當您嘗試在 Office 365、Azure 或 Intune 中設定另一個同盟網域時發生錯誤:AD FS 2.0 伺服器中指定的同盟服務標識碼已在使用中

  • 發行項

本文提供有關解決使用適用於 Windows PowerShell 的 Azure Active Directory 模組執行命令或Convert-MSOLDomainToFederated命令時New-MSOLFederatedDomain收到錯誤訊息的問題。

              原始產品版本:雲端服務 (Web 角色/工作角色)、Microsoft Entra ID、Microsoft Intune、Azure 備份、Office 365 身分識別管理
原始 KB 編號: 2618887

注意事項

自 2024 年 3 月 30 日起,Azure AD 和 MSOnline PowerShell 模組已被取代。 若要深入瞭解,請閱讀 淘汰更新。 在此日期之後,這些模組的支援僅限於 Microsoft Graph PowerShell SDK 的移轉協助和安全性修正。 已淘汰的模組會繼續運作到 2025 年 3 月 30 日。

建議您移轉至 Microsoft Graph PowerShell,以與 Microsoft Entra ID (先前的 Azure AD) 互動。 如需常見的移轉問題,請參閱 移轉常見問題注意: 1.0.x 版的 MSOnline 可能會在 2024 年 6 月 30 日之後中斷。

徵狀

在 Office 365、Microsoft Azure 或 Microsoft Intune 等 Microsoft 雲端服務中,您無法在 Active Directory 同盟服務 (AD FS) 伺服器上設定第二個同盟網域。 當您使用適用於 Windows PowerShell 的 Azure Active Directory 模組來New-MSOLFederatedDomain執行命令或Convert-MSOLDomainToFederated命令時,您會收到下列錯誤訊息:

Active Directory 同盟服務 2.0 伺服器中指定的同盟服務標識碼已在使用中。 請在AD FS 2.0管理控制台中更正此值,然後再次執行命令。

原因

Microsoft Entra 驗證系統需要每個同盟網域的唯一同盟品牌統一資源標識碼 (URI) 。 根據預設,AD FS 會針對所有同盟信任使用全域值。 當您嘗試在同盟信任已存在的案例中建立第二個網域的同盟時,要求會失敗,因為 URI 已經在使用中。

解決方案

若要解決此問題,您必須使用 -supportmultipledomain 參數來新增或轉換雲端服務同盟的每個網域。 這包括已存在的同盟網域。

步驟 1:安裝 AD FS 2.0 的更新匯總 1

在AD FS 2.0 同盟服務伺服器陣列的每個節點上,下載並安裝AD FS 2.0的更新匯總1。 如需如何下載及安裝 AD FS 2.0 更新匯總 1 的詳細資訊,請參閱 Active Directory 同盟服務 (AD FS) 2.0 的更新匯總 1 描述

注意事項

此更新需要重新啟動電腦。 如果您未重新啟動計算機,當同盟用戶嘗試登入 Office 365、Azure 或 Intune 時,您會遇到「很抱歉,我們無法將您登入」和「8004789A」錯誤

步驟 2:檢查 Update-MSOLFederatedDomain 命令是否可針對 AD FS 環境成功執行

  1. 取 [啟動>所有程式>] [Windows Azure Active Directory],以滑鼠右鍵按兩下適用於 Windows PowerShell 的 Windows Azure Active Directory 模組,然後選取 [以系統管理員身分執行]

  2. 在命令提示字元中,依照它們的呈現順序執行下列命令。 在每個命令之後按 Enter 鍵。

    Connect-MSOLService

    注意事項

    當系統提示您時, 請輸入 您的雲端服務全域系統管理員認證。

    Set-MSOLADFSContext -Computer <AD FS 2.0 server name>

    注意事項

    在此命令中, <AD FS 2.0 伺服器名稱> 是AD FS 同盟服務伺服器數位中節點的電腦名稱。

    Update-MSOLFederatedDomain -DomainName <Federated Domain Name>

    注意事項

    在此命令中,<同盟功能變數名稱>是已與單一登錄 (SSO) Microsoft Entra ID 同盟的網域名稱。

  3. Update-MSOLFederatedDomain如果命令成功,而且您未收到錯誤訊息,請移至步驟 3,從 AD FS 伺服器移除同盟信任。

步驟 3:更新 AD FS 伺服器上的同盟信任

警告

下列步驟應謹慎規劃。 在同盟網域中啟用 SSO 功能的使用者將無法在完成步驟 C 和 D 之間進行驗證。 Update-MSOLFederatedDomain 如果步驟 2 中的命令測試未順利完成,則此程式的步驟 D 將無法正確完成。 在命令成功執行之前, Update-MSOLFederatedDomain 同盟使用者將無法進行驗證。

  1. 登入 AD FS 伺服器的控制台,選取 [ 啟動>所有程式>管理工具],然後選取 [A D FS (2.0) 管理]

  2. 在左側瀏覽窗格中,選取 [AD FS (2.0) ],選取 [ 信任關係],然後選取 [ 信賴憑證者信任]

  3. 在右側窗格中,刪除 [Microsoft Office 365 身分識別平臺] 專案。

  4. 使用 -supportmultipledomain 參數重新建立已刪除的信任物件。 在從步驟 1C 開啟的 PowerShell 視窗中,執行下列命令,然後按 Enter

    Update-MSOLFederatedDomain -DomainName <Federated Domain Name> -supportmultipledomain

注意事項

在此命令中, <同盟功能變數名稱> 是已與雲端服務同盟的 SSO 網域名稱。

步驟 4:使用 -supportmultipledomain 參數來新增或轉換其他同盟網域

更新步驟 2 中的現有信任之後,請使用 -supportmultipledomain 參數來新增或轉換其他同盟網域。 此參數會通知命令針對雲端服務同盟的每個網域使用唯一的 URI 命名空間。 若要這樣做,請使用下列其中一個命令語法:

New-MSOLFederatedDomain -domainname <domain name> -supportmultipledomain

Convert-MSOLDomainToFederated -domainname <domain name> -supportmultipledomain

注意事項

在此命令中, <功能變數名稱> 代表您嘗試同盟的網域名稱。

因應措施

實作AD FS 同盟服務伺服器數位,以同盟將使用SSO功能的每個雲端服務網域。 您可以在下列文章中找到適用於 Office 365 的 AD FS 實作指導方針:

逐步實作指引:規劃和部署 Active Directory 同盟服務 2.0 以搭配單一登錄使用

與我們連絡,以取得說明

如果您有問題或需要相關協助,請建立支援要求,或詢問 Azure community 支援。 您也可以將產品意見反應提交給 Azure 意應見反社群