Erro ao tentar configurar outro domínio federado no Office 365, no Azure ou no Intune: o identificador de serviço de federação especificado no servidor AD FS 2.0 já está em uso
Este artigo fornece informações sobre como resolver um problema no qual você recebe uma mensagem de erro ao executar o comando ou o comando usando o New-MSOLFederatedDomainConvert-MSOLDomainToFederated módulo do Azure Active Directory para Windows PowerShell.
Versão do produto original: Serviços de Nuvem (funções da Web/funções de Trabalho), Microsoft Entra ID, Microsoft Intune, Backup do Azure, Gerenciamento de Identidades do Office 365
Número de KB original: 2618887
Observação
os módulos Azure AD e MSOnline PowerShell são preteridos a partir de 30 de março de 2024. Para saber mais, leia a atualização de preterição. Após essa data, o suporte para esses módulos é limitado à assistência de migração para o SDK do Microsoft Graph PowerShell e correções de segurança. Os módulos preteridos continuarão funcionando até março de 2025.
Recomendamos migrar para o Microsoft Graph PowerShell para interagir com Microsoft Entra ID (anteriormente Azure AD). Para perguntas comuns sobre migração, consulte as perguntas frequentes sobre migração. Nota: As versões 1.0.x do MSOnline podem sofrer interrupções após 30 de junho de 2024.
Sintomas
Em um serviço de nuvem da Microsoft, como Office 365, Microsoft Azure ou Microsoft Intune, você não pode configurar um segundo domínio federado em um servidor do AD FS (Serviços de Federação do Active Directory (AD FS)). Ao usar o módulo do Azure Active Directory para Windows PowerShell executar o New-MSOLFederatedDomain comando ou o Convert-MSOLDomainToFederated comando, você receberá a seguinte mensagem de erro:
O identificador de serviço de federação especificado no servidor Serviços de Federação do Active Directory (AD FS) 2.0 já está em uso. Corrija esse valor no console de gerenciamento do AD FS 2.0 e execute o comando novamente.
Motivo
O sistema de autenticação Microsoft Entra requer um URI (identificador de recurso uniforme) de marca de federação exclusivo para cada domínio federado. Por padrão, o AD FS usa um valor global para todos os trusts federados. Quando você tenta federar um segundo domínio em um cenário em que uma confiança federada já existe, a solicitação falha porque o URI já está sendo usado.
Solução
Para resolve o problema, você deve usar a opção -supportmultipledomain para adicionar ou converter todos os domínios federados pelo serviço de nuvem. Isso inclui domínios federados que já existem.
Etapa 1: instalar a atualização rollup 1 para o AD FS 2.0
Em cada nó do farm do Serviço de Federação do AD FS 2.0, baixe e instale a Atualização Rollup 1 para o AD FS 2.0. Para obter mais informações sobre como baixar e instalar o Update Rollup 1 para o AD FS 2.0, consulte Descrição da Atualização Rollup 1 para Serviços de Federação do Active Directory (AD FS) (AD FS) 2.0.
Observação
Essa atualização requer uma reinicialização do computador. Se você não reiniciar o computador, experimentará o problema "Desculpe, mas estamos tendo problemas para entrar" e erro "8004789A" quando um usuário federado tentar entrar no Office 365, no Azure ou no Intune.
Etapa 2: verifique se o Update-MSOLFederatedDomain comando pode ser executado com êxito no ambiente do AD FS
Selecione Iniciar>Todos os Programas>do Windows Azure Active Directory, clique com o botão direito do mouse no módulo do Windows Azure Active Directory para Windows PowerShell e selecione Executar como Administrador.
No prompt de comando, execute os seguintes comandos na ordem em que eles são apresentados. Pressione Enter após cada comando.
Connect-MSOLServiceObservação
Quando você for solicitado, insira suas credenciais de administrador global do serviço de nuvem.
Set-MSOLADFSContext -Computer <AD FS 2.0 server name>Observação
Neste comando, <o nome> do servidor do AD FS 2.0 é o nome do computador de um nó no farm do Serviço de Federação do AD FS.
Update-MSOLFederatedDomain -DomainName <Federated Domain Name>Observação
Neste comando, <Nome> de Domínio Federado é o nome do domínio que já está federado com Microsoft Entra ID para SSO (logon único).
Se o
Update-MSOLFederatedDomaincomando for bem-sucedido e você não receber mensagens de erro, vá para a etapa 3 para remover a confiança federada do servidor do AD FS.
Etapa 3: atualizar a confiança federada no servidor do AD FS
Aviso
As etapas a seguir devem ser planejadas com cuidado. Os usuários para os quais a funcionalidade do SSO está habilitada no domínio federado não poderão se autenticar entre a conclusão das etapas C e D. Se o Update-MSOLFederatedDomain teste de comando na etapa 2 não tiver sido concluído com êxito, a etapa D deste procedimento não será concluída corretamente. Os usuários federados não poderão se autenticar até que o Update-MSOLFederatedDomain comando possa ser executado com êxito.
Faça logon no console do servidor do AD FS, selecione Iniciar>Todas as Ferramentas Administrativas> de Programas e selecioneGerenciamento de FS D (2.0).
No painel de navegação esquerdo, selecione AD FS (2.0), selecione Relações de Confiança e selecione Confiabilidade de Parte Confiável.
No painel no lado direito, exclua a entrada Microsoft Office 365 Identity Platform.
Crie novamente o objeto de confiança excluído usando o
-supportmultipledomaincomutador. Na janela do PowerShell aberta da etapa 1C, execute o seguinte comando e pressione Enter:Update-MSOLFederatedDomain -DomainName <Federated Domain Name> -supportmultipledomain
Observação
Neste comando, <Nome> de Domínio Federado é o nome do domínio que já está federado com o serviço de nuvem para SSO.
Etapa 4: use a opção -supportmultipledomain para adicionar ou converter domínios federados adicionais
Depois de atualizar a confiança existente na etapa 2, use a opção -supportmultipledomain para adicionar ou converter domínios federados adicionais. Essa opção informa o comando para usar um namespace URI exclusivo para cada domínio federado pelo serviço de nuvem. Para fazer isso, use uma das seguintes sintaxes de comando:
New-MSOLFederatedDomain -domainname <domain name> -supportmultipledomain
Convert-MSOLDomainToFederated -domainname <domain name> -supportmultipledomain
Observação
Neste comando, <o nome> de domínio representa o nome do domínio que você está tentando federar.
Solução alternativa
Implemente um farm do Serviço de Federação do AD FS para federar todos os domínios de serviço de nuvem para os quais os recursos do SSO serão usados. As diretrizes de implementação do AD FS para Office 365 podem ser encontradas no seguinte artigo:
Diretrizes de implementação passo a passo: planeje e implante Serviços de Federação do Active Directory (AD FS) 2.0 para uso com logon único
Entre em contato conosco para obter ajuda
Se você tiver dúvidas ou precisar de ajuda, crie uma solicitação de suporte ou peça ajuda à comunidade de suporte do Azure. Você também pode enviar comentários sobre o produto para a comunidade de comentários do Azure.
Comentários
Em breve: Ao longo de 2024, eliminaremos os problemas do GitHub como o mecanismo de comentários para conteúdo e o substituiremos por um novo sistema de comentários. Para obter mais informações, consulte https://aka.ms/ContentUserFeedback.
Enviar e exibir comentários de