Microsoft 365, Azure veya Intune'da federasyon etki alanının ayarlarını güncelleştirme veya onarma

  • Makale
  • Şunlara uygulanır:
    Cloud Services (Web roles/Worker roles), Azure Active Directory, Microsoft Intune, Azure Backup, Microsoft 365

Giriş

Microsoft 365, Microsoft Azure veya Microsoft Intune gibi bir Microsoft bulut hizmetinde çoklu oturum açma (SSO), doğru çalışan bir şirket içi Active Directory Federasyon Hizmetleri (AD FS) (AD FS) dağıtımına bağlıdır. Çeşitli senaryolar, teknik sorunları düzeltmek için AD FS'de federasyon etki alanının yapılandırmasını yeniden derlemeyi gerektirir. Bu makalede, federasyon etki alanının yapılandırmasını güncelleştirme veya onarma hakkında adım adım yönergeler yer alır.

Daha fazla bilgi

Federasyon etki alanının yapılandırmasını güncelleştirme

Federasyon etki alanının yapılandırması, aşağıdaki Microsoft Bilgi Bankası makalelerinde açıklanan senaryolarda güncelleştirilmelidir.

  • Federasyon kullanıcısı Microsoft 365, Azure veya Intune oturum açtığında AD FS'den "Siteye erişilirken bir sorun oluştu" hatasını 2713898
  • Federasyon kullanıcısı Microsoft 365, Azure veya Intune oturum açmaya çalıştığında ""Üzgünüz, ancak oturum açarken sorun yaşıyoruz" ve "80048163" hatasını 2535191
  • Federasyon kullanıcısı Microsoft 365, Azure veya Intune'da oturum açmaya çalıştığında "Üzgünüz, ancak oturum açarken sorun yaşıyoruz" ve "80041317" veya "80043431" hatasını 2647020

Not

Azure AD ve MSOnline PowerShell modülleri 30 Mart 2024 itibarıyla kullanım dışı bırakılmıştır. Daha fazla bilgi edinmek için kullanımdan kaldırma güncelleştirmesini okuyun. Bu tarihten sonra bu modüllere yönelik destek, Microsoft Graph PowerShell SDK'sına geçiş yardımı ve güvenlik düzeltmeleriyle sınırlıdır. Kullanım dışı bırakılan modüller Mart 30 2025'e kadar çalışmaya devam edecektir.

Microsoft Entra ID (eski adıyla Azure AD) ile etkileşime geçmek için Microsoft Graph PowerShell'e geçiş öneririz. Sık sorulan geçiş soruları için Bkz. Geçiş SSS. Not: MSOnline'ın 1.0.x sürümleri 30 Haziran 2024'den sonra kesintiye neden olabilir.

Windows PowerShell için Azure Active Directory modülünün yüklü olduğu etki alanına katılmış bir bilgisayarda federasyon etki alanının yapılandırmasını güncelleştirmek için şu adımları izleyin:

  1. Başlat'a tıklayın, Tüm Programlar'a tıklayın, Windows Azure Active Directory'ye tıklayın ve ardından Windows PowerShell için Windows Azure Active Directory modülü'ne tıklayın.

  2. Komut isteminde aşağıdaki komutları yazın ve her komutun ardından Enter tuşuna basın:

    $cred = get-credential

    Not

    İstendiğinde bulut hizmeti yöneticisi kimlik bilgilerinizi girin.

    Connect-MSOLService –credential:$cred

    Set-MSOLADFSContext –Computer: <AD FS 2.0 ServerName>

    Not

    Bu komutta, AD FS 2.0 Sunucu Adı> yer tutucusu<, birincil AD FS sunucusunun Windows ana bilgisayar adını temsil eder.

    Update-MSOLFederatedDomain –DomainName: <Federated Domain Name>

    veya

    Update-MSOLFederatedDomain –DomainName: <Federated Domain Name> –supportmultipledomain

    Not

    • Aynı AD FS federasyon hizmeti kullanılarak birden çok üst düzey etki alanı birleştirilirken –supportmultipledomain anahtarının kullanılması gerekir.
    • Bu komutlarda, Federasyon Etki Alanı Adı> yer tutucusu < zaten federasyon olan etki alanının adını temsil eder.

Önemli

AD FS belirteç imzalama sertifikasındaki değişikliklerin doğru çoğaltıldığından emin olmak için federasyon meta verilerinin düzenli olarak güncelleştirilmesini otomatikleştirmek için bir betik kullanılabilir.

Betik, ad FS yapılandırmasında güven bilgileri, imzalama sertifikası güncelleştirmeleri gibi değişikliklerin düzenli olarak Microsoft Entra ID yayıldığından emin olmak için birincil AD FS sunucusunda bir Windows zamanlanmış görevi oluşturur.

Belirteç imzalama sertifikası betiğin uygulandığı bir ortamda otomatik olarak yenilenirse, betik güncel olmayan bulut sertifikası bilgilerinden kaynaklanan kapalı kalma süresini önlemek için bulut güven bilgilerini güncelleştirir.

Federasyon etki alanının yapılandırmasını onarma

Federasyon etki alanının yapılandırması, aşağıdaki Microsoft Bilgi Bankası makalelerinde açıklanan senaryolarda onarılmalıdır.

  • 2523494 Microsoft 365, Azure veya Intune oturum açmaya çalıştığınızda AD FS'den sertifika uyarısı alıyorsunuz
  • 2618887 Microsoft 365, Azure veya Intune başka bir federasyon etki alanı ayarlamaya çalıştığınızda "AD FS 2.0 sunucusunda belirtilen federasyon hizmeti tanımlayıcısı zaten kullanılıyor." hatası
  • Federasyon kullanıcısı Microsoft 365, Azure veya Intune oturum açtığında AD FS'den "Siteye erişilirken bir sorun oluştu" hatasını 2713898
  • 2647020 "Kuruluşunuz bu hizmette oturum açamadı" hatası ve federasyon kullanıcısı Microsoft 365'te oturum açmaya çalıştığında "80041317" veya "80043431" hata kodu
  • AD FS'deki Federasyon Hizmeti adı değiştirilir.

Windows PowerShell için Azure Active Directory modülünün yüklü olduğu, etki alanına katılmış bir bilgisayarda federasyon etki alanı yapılandırmasını onarmak için aşağıdaki adımları izleyin.

Uyarı

  • Aşağıdaki yordam, istemcinin konumunu kullanarak Microsoft 365 hizmetlerine erişimi sınırlayarak oluşturulan özelleştirmeleri kaldırır. Federasyon etki alanının yapılandırması onarıldıktan sonra sınırlı AD FS erişimini yeniden yapılandırmanız gerekebilir.
  • Aşağıdaki adımlar dikkatle planlanmalıdır. Federasyon etki alanında SSO işlevselliğinin etkinleştirildiği kullanıcılar, 4. adımın tamamlanmasından 5. adımın tamamlanmasına kadar bu işlem sırasında kimlik doğrulaması yapamaz. 1. adımdaki update-MSOLFederatedDomain cmdlet testi başarıyla izlenmezse, 5. adım doğru tamamlanmaz. Federasyon kullanıcıları update-MSOLFederatedDomain cmdlet'i başarıyla çalıştırılana kadar kimlik doğrulaması yapamaz.
  1. Update-MSOLFederatedDomain cmdlet'inin başarıyla tamamlandığından emin olmak için bu makalenin önceki bölümlerinde yer alan "Federasyon etki alanı yapılandırmasını güncelleştirme" bölümündeki adımları çalıştırın.
    • Cmdlet başarıyla tamamlanmadıysa, bu yordama devam etmeyin. Bunun yerine, sorunu gidermek için bu makalenin devamında yer alan "Federasyon etki alanını güncelleştirirken veya onarırken karşılaşabileceğiniz bilinen sorunlar" bölümüne bakın.
    • Cmdlet başarıyla biterse, daha sonra kullanmak üzere Komut İstemi penceresini açık bırakın.
  2. AD FS sunucusunda oturum açın. Bunu yapmak için Başlat'a tıklayın, Tüm Programlar'ın üzerine gelin, Yönetim Araçları'nın üzerine gelin ve ardından AD FS (2.0) Yönetimi'ne tıklayın.
  3. Sol gezinti bölmesinde AD FS (2.0)'a, Güven İlişkileri'ne ve ardından Bağlı Olan Taraf Güvenleri'ne tıklayın.
  4. En sağdaki bölmede Microsoft Office 365 Kimlik Platformu girişini silin.
  5. 1. adımda açtığınız Windows PowerShell penceresinde silinen güven nesnesini yeniden oluşturun. Bunu yapmak için aşağıdaki komutu çalıştırın ve enter tuşuna basın:
    Update-MSOLFederatedDomain -DomainName <Federated Domain Name>
    veya
    Update-MSOLFederatedDomain –DomainName:<Federated Domain Name> –supportmultipledomain

    Not

    • Aynı AD FS federasyon hizmeti kullanılarak birden çok üst düzey etki alanı birleştirilirken –supportmultipledomain anahtarının kullanılması gerekir.
    • Bu komutlarda, Federasyon Etki Alanı Adı> yer tutucusu < zaten federasyon olan etki alanının adını temsil eder.

Federasyon etki alanını güncelleştirdiğinizde veya onarırken karşılaşabileceğiniz bilinen sorunlar

Aşağıdaki senaryolar, federasyon etki alanını güncelleştirdiğinizde veya onardığınızda sorunlara neden olur:

  • Windows PowerShell kullanarak bağlanamazsınız. Bu sorun hakkında daha fazla bilgi için aşağıdaki Microsoft Bilgi Bankası makalesine bakın:

    2494043 Windows PowerShell için Azure Active Directory modülünü kullanarak bağlanamazsınız

  • Windows PowerShell için Azure Active Directory modülü eksik önkoşullar nedeniyle yüklenemiyor. Daha fazla bilgi için aşağıdaki Microsoft Bilgi Bankası makalesine bakın:

    2461873 Windows PowerShell için Azure Active Directory modülünü açamazsınız

  • set-MSOLADFSContext cmdlet'ini çalıştırmayı denediğinizde "Erişim Reddedildi" hata iletisini alıyorsunuz. Daha fazla bilgi için aşağıdaki Microsoft Bilgi Bankası makalesine bakın:

    Set-MsolADFSContext cmdlet'ini <kullandığınızda "ServerName> Active Directory Federasyon Hizmetleri (AD FS) 2.0 sunucusu bağlantısı başarısız oldu" hatasını 2587730

Yine de yardım mı gerekiyor? Microsoft Topluluğu'na veya Microsoft Entra Forumları web sitesine gidin.