Обновление или исправление параметров федеративного домена в Microsoft 365, Azure или Intune
Введение
Единый вход (SSO) в облачной службе Майкрософт, например Microsoft 365, Microsoft Azure или Microsoft Intune, зависит от правильной работы локального развертывания службы федерации Active Directory (AD FS) (AD FS). В нескольких сценариях требуется перестроить конфигурацию федеративного домена в AD FS для устранения технических проблем. В этой статье содержатся пошаговые инструкции по обновлению или исправлению конфигурации федеративного домена.
Дополнительная информация
Обновление конфигурации федеративного домена
Конфигурацию федеративного домена необходимо обновить в сценариях, описанных в следующих статьях базы знаний Майкрософт.
- 2713898 ошибка "Возникла проблема с доступом к сайту" из AD FS, когда федеративный пользователь входит в Microsoft 365, Azure или Intune
- 2535191 "К сожалению, но у нас возникают проблемы со входом" и "80048163", когда федеративный пользователь пытается войти в Microsoft 365, Azure или Intune
- 2647020 "К сожалению, но у нас возникают проблемы со входом" и "80041317" или "80043431", когда федеративный пользователь пытается войти в Microsoft 365, Azure или Intune
Примечание.
модули PowerShell Azure AD и MSOnline устарели с 30 марта 2024 г. Дополнительные сведения см. в статье Обновление для прекращения поддержки. После этой даты поддержка этих модулей ограничивается поддержкой миграции пакета SDK Для Microsoft Graph PowerShell и исправлениями безопасности. Устаревшие модули будут работать до 30 марта 2025 г.
Мы рекомендуем выполнить миграцию в Microsoft Graph PowerShell для взаимодействия с Microsoft Entra ID (ранее Azure AD). Распространенные вопросы о миграции см. в разделе Вопросы и ответы о миграции. Примечание: В версиях 1.0.x MSOnline может возникнуть сбой после 30 июня 2024 г.
Чтобы обновить конфигурацию федеративного домена на присоединенном к домену компьютере с установленным модулем Azure Active Directory для Windows PowerShell, выполните следующие действия.
Нажмите кнопку Пуск, выберите Все программы, Windows Azure Active Directory, а затем — модуль Windows Azure Active Directory для Windows PowerShell.
В командной строке введите следующие команды и нажмите клавишу ВВОД после каждой команды:
$cred = get-credential
Примечание.
При появлении запроса введите учетные данные администратора облачной службы.
Connect-MSOLService –credential:$cred
Set-MSOLADFSContext –Computer: <AD FS 2.0 ServerName>
Примечание.
В этой команде заполнитель <ИМЯ сервера> AD FS 2.0 представляет имя узла Windows основного сервера AD FS.
Update-MSOLFederatedDomain –DomainName: <Federated Domain Name>
или
Update-MSOLFederatedDomain –DomainName: <Federated Domain Name> –supportmultipledomain
Примечание.
- Использование параметра –supportmultipledomain требуется, если несколько доменов верхнего уровня объединены в федерацию с помощью одной службы федерации AD FS.
- В этих командах заполнитель <Федеративное доменное имя> представляет имя домена, который уже является федеративной.
Важно!
Доступен скрипт для регулярной автоматизации обновления метаданных федерации, чтобы убедиться, что изменения в сертификате подписи маркера AD FS реплицируются правильно.
Скрипт создает запланированную задачу Windows на основном сервере AD FS, чтобы убедиться, что изменения в конфигурации AD FS, такие как сведения о доверии, обновления сертификатов подписи и т. д., регулярно распространяются на Microsoft Entra ID.
Если сертификат подписи маркеров автоматически обновляется в среде, где реализован скрипт, скрипт обновит сведения о доверии к облаку, чтобы предотвратить простои, вызванные устаревшими сведениями об облачном сертификате.
Восстановление конфигурации федеративного домена
Конфигурацию федеративного домена необходимо исправить в сценариях, описанных в следующих статьях базы знаний Майкрософт.
- 2523494 при попытке входа в Microsoft 365, Azure или Intune вы получаете предупреждение о сертификате от AD FS
- 2618887 при попытке настроить другой федеративный домен в Microsoft 365, Azure или Intune
- 2713898 ошибка "Возникла проблема с доступом к сайту" из AD FS, когда федеративный пользователь входит в Microsoft 365, Azure или Intune
- 2647020 ошибка "Вашей организации не удалось войти в эту службу" и "80041317" или "80043431", когда федеративный пользователь пытается войти в Microsoft 365
- Имя службы федерации в AD FS изменено.
Чтобы восстановить конфигурацию федеративного домена на присоединенном к домену компьютере с установленным модулем Azure Active Directory для Windows PowerShell, выполните следующие действия.
Предупреждение
- Следующая процедура удаляет все настройки, созданные путем ограничения доступа к службам Microsoft 365 с помощью расположения клиента. После восстановления конфигурации федеративного домена может потребоваться перенастроить ограниченный доступ AD FS.
- Следующие шаги следует тщательно спланировать. Пользователи, для которых включена функция единого входа в федеративном домене, не смогут пройти проверку подлинности во время этой операции с момента выполнения шага 4 до завершения шага 5. Если тест командлета update-MSOLFederatedDomain на шаге 1 не выполнен успешно, шаг 5 завершится неправильно. Федеративные пользователи не смогут пройти проверку подлинности, пока не удастся успешно запустить командлет update-MSOLFederatedDomain.
- Выполните действия, описанные в разделе "Обновление конфигурации федеративного домена" ранее в этой статье, чтобы убедиться, что командлет update-MSOLFederatedDomain успешно завершен.
- Если командлет не завершился успешно, не продолжайте эту процедуру. Вместо этого см. раздел "Известные проблемы, которые могут возникнуть при обновлении или восстановлении федеративного домена" далее в этой статье, чтобы устранить проблему.
- Если командлет завершится успешно, оставьте окно командной строки открытым для последующего использования.
- Войдите на сервер AD FS. Для этого нажмите кнопку Пуск, выберите Пункт Все программы, Администрирование, а затем — Управление AD FS (2.0).
- В области навигации слева щелкните AD FS (2.0), щелкните Отношения доверия, а затем щелкните Отношения доверия с проверяющей стороной.
- В крайней правой области удалите запись Microsoft Office 365 Identity Platform.
- В окне Windows PowerShell, открытом на шаге 1, повторно создайте удаленный объект доверия. Для этого выполните следующую команду и нажмите клавишу ВВОД:
илиUpdate-MSOLFederatedDomain -DomainName <Federated Domain Name>
Update-MSOLFederatedDomain –DomainName:<Federated Domain Name> –supportmultipledomain
Примечание.
- Использование параметра –supportmultipledomain требуется, если несколько доменов верхнего уровня объединены в федерацию с помощью одной службы федерации AD FS.
- В этих командах заполнитель <Федеративное доменное имя> представляет имя домена, который уже является федеративной.
Известные проблемы, которые могут возникнуть при обновлении или исправлении федеративного домена
При обновлении или восстановлении федеративного домена проблемы возникают в следующих сценариях:
Подключение с помощью Windows PowerShell невозможно. Дополнительные сведения об этой проблеме см. в следующей статье базы знаний Майкрософт:
2494043 Невозможно подключиться с помощью модуля Azure Active Directory для Windows PowerShell
Модуль Azure Active Directory для Windows PowerShell не удается загрузить из-за отсутствия необходимых компонентов. Дополнительные сведения см. в следующей статье базы знаний Майкрософт:
2461873 Модуль Azure Active Directory для Windows PowerShell
При попытке запустить командлет set-MSOLADFSContext появляется сообщение об ошибке "Доступ запрещен". Дополнительные сведения см. в следующей статье базы знаний Майкрософт:
2587730 ошибка "Сбой подключения к <серверу ServerName> службы федерации Active Directory (AD FS) 2.0" при использовании командлета Set-MsolADFSContext
Требуется дополнительная помощь? Перейдите на веб-сайт Сообщества Майкрософт или на веб-сайт форумов Microsoft Entra.
Обратная связь
https://aka.ms/ContentUserFeedback.
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделеОтправить и просмотреть отзыв по