Compartilhar via

Atualizar ou reparar as configurações de um domínio federado no Microsoft 365, Azure ou Intune

  • Aplica-se a: Cloud Services (Web roles/Worker roles), Azure Active Directory, Microsoft Intune, Azure Backup, Microsoft 365

Introdução

O SSO (logon único) em um serviço de nuvem da Microsoft, como Microsoft 365, Microsoft Azure ou Microsoft Intune, depende de uma implantação local dos Serviços de Federação do Active Directory (AD FS) que funciona corretamente. Vários cenários exigem a recriação da configuração do domínio federado no AD FS para corrigir problemas técnicos. Este artigo contém diretrizes passo a passo sobre como atualizar ou reparar a configuração do domínio federado.

Mais informações

Como atualizar a configuração do domínio federado

A configuração do domínio federado deve ser atualizada nos cenários descritos nos seguintes artigos da Base de Dados de Conhecimento da Microsoft.

  • 2713898 erro "Houve um problema ao acessar o site" do AD FS quando um usuário federado entra no Microsoft 365, Azure ou Intune
  • 2535191 "Desculpe, mas estamos tendo problemas para fazer login" e erro "80048163" quando um usuário federado tenta acessar o Microsoft 365, Azure ou Intune.
  • 2647020 erro "Desculpe, mas estamos tendo problemas para entrar" e "80041317" ou "80043431" quando um usuário federado tenta entrar no Microsoft 365, Azure ou Intune

Observação

Os módulos do Azure AD e do MSOnline PowerShell são preteridos a partir de 30 de março de 2024. Para saber mais, leia a atualização sobre a reprovação. Após essa data, o suporte a esses módulos se limitará à assistência à migração para o SDK do Microsoft Graph PowerShell e às correções de segurança. Os módulos preteridos continuarão funcionando até março de 30 de 2025.

Recomendamos migrar para o Microsoft Graph PowerShell para interagir com o Microsoft Entra ID (antigo Azure AD). Para perguntas comuns sobre migração, consulte as Perguntas Frequentes sobre Migração. Observação: As versões 1.0.x do MSOnline poderão sofrer interrupções após 30 de junho de 2024.

Para atualizar a configuração do domínio federado em um computador associado ao domínio que tem o módulo Azure Active Directory para Windows PowerShell instalado, siga os seguintes passos:

  1. Clique em Iniciar, clique em Todos os Programas, clique no Windows Azure Active Directory e, em seguida, clique no módulo do Windows Azure Active Directory para Windows PowerShell.

  2. No prompt de comando, digite os seguintes comandos e pressione Enter após cada comando:

    $cred = get-credential

    Observação

    Quando for solicitado, insira suas credenciais de administrador do serviço de nuvem.

    Connect-MSOLService –credential:$cred

    Set-MSOLADFSContext –Computer: <AD FS 2.0 ServerName>

    Observação

    Neste comando, o espaço reservado <Nome do Servidor AD FS 2.0> representa o nome do host do Windows do servidor AD FS primário.

    Update-MSOLFederatedDomain –DomainName: <Federated Domain Name>

    ou

    Update-MSOLFederatedDomain –DomainName: <Federated Domain Name> –supportmultipledomain

    Observação

    • O uso da opção –supportmultipledomain é necessário quando vários domínios de nível superior são federados usando o mesmo serviço de federação do AD FS.
    • Nesses comandos, o espaço reservado <Nome de Domínio Federado> representa o nome do domínio que já está federado.

Importante

Um script está disponível para automatizar a atualização de metadados de federação regularmente para garantir que as alterações no certificado de assinatura de token do AD FS sejam replicadas corretamente.

O script cria uma tarefa agendada do Windows no servidor AD FS primário para garantir que as alterações na configuração do AD FS, como informações de confiança, atualizações de certificado de assinatura e assim por diante, sejam propagadas regularmente para a ID do Microsoft Entra.

Se o certificado de assinatura de token for renovado automaticamente em um ambiente em que o script é implementado, o script atualizará as informações de confiança na nuvem para evitar o tempo de inatividade causado por informações de certificado de nuvem desatualizadas.

Como reparar a configuração do domínio federado

A configuração do domínio federado deve ser reparada nos cenários descritos nos seguintes artigos da Base de Dados de Conhecimento da Microsoft.

  • 2523494 Você recebe um aviso de certificado do AD FS ao tentar entrar no Microsoft 365, Azure ou Intune
  • 2618887 erro "O identificador de serviço de federação especificado no servidor AD FS 2.0 já está em uso" ao tentar configurar outro domínio federado no Microsoft 365, Azure ou Intune
  • 2713898 erro "Houve um problema ao acessar o site" do AD FS quando um usuário federado entra no Microsoft 365, Azure ou Intune
  • 2647020 erro "Sua organização não pôde entrar neste serviço" e o código de erro "80041317" ou "80043431" quando um usuário federado tenta entrar no Microsoft 365
  • O nome do Serviço de Federação no AD FS é alterado.

Para reparar a configuração de domínio federado em um computador que participa do domínio e possui o módulo do Azure Active Directory para Windows PowerShell instalado, siga as etapas a seguir.

Aviso

  • O procedimento a seguir remove todas as personalizações criadas limitando o acesso aos serviços do Microsoft 365 usando a localização do cliente. Depois que a configuração do domínio federado for reparada, talvez seja necessário reconfigurar o acesso limitado ao AD FS.
  • As etapas a seguir devem ser planejadas com cuidado. Os usuários para os quais a funcionalidade de SSO está habilitada no domínio federado não poderão se autenticar durante essa operação desde a conclusão da etapa 4 até a conclusão da etapa 5. Se o teste de cmdlet update-MSOLFederatedDomain na etapa 1 não for seguido com êxito, a etapa 5 não será concluída corretamente. Os usuários federados não poderão se autenticar até que o cmdlet update-MSOLFederatedDomain possa ser executado com êxito.
  1. Execute as etapas na seção "Como atualizar a configuração de domínio federado" anteriormente neste artigo para verificar se o cmdlet update-MSOLFederatedDomain foi concluído com êxito.
    • Se o cmdlet não tiver sido concluído com êxito, não continue com este procedimento. Em vez disso, consulte a seção "Problemas conhecidos que você pode encontrar ao atualizar ou reparar um domínio federado" mais adiante neste artigo para solucionar o problema.
    • Se o cmdlet for concluído com êxito, deixe a janela do Prompt de Comando aberta para uso posterior.
  2. Faça logon no servidor do AD FS. Para fazer isso, clique em Iniciar, aponte para Todos os Programas, aponte para Ferramentas Administrativas e clique em Gerenciamento do AD FS (2.0).
  3. No painel de navegação esquerdo, clique em AD FS (2.0), clique em Relações de Confiança e clique em Confianças de Parte Confiável.
  4. No painel mais à direita, exclua a entrada da Plataforma de Identidade do Microsoft Office 365 .
  5. Na janela do Windows PowerShell que você abriu na etapa 1, crie novamente o objeto de confiança excluído. Para fazer isso, execute o seguinte comando e pressione Enter: 
    Update-MSOLFederatedDomain -DomainName <Federated Domain Name>
    ou 
    Update-MSOLFederatedDomain –DomainName:<Federated Domain Name> –supportmultipledomain

    Observação

    • O uso da opção –supportmultipledomain é necessário quando vários domínios de nível superior são federados usando o mesmo serviço de federação do AD FS.
    • Nesses comandos, o espaço reservado <Nome de Domínio Federado> representa o nome do domínio que já está federado.

Problemas conhecidos que você pode encontrar ao atualizar ou reparar um domínio federado

Os seguintes cenários causam problemas ao atualizar ou reparar um domínio federado:

  • Você não pode se conectar usando o Windows PowerShell. Para obter mais informações sobre esse problema, consulte o seguinte artigo da Base de Dados de Conhecimento da Microsoft:

    2494043 Você não pode se conectar usando o módulo do Azure Active Directory para Windows PowerShell

  • O módulo do Azure Active Directory para Windows PowerShell não pode ser carregado devido a pré-requisitos ausentes. Para obter mais informações, consulte o seguinte artigo da Base de Dados de Conhecimento da Microsoft:

    2461873 Não é possível abrir o módulo do Azure Active Directory para Windows PowerShell

  • Você recebe uma mensagem de erro "Acesso Negado" ao tentar executar o cmdlet set-MSOLADFSContext. Para obter mais informações, consulte o seguinte artigo da Base de Dados de Conhecimento da Microsoft:

    2587730 erro "Falha na conexão com <o servidor ServerName> Active Directory Federation Services 2.0" ao usar o cmdlet Set-MsolADFSContext

Ainda precisa de ajuda? Acesse Microsoft Community ou o site Microsoft Entra Forums.