Uwaga
Dostęp do tej strony wymaga autoryzacji. Może spróbować zalogować się lub zmienić katalogi.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Ten artykuł zawiera informacje na temat rozwiązywania problemu, w którym użytkownicy nie mogą już uzyskać dostępu do usługi Office 365, platformy Azure lub usługi Microsoft Intune po uruchomieniu Convert-MSOLDomaintoFederated polecenia w celu przekonwertowania istniejącej domeny z uwierzytelniania standardowego na uwierzytelnianie federacyjne.
Oryginalna wersja produktu: Cloud Services (role sieci Web/role procesów roboczych), Microsoft Entra ID, Microsoft Intune, Azure Backup, Office 365 Identity Management
Oryginalny numer KB: 2662960
Uwaga 16.
Moduły usług Azure AD i MSOnline programu PowerShell są przestarzałe od 30 marca 2024 r. Aby dowiedzieć się więcej, przeczytaj aktualizację o wycofaniu. Po tej dacie obsługa tych modułów jest ograniczona do pomocy dotyczącej migracji do zestawu MICROSOFT Graph PowerShell SDK i poprawek zabezpieczeń. Przestarzałe moduły będą nadal działać do 30 marca 2025 r.
Zalecamy migrację do programu Microsoft Graph PowerShell w celu interakcji z identyfikatorem Entra firmy Microsoft (dawniej Azure AD). W przypadku typowych pytań dotyczących migracji zapoznaj się z często zadawanymi pytaniami dotyczącymi migracji. Uwaga: wersje 1.0.x usługi MSOnline mogą wystąpić zakłócenia po 30 czerwca 2024 r.
Symptomy
Podczas konfigurowania logowania jednokrotnego (SSO) w usłudze w chmurze firmy Microsoft, takiej jak Office 365, Microsoft Azure lub Microsoft Intune, uruchomisz Convert-MSOLDomaintoFederated polecenie , aby przekonwertować istniejącą domenę z uwierzytelniania standardowego na uwierzytelnianie federacyjne. Jednak po wykonaniu tej czynności użytkownicy, którzy są skojarzeni z tą domeną, nie mogą już uzyskiwać dostępu do usługi w chmurze.
Przyczyna
Ten problem występuje, jeśli logowanie jednokrotne nie zostało skonfigurowane poprawnie lub jeśli konfiguracja nie została ukończona.
Ostrzeżenie
Najlepszym rozwiązaniem firmy Microsoft jest zawsze posiadanie co najmniej jednego identyfikatora użytkownika administratora skojarzonego z domeną domyślną, aby dostęp administracyjny do organizacji nie został utracony w przypadku naruszenia zabezpieczeń logowania jednokrotnego.
Rozwiązanie
Aby rozwiązać ten problem, należy użyć jednej z następujących metod, odpowiednio do twojej sytuacji.
Metoda 1. Rozwiązywanie problemów z konfiguracją logowania jednokrotnego
Użyj tej metody tylko wtedy, gdy spełnione są wszystkie następujące warunki:
- Problem nie jest spowodowany awarią usługi.
- Natychmiastowe przywracanie dostępu użytkownika nie jest wymagane.
Aby zdiagnozować i rozwiązać problemy z konfiguracją logowania jednokrotnego, zobacz Rozwiązywanie problemów z konfiguracją logowania jednokrotnego w usłudze Office 365, usłudze Intune lub na platformie Azure.
Metoda 2. Przywracanie federacji domeny z powrotem do standardowego uwierzytelniania, jeśli serwer usług AD FS nie jest dostępny
Użyj tej metody tylko wtedy, gdy spełnione są wszystkie następujące warunki:
- Problem jest spowodowany awarią usługi, która wymaga natychmiastowego przywrócenia dostępu użytkownika.
- Serwer usług AD FS jest niedostępny.
Jeśli te warunki są prawdziwe, zresetuj ustawienie uwierzytelniania dla domeny i dla każdego konta użytkownika, aby używać uwierzytelniania standardowego. W tym celu wykonaj następujące kroki:
Uruchom moduł Azure Active Directory dla programu Windows PowerShell. W tym celu wybierz pozycję Start, wybierz pozycję Wszystkie programy, wybierz pozycję Windows Azure Active Directory, kliknij prawym przyciskiem myszy moduł Windows Azure Active Directory dla programu Windows PowerShell, a następnie wybierz polecenie Uruchom jako administrator.
Aby przekonwertować domenę, uruchom następujące polecenia w kolejności, w której są prezentowane. Naciśnij Enter po wpisaniu każdego polecenia.
$cred = Get-CredentialPo wyświetleniu monitu wprowadź poświadczenia administratora usługi w chmurze, które nie są włączone za pomocą logowania jednokrotnego.
Connect-MsolService -credential $credSet-MSOLDomainAuthentication -Authentication Managed -DomainName <federated domain name>Uwaga 16.
W tym poleceniu symbol zastępczy <federacyjnej nazwy> domeny reprezentuje nazwę domeny, dla której logowanie jednokrotne nie działa.
Dla każdego użytkownika, który ma sufiks głównej nazwy użytkownika (UPN), który jest skojarzony z domeną, uruchom następujące polecenie:
Convert-MSOLFederatedUser -UserPrincipalName <string>Uwaga 16.
W tym poleceniu ciąg> zastępczy <reprezentuje wartość nazwy UPN dla użytkownika, który jest konwertowany.
Więcej informacji
Ważne
W scenariuszach, w których ostatni administrator organizacji usług w chmurze firmy Microsoft ma przypisany sufiks domeny federacyjnej i w którym administrator staje się włączony logowanie jednokrotne, kolejne błędy usług AD FS ograniczy uruchomienie polecenia connect-MSOLService i może zapobiec korygowaniu problemów z logowaniem jednokrotnym. Zaleca się, aby administratorzy organizacji usług w chmurze firmy Microsoft zawsze przechowywali co najmniej jedno konto administratora globalnego, które nie jest włączone logowanie jednokrotne, aby umożliwić rozwiązywanie problemów z logowaniem jednokrotnym przy użyciu modułu Azure Active Directory dla programu Windows PowerShell.
Jeśli ten problem wystąpi, skontaktuj się z pomoc techniczna firmy Microsoft, aby federacja domeny została tymczasowo odwrócona, aby administrator (który nie jest już włączony logowanie jednokrotne) mógł odzyskać dostęp do rozwiązywania problemów związanych z logowaniem jednokrotnym.
Skontaktuj się z nami, aby uzyskać pomoc
Jeśli masz pytania lub potrzebujesz pomocy, utwórz wniosek o pomoc techniczną lub zadaj pytanie w społeczności wsparcia dla platformy Azure. Możesz również przesłać opinię o produkcie do społeczności opinii na temat platformy Azure.