更新或修復 Microsoft 365、Azure 或 Intune 中同盟網域的設定
簡介
單一登錄 (Microsoft 雲端服務中的 SSO) ,例如 Microsoft 365、Microsoft Azure 或 Microsoft Intune,取決於可正常運作的 Active Directory 同盟服務 (AD FS) 內部部署。 有數個案例需要重建AD FS中同盟網域的設定,以修正技術問題。 本文包含如何更新或修復同盟網域設定的逐步指引。
其他相關資訊
如何更新同盟網域的設定
在下列 Microsoft 知識庫文章所述的案例中,必須更新同盟網域的設定。
- 2713898 當同盟使用者登入 Microsoft 365、Azure 或 Intune 時,AD FS 的「存取網站時發生問題」錯誤
- 2535191當同盟用戶嘗試登入 Microsoft 365、Azure 或 Intune 時,發生「很抱歉,我們無法將您登入」和「80048163」錯誤 Intune
- 2647020 當同盟用戶嘗試登入 Microsoft 365、Azure 或 Intune 時,發生「很抱歉,我們無法將您登入」和「80041317」或「80043431」錯誤
注意事項
自 2024 年 3 月 30 日起,Azure AD 和 MSOnline PowerShell 模組已被取代。 若要深入瞭解,請閱讀 淘汰更新。 在此日期之後,這些模組的支援僅限於 Microsoft Graph PowerShell SDK 的移轉協助和安全性修正。 已淘汰的模組會繼續運作到 2025 年 3 月 30 日。
建議您移轉至 Microsoft Graph PowerShell,以與 Microsoft Entra ID (先前的 Azure AD) 互動。 如需常見的移轉問題,請參閱 移轉常見問題。 注意: 1.0.x 版的 MSOnline 可能會在 2024 年 6 月 30 日之後中斷。
若要在已安裝適用於 Windows PowerShell 的 Azure Active Directory 模組已加入網域的計算機上更新同盟網域的設定,請遵循下列步驟:
依序按兩下 [開始]、[所有程式]、[Windows Azure Active Directory] 和 [Windows Azure Active Directory 模組] 以取得 Windows PowerShell。
在命令提示字元中,輸入下列命令,然後在每個命令之後按 Enter:
$cred = get-credential
注意事項
當系統提示您時,請輸入您的雲端服務系統管理員認證。
Connect-MSOLService –credential:$cred
Set-MSOLADFSContext –Computer: <AD FS 2.0 ServerName>
注意事項
在此命令中,佔位元 <AD FS 2.0 伺服器名稱> 代表主要 AD FS 伺服器的 Windows 主機名。
Update-MSOLFederatedDomain –DomainName: <Federated Domain Name>
或
Update-MSOLFederatedDomain –DomainName: <Federated Domain Name> –supportmultipledomain
注意事項
- 使用相同的 AD FS 同盟服務來同盟多個最上層網域時,需要使用 –supportmultipledomain 參數。
- 在這些命令中,佔位元同盟 <功能變數名稱> 代表已同盟的網域名稱。
重要事項
腳本可用來定期自動更新同盟元數據,以確保AD FS令牌簽署憑證的變更已正確複寫。
腳本會在主要 AD FS 伺服器上建立 Windows 排程工作,以確保 AD FS 設定的變更,例如信任資訊、簽署憑證更新等,會定期傳播到 Microsoft Entra ID。
如果在實作腳本的環境中自動更新令牌簽署憑證,腳本將會更新雲端信任資訊,以避免因過期的雲端憑證資訊而導致停機。
如何修復同盟網域的設定
在下列 Microsoft 知識庫文章所述的案例中,必須修復同盟網域的設定。
- 2523494當您嘗試登入 Microsoft 365、Azure 或 Intune 時,會收到來自 AD FS 的憑證警告
- 當 您嘗試在 Microsoft 365、Azure 或 Intune 中設定另一個同盟網域時,2618887「AD FS 2.0 伺服器中指定的同盟服務標識符已在使用中」錯誤 Intune
- 2713898 當同盟使用者登入 Microsoft 365、Azure 或 Intune 時,AD FS 的「存取網站時發生問題」錯誤
- 2647020 當同盟用戶嘗試登入 Microsoft 365 時,發生「您的組織無法將您登入此服務」錯誤和「80041317」或「80043431」錯誤碼
- AD FS 中的同盟服務名稱會變更。
若要在已安裝適用於 Windows PowerShell 的 Azure Active Directory 模組已加入網域的計算機上修復同盟網域設定,請遵循下列步驟。
警告
- 下列程式會 移除使用用戶端位置限制對 Microsoft 365 服務的存取所建立的任何自定義專案。 修復同盟網域的設定之後,您可能必須重新設定有限的 AD FS 存取。
- 下列步驟應謹慎規劃。 在同盟網域中啟用 SSO 功能的使用者將無法在此作業期間進行驗證,從步驟 4 完成到步驟 5 完成為止。 如果未成功遵循步驟 1 中的 update-MSOLFederatedDomain Cmdlet 測試,則步驟 5 將無法正確完成。 在 update-MSOLFederatedDomain Cmdlet 可以成功執行之前,同盟使用者將無法進行驗證。
- 執行本文稍早一節中的步驟,以確定 update-MSOLFederatedDomain Cmdlet 已順利完成。
- 如果 Cmdlet 未順利完成,請勿繼續進行此程式。 請改為參閱本文稍後的一節,以針對問題進行疑難解答。
- 如果 Cmdlet 順利完成,請讓 [命令提示字元] 視窗保持開啟以供稍後使用。
- 登入AD FS 伺服器。 若要這樣做,請按兩下 [ 開始],指向 [ 所有程式],指向 [ 系統管理工具],然後按兩下 [AD FS (2.0) 管理]。
- 在左側流覽窗格中,按兩下 [AD FS (2.0) ],按兩下 [信任關係 ],然後按兩下 [ 信賴憑證者信任]。
- 在最右邊的窗格中,刪除 [Microsoft Office 365 身分識別平臺] 專案。
- 在您在步驟 1 中開啟的 Windows PowerShell 視窗中,重新建立已刪除的信任物件。 若要這樣做,請執行下列命令,然後按 Enter:
或Update-MSOLFederatedDomain -DomainName <Federated Domain Name>
Update-MSOLFederatedDomain –DomainName:<Federated Domain Name> –supportmultipledomain
注意事項
- 使用相同的 AD FS 同盟服務來同盟多個最上層網域時,需要使用 –supportmultipledomain 參數。
- 在這些命令中,佔位元同盟 <功能變數名稱> 代表已同盟的網域名稱。
更新或修復同盟網域時可能會遇到的已知問題
下列案例會在您更新或修復同盟網域時造成問題:
您無法使用 Windows PowerShell 連線。 如需此問題的詳細資訊,請參閱下列 Microsoft 知識庫文章:
2494043您無法使用適用於 Windows PowerShell 的 Azure Active Directory 模組進行連線
因為缺少必要條件,所以無法載入適用於 Windows PowerShell的 Azure Active Directory 模組。 如需詳細資訊,請參閱下列 Microsoft 知識庫文章:
2461873您無法開啟適用於 Windows PowerShell 的 Azure Active Directory 模組
當您嘗試執行 set-MSOLADFSContext Cmdlet 時,會收到「拒絕存取」錯誤訊息。 如需詳細資訊,請參閱下列 Microsoft 知識庫文章:
2587730 當您使用 Set-MsolADFSContext Cmdlet 時發生「Active Directory 同盟服務 2.0 伺服器的連線<>失敗」錯誤
是否仍需要協助? 移至 Microsoft 社群或 Microsoft Entra 論壇網站。
意見反應
https://aka.ms/ContentUserFeedback。
即將登場:在 2024 年,我們將逐步淘汰 GitHub 問題作為內容的意見反應機制,並將它取代為新的意見反應系統。 如需詳細資訊,請參閱:提交並檢視相關的意見反應