Aggiornare o ripristinare le impostazioni di un dominio federato in Office 365, Azure o Intune

Nota

Office 365 ProPlus viene rinominato in Microsoft 365 Apps for enterprise. Per ulteriori informazioni su questa modifica, leggere questo post di blog.

Introduzione

Single Sign-on (SSO) in un servizio cloud di Microsoft, ad esempio Office 365, Microsoft Azure o Microsoft Intune, dipende da una distribuzione locale di Active Directory Federation Services (AD FS) che funziona correttamente. Diversi scenari richiedono la ricostruzione della configurazione del dominio federato in AD FS per correggere i problemi tecnici. In questo articolo vengono fornite istruzioni dettagliate su come aggiornare o ripristinare la configurazione del dominio federato.

Altre informazioni

Informazioni su come aggiornare la configurazione del dominio federato

La configurazione del dominio federato deve essere aggiornata negli scenari descritti nei seguenti articoli della Microsoft Knowledge base.

  • 2713898   " Si è verificato un problema durante l'accesso al sito "errore da ADFS quando un utente federato accede a Office 365, Azure o Intune 
  • 2535191 "" Spiacente, ma si verificano problemi durante l'accesso a "e" 80048163 "quando un utente federato tenta di accedere a Office 365, Azure o Intune 
  • 2647020   "Spiacente, ma si verificano problemi durante l'accesso a" e "80041317" o "80043431" quando un utente federato tenta di accedere a Office 365, Azure o Intune 

Per aggiornare la configurazione del dominio federato in un computer aggiunto a un dominio in cui è installato Azure Active Directory Module per Windows PowerShell, eseguire la procedura seguente:

  1. Fare clic sul pulsante Start, scegliere tutti i programmi, Windows Azure Active Directorye quindi fare clic su Windows Azure Active Directory Module per Windows PowerShell.

  2. Al prompt dei comandi digitare i comandi seguenti e premere INVIO dopo ogni comando:

    $cred = get-credential
    

    Nota

    Quando viene richiesto, immettere le credenziali di amministratore del servizio cloud.

    Connect-MSOLService –credential:$cred
    
    Set-MSOLADFSContext –Computer: <AD FS 2.0 ServerName>
    

    Nota

    In questo comando, il segnaposto <nome server adfs 2,0> rappresenta il nome host di Windows del server ad FS primario.

    Update-MSOLFederatedDomain –DomainName: <Federated Domain Name>
    

    oppure

    Update-MSOLFederatedDomain –DomainName: <Federated Domain Name> –supportmultipledomain 
    

    Nota

    • L'utilizzo dell'opzione – supportmultipledomain è necessario quando più domini di primo livello sono federati tramite lo stesso servizio federativo ADFS.
    • In questi comandi il segnaposto <Federated Domain Name> rappresenta il nome del dominio già federato.

Importante

È disponibile uno script per automatizzare regolarmente l'aggiornamento dei metadati di federazione per assicurarsi che le modifiche apportate al certificato per la firma di token AD FS siano state replicate correttamente.

Lo script crea un'attività pianificata di Windows sul server ADFS primario per assicurarsi che le modifiche apportate alla configurazione di ADFS, ad esempio informazioni attendibili, firma degli aggiornamenti dei certificati e così via, vengano propagate regolarmente in Azure Active Directory (Azure AD).

Se il certificato per la firma di token viene rinnovato automaticamente in un ambiente in cui è implementato lo script, lo script aggiornerà le informazioni sull'attendibilità del cloud per impedire il tempo di inattività causato dalle informazioni sui certificati cloud obsoleti.

Come ripristinare la configurazione del dominio federato

La configurazione del dominio federato deve essere ripristinata negli scenari descritti nei seguenti articoli della Microsoft Knowledge base.

  • 2523494   viene visualizzato un avviso del certificato da ADFS quando si tenta di accedere a Office 365, Azure o Intune 
  • 2618887   "l'identificatore del servizio federativo specificato nel server ad FS 2,0 è già in uso". errore quando si tenta di impostare un altro dominio federato in Office 365, Azure o Intune 
  • 2713898   "si è verificato un problema durante l'accesso al sito" errore da ADFS quando un utente federato accede a Office 365, Azure o Intune  
  • 2647020 "l'organizzazione non è in grado di eseguire l'accesso a questo servizio" Error e "80041317" o "80043431" quando un utente federato cerca di accedere a Office 365
  • Il nome del servizio federativo in ADFS è stato modificato. Per ulteriori informazioni, visitare il seguente sito Web Microsoft: ad FS 2,0: come modificare il nome del servizio federativo

Per ripristinare la configurazione del dominio federato in un computer aggiunto a un dominio in cui è installato Azure Active Directory Module per Windows PowerShell, eseguire la procedura seguente.

Avviso

  • La procedura seguente consente di rimuovere tutte le personalizzazioni create limitando l'accesso ai servizi di Office 365 utilizzando la posizione del client. Dopo aver ripristinato la configurazione del dominio federato, potrebbe essere necessario riconfigurare l'accesso limitato AD FS.
  • I passaggi seguenti devono essere pianificati con attenzione. Gli utenti per i quali la funzionalità SSO è abilitata nel dominio federato non saranno in grado di eseguire l'autenticazione durante questa operazione dal completamento del passaggio 4 fino al completamento del passaggio 5. Se il test del cmdlet Update-MSOLFederatedDomain del passaggio 1 non viene seguito correttamente, il passaggio 5 non verrà completato correttamente. Gli utenti federati non saranno in grado di eseguire l'autenticazione fino a quando il cmdlet Update-MSOLFederatedDomain non potrà essere eseguito correttamente.
  1. Eseguire la procedura descritta nella sezione "come aggiornare la configurazione del dominio federato" più indietro in questo articolo per assicurarsi che il cmdlet Update-MSOLFederatedDomain sia stato completato correttamente.
    • Se il cmdlet non è stato completato correttamente, non continuare con questa procedura. Vedere invece la sezione "problemi noti che possono verificarsi quando si aggiorna o si ripristina un dominio federato" più avanti in questo articolo per risolvere il problema.
    • Se il cmdlet viene completato correttamente, lasciare aperta la finestra del prompt dei comandi per un utilizzo successivo.
  2. Accedere al server AD FS. A tale scopo, fare clic sul pulsante Start, scegliere tutti i programmi, strumenti di amministrazionee quindi fare clic su gestione di ADFS (2,0).
  3. Nel riquadro di spostamento a sinistra, fare clic su ADFS (2,0), fare clic su relazioni di truste quindi fare clic su attendibilità componente.
  4. Nel riquadro a destra, eliminare la voce della piattaforma di identità di Microsoft Office 365 .
  5. Nella finestra di Windows PowerShell aperta nel passaggio 1, ricreare l'oggetto Trust eliminato. A tale scopo, eseguire il comando riportato di seguito e quindi premere INVIO:
    Update-MSOLFederatedDomain -DomainName <Federated Domain Name>
    
    oppure
    Update-MSOLFederatedDomain –DomainName:<Federated Domain Name> –supportmultipledomain
    

    Nota

    • L'utilizzo dell'opzione – supportmultipledomain è necessario quando più domini di primo livello sono federati tramite lo stesso servizio federativo ADFS.
    • In questi comandi il segnaposto <Federated Domain Name> rappresenta il nome del dominio già federato.

Problemi noti che possono verificarsi quando si aggiorna o si ripristina un dominio federato

Gli scenari seguenti causano problemi durante l'aggiornamento o il ripristino di un dominio federato:

  • Non è possibile connettersi tramite Windows PowerShell. Per ulteriori informazioni su questo problema, vedere l'articolo della Microsoft Knowledge Base riportato di seguito:

    2494043   non è possibile connettersi utilizzando il modulo di Azure Active Directory per Windows PowerShell

  • Il modulo di Azure Active Directory per Windows PowerShell non è in grado di caricare a causa dei prerequisiti mancanti. Per altre informazioni, vedere l'articolo della Microsoft Knowledge Base riportato di seguito:  

    2461873   non è possibile aprire il modulo di Azure Active Directory per Windows PowerShell 

  • Quando si tenta di eseguire il cmdlet Set-MSOLADFSContext, viene visualizzato il messaggio di errore "accesso negato". Per altre informazioni, vedere l'articolo della Microsoft Knowledge Base riportato di seguito:

    2587730 "errore di connessione a <ServerName> Active Directory Federation Services 2,0 Server non riuscito" quando si utilizza il cmdlet Set-MsolADFSContext

Ulteriore assistenza Visitare la community Microsoft o il sito Web dei forum di Azure Active Directory.