Поделиться через

Обновление или восстановление параметров федеративного домена в Microsoft 365, Azure или Intune

  • Применяется к: Cloud Services (Web roles/Worker roles), Azure Active Directory, Microsoft Intune, Azure Backup, Microsoft 365

Введение

Единый вход (SSO) в облачной службе Майкрософт, такой как Microsoft 365, Microsoft Azure или Microsoft Intune, зависит от локального развертывания служб федерации Active Directory (AD FS), которые функционируют правильно. В нескольких сценариях требуется перестроение конфигурации федеративного домена в AD FS для устранения технических проблем. В этой статье содержатся пошаговые инструкции по обновлению или восстановлению конфигурации федеративного домена.

Дополнительные сведения

Обновление конфигурации федеративного домена

Конфигурация федеративного домена должна быть обновлена в сценариях, описанных в следующих статьях Базы знаний Майкрософт.

  • 2713898 ОШИБКА "Возникла проблема с доступом к сайту" из AD FS при входе федеративного пользователя в Microsoft 365, Azure или Intune
  • 2535191 "К сожалению, у нас возникли проблемы при входе в систему" и ошибка "80048163", когда федеративный пользователь пытается войти в Microsoft 365, Azure или Intune
  • 2647020 "Извините, возникли проблемы с вашим входом" и ошибки "80041317" или "80043431" возникают, когда федеративный пользователь пытается войти в Microsoft 365, Azure или Intune

Замечание

Модули Azure AD и MSOnline PowerShell устарели с 30 марта 2024 г. Чтобы узнать больше, прочитайте обновлённую информацию о прекращении поддержки. После этой даты поддержка этих модулей ограничена поддержкой миграции в пакет SDK Для Microsoft Graph PowerShell и исправления безопасности. Устаревшие модули будут продолжать функционировать до 30 марта 2025 года.

Мы рекомендуем перейти на Microsoft Graph PowerShell для взаимодействия с Microsoft Entra ID (ранее — Azure AD). Часто задаваемые вопросы о миграции см. в разделе "Вопросы и ответы о миграции". Примечание: Возможны перебои в работе версий 1.0.x MSOnline после 30 июня 2024 г.

Чтобы обновить конфигурацию федеративного домена на присоединенном к домену компьютере с установленным модулем Azure Active Directory для Windows PowerShell, выполните следующие действия.

  1. Нажмите кнопку "Пуск", щелкните "Все программы", щелкните Windows Azure Active Directory и выберите модуль Windows Azure Active Directory для Windows PowerShell.

  2. В командной строке введите команды, перечисленные ниже, и после ввода каждой команды нажимайте клавишу ВВОД.

    $cred = get-credential

    Замечание

    При появлении запроса введите учетные данные администратора облачной службы.

    Connect-MSOLService –credential:$cred

    Set-MSOLADFSContext –Computer: <AD FS 2.0 ServerName>

    Замечание

    В этой команде заполнитель <AD FS 2.0> представляет имя узла Windows основного сервера AD FS.

    Update-MSOLFederatedDomain –DomainName: <Federated Domain Name>

    или

    Update-MSOLFederatedDomain –DomainName: <Federated Domain Name> –supportmultipledomain

    Замечание

    • Использование параметра -supportmultipledomain необходимо, когда несколько доменов верхнего уровня объединены с помощью одной службы федерации AD FS.
    • В этих командах заполнитель <федеративное доменное имя> представляет имя домена, который уже является федеративным.

Это важно

Скрипт доступен для автоматизации регулярного обновления метаданных федерации, чтобы гарантировать, что изменения сертификата подписи токена AD FS реплицируются правильно.

Скрипт создает запланированную задачу Windows на основном сервере AD FS, чтобы убедиться, что изменения конфигурации AD FS, такие как сведения о доверии, обновления сертификатов подписи и т. д. регулярно распространяется на идентификатор Microsoft Entra.

Если сертификат подписывания токенов автоматически обновляется в среде, в которой реализуется скрипт, скрипт обновит сведения о доверии к облаку, чтобы предотвратить простой, вызванный устаревшими сведениями о облачном сертификате.

Как восстановить конфигурацию федеративного домена

Конфигурация федеративного домена должна быть восстановлена в сценариях, описанных в следующих статьях базы знаний Майкрософт.

  • 2523494 при попытке входа в Microsoft 365, Azure или Intune вы получаете предупреждение о сертификате от AD FS.
  • 2618887 При настройке другого федеративного домена в Microsoft 365, Azure или Intune возникает ошибка: "Идентификатор службы федерации, указанный на сервере AD FS 2.0, уже используется".
  • 2713898 ОШИБКА "Возникла проблема с доступом к сайту" из AD FS при входе федеративного пользователя в Microsoft 365, Azure или Intune
  • 2647020 "Ваша организация не смогла авторизовать вас для этой службы" и ошибка "80041317" или код ошибки "80043431", когда федеративный пользователь пытается войти в Microsoft 365
  • Имя службы федерации в AD FS изменено.

Чтобы восстановить конфигурацию федеративного домена на подключенном к домену компьютере с установленным модулем Azure Active Directory для Windows PowerShell, выполните следующие действия.

Предупреждение

  • В следующей процедуре удаляются все настройки, созданные путем ограничения доступа к службам Microsoft 365 с помощью расположения клиента. После восстановления конфигурации федеративного домена может потребоваться перенастроить ограниченный доступ AD FS.
  • Следующие шаги следует тщательно планировать. Пользователи, для которых функция единого входа включена в федеративном домене, не смогут пройти проверку подлинности во время этой операции после завершения шага 4 до завершения шага 5. Если тест командлета update-MSOLFederatedDomain на шаге 1 не будет успешно выполнен, шаг 5 не завершится корректно. Федеративные пользователи не смогут пройти аутентификацию, пока командлет update-MSOLFederatedDomain не будет успешно выполнен.
  1. Выполните действия, описанные в разделе "Обновление конфигурации федеративного домена" ранее в этой статье, чтобы убедиться, что командлет update-MSOLFederatedDomain успешно завершен.
    • Если командлет не завершился успешно, не продолжайте эту процедуру. Вместо этого см. раздел "Известные проблемы, которые могут возникнуть при обновлении или восстановлении федеративного домена" далее в этой статье, чтобы устранить проблему.
    • Если командлет завершится успешно, оставьте окно командной строки открытым для последующего использования.
  2. Войдите на сервер AD FS. Для этого нажмите кнопку "Пуск", наведите указатель на все программы, наведите указатель на администрирование, а затем щелкните AD FS (2.0) Управление.
  3. В левой области навигации щелкните AD FS (2.0), щелкните Отношения доверия, а затем щелкните Доверительные отношения доверяющей стороны.
  4. В правой области удалите запись Microsoft Office 365 Identity Platform.
  5. В окне Windows PowerShell, открывшемся на шаге 1, повторно создайте удаленный объект доверия. Для этого выполните следующую команду и нажмите клавишу ВВОД: 
    Update-MSOLFederatedDomain -DomainName <Federated Domain Name>
    или 
    Update-MSOLFederatedDomain –DomainName:<Federated Domain Name> –supportmultipledomain

    Замечание

    • Использование параметра -supportmultipledomain необходимо, когда несколько доменов верхнего уровня объединены с помощью одной службы федерации AD FS.
    • В этих командах заполнитель <федеративное доменное имя> представляет имя домена, который уже является федеративным.

Известные проблемы, которые могут возникнуть при обновлении или восстановлении федеративного домена

В следующих сценариях возникают проблемы при обновлении или восстановлении федеративного домена:

  • Невозможно подключиться с помощью Windows PowerShell. Дополнительные сведения об этой проблеме см. в следующей статье базы знаний Майкрософт:

    2494043 Невозможно подключиться с помощью модуля Azure Active Directory для Windows PowerShell

  • Модуль Azure Active Directory для Windows PowerShell не может загружаться из-за отсутствия предварительных требований. Дополнительные сведения см. в следующей статье базы знаний Майкрософт:

    2461873 Невозможно открыть модуль Azure Active Directory для Windows PowerShell

  • Возникает сообщение об ошибке "Отказано в доступе", когда вы пытаетесь выполнить командлет set-MSOLADFSContext. Дополнительные сведения см. в следующей статье базы знаний Майкрософт:

    2587730 Ошибка подключения к <серверу Active Directory Federation Services 2.0 не удалась при использовании командлета Set-MsolADFSContext

Все еще нужна помощь? Перейдите на сообщество Microsoft или на сайт форумов Microsoft Entra.