebt geopend. Voer hiervoor de volgende opdracht uit en druk op Enter:
    Update-MSOLFederatedDomain -DomainName <Federated Domain Name>
    of
    Update-MSOLFederatedDomain –DomainName:<Federated Domain Name> –supportmultipledomain

    Opmerking

    • Het gebruik van de switch –supportmultipledomain is vereist wanneer meerdere domeinen op het hoogste niveau worden gefedereerd met behulp van dezelfde AD FS-federatieservice.
    • In deze opdrachten vertegenwoordigt de tijdelijke aanduiding <Federatieve domeinnaam> de naam van het domein dat al federatief is.

Bekende problemen die kunnen optreden wanneer u een federatief domein bijwerkt of herstelt

De volgende scenario's veroorzaken problemen wanneer u een federatief domein bijwerkt of herstelt:

  • U kunt geen verbinding maken met behulp van Windows PowerShell. Zie het volgende Microsoft Knowledge Base-artikel voor meer informatie over dit probleem:

    2494043 U kunt geen verbinding maken met behulp van de Azure Active Directory-module voor Windows PowerShell

  • De Azure Active Directory-module voor Windows PowerShell kan niet worden geladen vanwege ontbrekende vereisten. Zie het volgende Microsoft Knowledge Base-artikel voor meer informatie:

    2461873 U kunt de Azure Active Directory-module niet openen voor Windows PowerShell

  • U krijgt het foutbericht 'Toegang geweigerd' wanneer u de cmdlet set-MSOLADFSContext probeert uit te voeren. Zie het volgende Microsoft Knowledge Base-artikel voor meer informatie:

    2587730 fout 'De verbinding met <ServerName> Active Directory Federation Services 2.0-server is mislukt' wanneer u de cmdlet Set-MsolADFSContext gebruikt

Meer hulp nodig? Ga naar de Microsoft-community of de website Microsoft Entra Forums.