Mettre à jour ou réparer les paramètres d’un domaine fédéré dans Microsoft 365, Azure ou Intune

• S’applique à:

  Cloud Services (Web roles/Worker roles), Azure Active Directory, Microsoft Intune, Azure Backup, Microsoft 365

Introduction

L’authentification unique (SSO) dans un service cloud Microsoft tel que Microsoft 365, Microsoft Azure ou Microsoft Intune dépend d’un déploiement local de Services ADFS (AD FS) qui fonctionne correctement. Plusieurs scénarios nécessitent la reconstruction de la configuration du domaine fédéré dans AD FS pour corriger les problèmes techniques. Cet article contient des instructions pas à pas sur la mise à jour ou la réparation de la configuration du domaine fédéré.

Plus d’informations

Comment mettre à jour la configuration du domaine fédéré

La configuration du domaine fédéré doit être mise à jour dans les scénarios décrits dans les articles suivants de la Base de connaissances Microsoft.

• 2713898 erreur « Il y a eu un problème d’accès au site » à partir d’AD FS lorsqu’un utilisateur fédéré se connecte à Microsoft 365, Azure ou Intune
• 2535191 erreur « Désolé, mais nous avons des problèmes de connexion » et « 80048163 » lorsqu’un utilisateur fédéré tente de se connecter à Microsoft 365, Azure ou Intune
• 2647020 erreur « Désolé, mais nous avons du mal à vous connecter » et « 80041317 » ou « 80043431 » lorsqu’un utilisateur fédéré tente de se connecter à Microsoft 365, Azure ou Intune

Pour mettre à jour la configuration du domaine fédéré sur un ordinateur joint à un domaine sur lequel le module Azure Active Directory est installé pour Windows PowerShell, procédez comme suit :

1. Cliquez sur Démarrer, cliquez sur Tous les programmes, sur Windows Azure Active Directory, puis sur Module Windows Azure Active Directory pour Windows PowerShell.

2. À l’invite de commandes, tapez les commandes suivantes, puis appuyez sur Entrée après chaque commande :

   $cred = get-credential
   

   Remarque

   Lorsque vous y êtes invité, entrez vos informations d’identification d’administrateur de service cloud.

   Connect-MSOLService –credential:$cred
   

   Set-MSOLADFSContext –Computer: <AD FS 2.0 ServerName>
   

   Remarque

   Dans cette commande, le nom> du serveur AD FS 2.0 de l’espace réservé< représente le nom d’hôte Windows du serveur AD FS principal.

   Update-MSOLFederatedDomain –DomainName: <Federated Domain Name>
   

   ou

   Update-MSOLFederatedDomain –DomainName: <Federated Domain Name> –supportmultipledomain 
   

   Remarque

   • L’utilisation du commutateur –supportmultipledomain est requise lorsque plusieurs domaines de niveau supérieur sont fédérés à l’aide du même service de fédération AD FS.
   • Dans ces commandes, le nom > de domaine fédéré de l’espace réservé < représente le nom du domaine qui est déjà fédéré.

Importante

Un script est disponible pour automatiser régulièrement la mise à jour des métadonnées de fédération afin de s’assurer que les modifications apportées au certificat de signature de jeton AD FS sont répliquées correctement.

Le script crée une tâche planifiée Windows sur le serveur AD FS principal pour s’assurer que les modifications apportées à la configuration AD FS, telles que les informations d’approbation, les mises à jour de certificat de signature, etc., sont propagées régulièrement vers Azure Active Directory (Azure AD).

Si le certificat de signature de jeton est automatiquement renouvelé dans un environnement dans lequel le script est implémenté, le script met à jour les informations d’approbation cloud pour éviter un temps d’arrêt provoqué par des informations de certificat cloud obsolètes.

Comment réparer la configuration du domaine fédéré

La configuration du domaine fédéré doit être réparée dans les scénarios décrits dans les articles suivants de la Base de connaissances Microsoft.

• 2523494 Vous recevez un avertissement de certificat d’AD FS lorsque vous essayez de vous connecter à Microsoft 365, Azure ou Intune
• 2618887 « L’identificateur de service de fédération spécifié dans le serveur AD FS 2.0 est déjà utilisé ». Erreur lorsque vous essayez de configurer un autre domaine fédéré dans Microsoft 365, Azure ou Intune
• 2713898 erreur « Il y a eu un problème d’accès au site » à partir d’AD FS lorsqu’un utilisateur fédéré se connecte à Microsoft 365, Azure ou Intune
• 2647020 l’erreur « Votre organisation n’a pas pu vous connecter à ce service » et le code d’erreur « 80041317 » ou « 80043431 » lorsqu’un utilisateur fédéré tente de se connecter à Microsoft 365
• Le nom du service de fédération dans AD FS est modifié. Pour plus d’informations, accédez au site web Microsoft suivant : AD FS 2.0 : Comment modifier le nom du service de fédération

Pour réparer la configuration de domaine fédérée sur un ordinateur joint à un domaine sur lequel le module Azure Active Directory est installé pour Windows PowerShell, procédez comme suit.

Avertissement

• La procédure suivante supprime toutes les personnalisations créées en limitant l’accès aux services Microsoft 365 à l’aide de l’emplacement du client. Une fois la configuration du domaine fédéré réparée, vous devrez peut-être reconfigurer l’accès AD FS limité.
• Les étapes suivantes doivent être planifiées avec soin. Les utilisateurs pour lesquels la fonctionnalité d’authentification unique est activée dans le domaine fédéré ne peuvent pas s’authentifier pendant cette opération à partir de la fin de l’étape 4 jusqu’à la fin de l’étape 5. Si le test de l’applet de commande update-MSOLFederatedDomain à l’étape 1 n’est pas correctement suivi, l’étape 5 ne se termine pas correctement. Les utilisateurs fédérés ne pourront pas s’authentifier tant que l’applet de commande update-MSOLFederatedDomain ne pourra pas être exécutée correctement.

1. Exécutez les étapes décrites dans la section « Mise à jour de la configuration du domaine fédéré » plus haut dans cet article pour vous assurer que l’applet de commande update-MSOLFederatedDomain s’est terminée correctement.
   • Si l’applet de commande n’a pas abouti, ne poursuivez pas cette procédure. Consultez plutôt la section « Problèmes connus que vous pouvez rencontrer lors de la mise à jour ou de la réparation d’un domaine fédéré » plus loin dans cet article pour résoudre le problème.
   • Si l’applet de commande se termine correctement, laissez la fenêtre d’invite de commandes ouverte pour une utilisation ultérieure.
2. Connectez-vous au serveur AD FS. Pour ce faire, cliquez sur Démarrer, pointez sur Tous les programmes, pointez sur Outils d’administration, puis cliquez sur Gestion AD FS (2.0).
3. Dans le volet de navigation gauche, cliquez sur AD FS (2.0), sur Relations d’approbation, puis sur Approbations de partie de confiance.
4. Dans le volet le plus à droite, supprimez l’entrée Microsoft Office 365 Identity Platform.
5. Dans la fenêtre Windows PowerShell que vous avez ouverte à l’étape 1, recréez l’objet d’approbation supprimé. Pour ce faire, exécutez la commande suivante, puis appuyez sur Entrée :

   Update-MSOLFederatedDomain -DomainName <Federated Domain Name>
   

   ou

   Update-MSOLFederatedDomain –DomainName:<Federated Domain Name> –supportmultipledomain
   

   Remarque

   • L’utilisation du commutateur –supportmultipledomain est requise lorsque plusieurs domaines de niveau supérieur sont fédérés à l’aide du même service de fédération AD FS.
   • Dans ces commandes, le nom > de domaine fédéré de l’espace réservé < représente le nom du domaine qui est déjà fédéré.

Problèmes connus que vous pouvez rencontrer lors de la mise à jour ou de la réparation d’un domaine fédéré

Les scénarios suivants provoquent des problèmes lorsque vous mettez à jour ou réparez un domaine fédéré :

• Vous ne pouvez pas vous connecter à l’aide de Windows PowerShell. Pour plus d’informations sur ce problème, consultez l’article suivant de la Base de connaissances Microsoft :

  2494043 Vous ne pouvez pas vous connecter à l’aide du module Azure Active Directory pour Windows PowerShell

• Le module Azure Active Directory pour Windows PowerShell ne peut pas se charger en raison des prérequis manquants. Pour plus d’informations, consultez l’article suivant de la Base de connaissances Microsoft :

  2461873 Vous ne pouvez pas ouvrir le module Azure Active Directory pour Windows PowerShell

• Un message d’erreur « Accès refusé » s’affiche lorsque vous essayez d’exécuter l’applet de commande set-MSOLADFSContext. Pour plus d’informations, consultez l’article suivant de la Base de connaissances Microsoft :

  2587730 erreur « Échec de la connexion au <serveur ServerName> Services ADFS 2.0 » lorsque vous utilisez l’applet de commande Set-MsolADFSContext

Encore besoin d’aide ? Accédez à la Communauté Microsoft ou au site Web Forums Azure Active Directory.