Compartir a través de

Actualizar o reparar la configuración de un dominio federado en Microsoft 365, Azure o Intune

  • Se aplica a: Cloud Services (Web roles/Worker roles), Azure Active Directory, Microsoft Intune, Azure Backup, Microsoft 365

Introducción

El inicio de sesión único (SSO) en un servicio en la nube de Microsoft, como Microsoft 365, Microsoft Azure o Microsoft Intune, depende de una implementación local de Servicios de federación de Active Directory (AD FS) que funcione correctamente. Varios escenarios requieren volver a generar la configuración del dominio federado en AD FS para corregir problemas técnicos. Este artículo contiene instrucciones paso a paso sobre cómo actualizar o reparar la configuración del dominio federado.

Información adicional

Actualización de la configuración del dominio federado

La configuración del dominio federado debe actualizarse en los escenarios que se describen en los siguientes artículos de Microsoft Knowledge Base.

  • 2713898 "Hubo un problema al acceder al sitio" de AD FS cuando un usuario federado inicia sesión en Microsoft 365, Azure o Intune
  • 2535191 error ""Lo sentimos, pero tenemos problemas para iniciar sesión" y "80048163" cuando un usuario federado intenta iniciar sesión en Microsoft 365, Azure o Intune
  • 2647020 error "Lo sentimos, pero tenemos problemas para iniciar sesión" y "80041317" o "80043431" cuando un usuario federado intenta iniciar sesión en Microsoft 365, Azure o Intune

Nota:

Los módulos de PowerShell de Azure AD y MSOnline están en desuso a partir del 30 de marzo de 2024. Para obtener más información, lea la notificación de obsolescencia. Desde esta fecha, el soporte de estos módulos se limita a la asistencia de migración al SDK de PowerShell de Microsoft Graph y a las correcciones de seguridad. Los módulos obsoletos seguirán funcionando hasta el 30 de marzo de 2025.

Se recomienda migrar a Microsoft Graph PowerShell para interactuar con el identificador de Entra de Microsoft (anteriormente Azure AD). Para preguntas comunes sobre la migración, consulta las Preguntas más frecuentes sobre migración. Nota: Las versiones 1.0.x de MSOnline podrían experimentar interrupciones después del 30 de junio de 2024.

Para actualizar la configuración del dominio federado en un equipo unido a un dominio que tenga instalado el módulo de Azure Active Directory para Windows PowerShell, siga estos pasos:

  1. Haga clic en Inicio, todos los programas, Windows Azure Active Directory y, a continuación, haga clic en Módulo de Windows Azure Active Directory para Windows PowerShell.

  2. En el símbolo del sistema, escriba los siguientes comandos y presione Intro después de cada comando.

    $cred = get-credential

    Nota:

    Cuando se le solicite, escriba las credenciales de administrador del servicio en la nube.

    Connect-MSOLService –credential:$cred

    Set-MSOLADFSContext –Computer: <AD FS 2.0 ServerName>

    Nota:

    En este comando, el marcador de posición <AD FS 2.0 Server Name> representa el nombre de host de Windows del servidor principal de AD FS.

    Update-MSOLFederatedDomain –DomainName: <Federated Domain Name>

    o

    Update-MSOLFederatedDomain –DomainName: <Federated Domain Name> –supportmultipledomain

    Nota:

    • El uso del modificador –supportmultipledomain es necesario cuando se federan varios dominios de nivel superior mediante el mismo servicio de federación de AD FS.
    • En estos comandos, el marcador de posición <Nombre de dominio federado> representa el nombre del dominio que ya está federado.

Importante

Hay un script disponible para automatizar la actualización de metadatos de federación periódicamente para asegurarse de que los cambios en el certificado de firma de tokens de AD FS se replican correctamente.

El script crea una tarea programada de Windows en el servidor de AD FS principal para asegurarse de que los cambios en la configuración de AD FS, como la información de confianza, las actualizaciones de certificados de firma, etc. se propagan periódicamente al identificador de Microsoft Entra.

Si el certificado de firma de tokens se renueva automáticamente en un entorno en el que se implementa el script, el script actualizará la información de confianza en la nube para evitar el tiempo de inactividad causado por la información de certificado en la nube obsoleta.

Reparación de la configuración del dominio federado

La configuración del dominio federado debe repararse en los escenarios que se describen en los siguientes artículos de Microsoft Knowledge Base.

  • 2523494 Recibe una advertencia de certificado de AD FS al intentar iniciar sesión en Microsoft 365, Azure o Intune.
  • 2618887 "El identificador de servicio de federación especificado en el servidor de AD FS 2.0 ya está en uso". Error al intentar configurar otro dominio federado en Microsoft 365, Azure o Intune.
  • 2713898 "Hubo un problema al acceder al sitio" de AD FS cuando un usuario federado inicia sesión en Microsoft 365, Azure o Intune
  • 2647020 el error "Su organización no pudo iniciar sesión en este servicio" y el código de error "80041317" o "80043431" cuando un usuario federado intenta iniciar sesión en Microsoft 365
  • Se cambia el nombre del servicio de federación en AD FS.

Para reparar la configuración de dominio federado en un equipo unido a un dominio que tenga instalado el módulo de Azure Active Directory para Windows PowerShell, siga estos pasos.

Advertencia

  • El procedimiento siguiente quita las personalizaciones que se crean limitando el acceso a los servicios de Microsoft 365 mediante la ubicación del cliente. Una vez reparada la configuración del dominio federado, es posible que tenga que volver a configurar el acceso limitado de AD FS.
  • Los pasos siguientes deben planearse cuidadosamente. Los usuarios para los que la funcionalidad de SSO está habilitada en el dominio federado no podrán autenticarse durante esta operación desde la finalización del paso 4 hasta la finalización del paso 5. Si la prueba del cmdlet update-MSOLFederatedDomain en el paso 1 no se sigue correctamente, el paso 5 no finalizará correctamente. Los usuarios federados no podrán autenticarse hasta que el cmdlet update-MSOLFederatedDomain se pueda ejecutar correctamente.
  1. Ejecute los pasos descritos en la sección "Actualización de la configuración de dominio federado" anterior en este artículo para asegurarse de que el cmdlet update-MSOLFederatedDomain finalizó correctamente.
    • Si el cmdlet no finalizó correctamente, no continúe con este procedimiento. En su lugar, consulte la sección "Problemas conocidos que puede encontrar al actualizar o reparar un dominio federado" más adelante en este artículo para solucionar el problema.
    • Si el cmdlet se completa correctamente, deje la ventana de la consola de comandos abierta para su uso posterior.
  2. Inicie sesión en el servidor de AD FS. Para ello, haga clic en Inicio, seleccione Todos los programas, Herramientas administrativas y, a continuación, haga clic en Administración de AD FS (2.0).
  3. En el panel de navegación izquierdo, haga clic en AD FS (2.0), haga clic en Relaciones de confianza, y luego haga clic en Confianzas de terceros.
  4. En el panel de la derecha, elimine la entrada Plataforma de identidad de Microsoft Office 365 .
  5. En la ventana de Windows PowerShell que abrió en el paso 1, vuelva a crear el objeto de confianza eliminado. Para ello, ejecute el siguiente comando y presione Entrar: 
    Update-MSOLFederatedDomain -DomainName <Federated Domain Name>
    o 
    Update-MSOLFederatedDomain –DomainName:<Federated Domain Name> –supportmultipledomain

    Nota:

    • El uso del modificador –supportmultipledomain es necesario cuando se federan varios dominios de nivel superior mediante el mismo servicio de federación de AD FS.
    • En estos comandos, el marcador de posición <Nombre de dominio federado> representa el nombre del dominio que ya está federado.

Problemas conocidos que pueden surgir al actualizar o reparar un dominio federado

Los escenarios siguientes provocan problemas al actualizar o reparar un dominio federado:

  • No se puede conectar mediante Windows PowerShell. Para obtener más información sobre este problema, consulte el siguiente artículo de Microsoft Knowledge Base:

    2494043 No se puede conectar mediante el módulo de Azure Active Directory para Windows PowerShell

  • El módulo de Azure Active Directory para Windows PowerShell no se puede cargar debido a los requisitos previos que faltan. Para obtener más información, consulte el siguiente artículo de Microsoft Knowledge Base:

    2461873 No se puede abrir el módulo de Azure Active Directory para Windows PowerShell

  • Aparece un mensaje de error "Acceso denegado" al intentar ejecutar el cmdlet set-MSOLADFSContext. Para obtener más información, consulte el siguiente artículo de Microsoft Knowledge Base:

    2587730 "Falló la conexión al servidor <ServerName> de Active Directory Federation Services 2.0" al usar el cmdlet Set-MsolADFSContext

¿Todavía necesitas ayuda? Vaya a Microsoft Community o al sitio web de Foros de Microsoft Entra.