更新或修復 Microsoft 365、Azure 或 Intune 中同盟網域的設定

  • 發行項
  • 適用於:
    Cloud Services (Web roles/Worker roles), Azure Active Directory, Microsoft Intune, Azure Backup, Microsoft 365

簡介

單一登錄 (Microsoft 雲端服務中的 SSO) ,例如 Microsoft 365、Microsoft Azure 或 Microsoft Intune,取決於可正常運作的 Active Directory 同盟服務 (AD FS) 內部部署。 有數個案例需要重建AD FS中同盟網域的設定,以修正技術問題。 本文包含如何更新或修復同盟網域設定的逐步指引。

其他相關資訊

如何更新同盟網域的設定

在下列 Microsoft 知識庫文章所述的案例中,必須更新同盟網域的設定。

  • 2713898 當同盟使用者登入 Microsoft 365、Azure 或 Intune 時,AD FS 的「存取網站時發生問題」錯誤
  • 2535191當同盟用戶嘗試登入 Microsoft 365、Azure 或 Intune 時,發生「很抱歉,我們無法將您登入」和「80048163」錯誤 Intune
  • 2647020 當同盟用戶嘗試登入 Microsoft 365、Azure 或 Intune 時,發生「很抱歉,我們無法將您登入」和「80041317」或「80043431」錯誤

注意事項

自 2024 年 3 月 30 日起,Azure AD 和 MSOnline PowerShell 模組已被取代。 若要深入瞭解,請閱讀 淘汰更新。 在此日期之後,這些模組的支援僅限於 Microsoft Graph PowerShell SDK 的移轉協助和安全性修正。 已淘汰的模組會繼續運作到 2025 年 3 月 30 日。

建議您移轉至 Microsoft Graph PowerShell,以與 Microsoft Entra ID (先前的 Azure AD) 互動。 如需常見的移轉問題,請參閱 移轉常見問題注意: 1.0.x 版的 MSOnline 可能會在 2024 年 6 月 30 日之後中斷。

若要在已安裝適用於 Windows PowerShell 的 Azure Active Directory 模組已加入網域的計算機上更新同盟網域的設定,請遵循下列步驟:

  1. 依序按兩下 [開始]、[所有程式][Windows Azure Active Directory] 和 [Windows Azure Active Directory 模組] 以取得 Windows PowerShell

  2. 在命令提示字元中,輸入下列命令,然後在每個命令之後按 Enter:

    $cred = get-credential

    注意事項

    當系統提示您時,請輸入您的雲端服務系統管理員認證。

    Connect-MSOLService –credential:$cred

    Set-MSOLADFSContext –Computer: <AD FS 2.0 ServerName>

    注意事項

    在此命令中,佔位元 <AD FS 2.0 伺服器名稱> 代表主要 AD FS 伺服器的 Windows 主機名。

    Update-MSOLFederatedDomain –DomainName: <Federated Domain Name>


    Update-MSOLFederatedDomain –DomainName: <Federated Domain Name> –supportmultipledomain

    注意事項

    • 使用相同的 AD FS 同盟服務來同盟多個最上層網域時,需要使用 –supportmultipledomain 參數。
    • 在這些命令中,佔位元同盟 <功能變數名稱> 代表已同盟的網域名稱。

重要事項

腳本可用來定期自動更新同盟元數據,以確保AD FS令牌簽署憑證的變更已正確複寫。

腳本會在主要 AD FS 伺服器上建立 Windows 排程工作,以確保 AD FS 設定的變更,例如信任資訊、簽署憑證更新等,會定期傳播到 Microsoft Entra ID。

如果在實作腳本的環境中自動更新令牌簽署憑證,腳本將會更新雲端信任資訊,以避免因過期的雲端憑證資訊而導致停機。

如何修復同盟網域的設定

在下列 Microsoft 知識庫文章所述的案例中,必須修復同盟網域的設定。

  • 2523494當您嘗試登入 Microsoft 365、Azure 或 Intune 時,會收到來自 AD FS 的憑證警告
  • 您嘗試在 Microsoft 365、Azure 或 Intune 中設定另一個同盟網域時,2618887「AD FS 2.0 伺服器中指定的同盟服務標識符已在使用中」錯誤 Intune
  • 2713898 當同盟使用者登入 Microsoft 365、Azure 或 Intune 時,AD FS 的「存取網站時發生問題」錯誤
  • 2647020 當同盟用戶嘗試登入 Microsoft 365 時,發生「您的組織無法將您登入此服務」錯誤和「80041317」或「80043431」錯誤碼
  • AD FS 中的同盟服務名稱會變更。

若要在已安裝適用於 Windows PowerShell 的 Azure Active Directory 模組已加入網域的計算機上修復同盟網域設定,請遵循下列步驟。

警告

  • 下列程式會 移除使用用戶端位置限制對 Microsoft 365 服務的存取所建立的任何自定義專案。 修復同盟網域的設定之後,您可能必須重新設定有限的 AD FS 存取。
  • 下列步驟應謹慎規劃。 在同盟網域中啟用 SSO 功能的使用者將無法在此作業期間進行驗證,從步驟 4 完成到步驟 5 完成為止。 如果未成功遵循步驟 1 中的 update-MSOLFederatedDomain Cmdlet 測試,則步驟 5 將無法正確完成。 在 update-MSOLFederatedDomain Cmdlet 可以成功執行之前,同盟使用者將無法進行驗證。
  1. 執行本文稍早一節中的步驟,以確定 update-MSOLFederatedDomain Cmdlet 已順利完成。
    • 如果 Cmdlet 未順利完成,請勿繼續進行此程式。 請改為參閱本文稍後的一節,以針對問題進行疑難解答。
    • 如果 Cmdlet 順利完成,請讓 [命令提示字元] 視窗保持開啟以供稍後使用。
  2. 登入AD FS 伺服器。 若要這樣做,請按兩下 [ 開始],指向 [ 所有程式],指向 [ 系統管理工具],然後按兩下 [AD FS (2.0) 管理]
  3. 在左側流覽窗格中,按兩下 [AD FS (2.0) ],按兩下 [信任關係 ],然後按兩下 [ 信賴憑證者信任]
  4. 在最右邊的窗格中,刪除 [Microsoft Office 365 身分識別平臺] 專案。
  5. 在您在步驟 1 中開啟的 Windows PowerShell 視窗中,重新建立已刪除的信任物件。 若要這樣做,請執行下列命令,然後按 Enter:
    Update-MSOLFederatedDomain -DomainName <Federated Domain Name>

    Update-MSOLFederatedDomain –DomainName:<Federated Domain Name> –supportmultipledomain

    注意事項

    • 使用相同的 AD FS 同盟服務來同盟多個最上層網域時,需要使用 –supportmultipledomain 參數。
    • 在這些命令中,佔位元同盟 <功能變數名稱> 代表已同盟的網域名稱。

更新或修復同盟網域時可能會遇到的已知問題

下列案例會在您更新或修復同盟網域時造成問題:

  • 您無法使用 Windows PowerShell 連線。 如需此問題的詳細資訊,請參閱下列 Microsoft 知識庫文章:

    2494043您無法使用適用於 Windows PowerShell 的 Azure Active Directory 模組進行連線

  • 因為缺少必要條件,所以無法載入適用於 Windows PowerShell的 Azure Active Directory 模組。 如需詳細資訊,請參閱下列 Microsoft 知識庫文章:

    2461873您無法開啟適用於 Windows PowerShell 的 Azure Active Directory 模組

  • 當您嘗試執行 set-MSOLADFSContext Cmdlet 時,會收到「拒絕存取」錯誤訊息。 如需詳細資訊,請參閱下列 Microsoft 知識庫文章:

    2587730 當您使用 Set-MsolADFSContext Cmdlet 時發生「Active Directory 同盟服務 2.0 伺服器的連線<>失敗」錯誤

是否仍需要協助? 移至 Microsoft 社群Microsoft Entra 論壇網站。