Atualizar ou reparar as configurações de um domínio federado no Microsoft 365, Azure ou Intune

  • Artigo
  • Aplica-se a:
    Cloud Services (Web roles/Worker roles), Azure Active Directory, Microsoft Intune, Azure Backup, Microsoft 365

Introdução

O SSO (logon único) em um serviço de nuvem da Microsoft, como Microsoft 365, Microsoft Azure ou Microsoft Intune depende de uma implantação local do Serviços de Federação do Active Directory (AD FS) (AD FS) que funciona corretamente. Vários cenários exigem a recriação da configuração do domínio federado no AD FS para corrigir problemas técnicos. Este artigo contém diretrizes passo a passo sobre como atualizar ou reparar a configuração do domínio federado.

Mais informações

Como atualizar a configuração do domínio federado

A configuração do domínio federado precisa ser atualizada nos cenários descritos nos seguintes artigos da Base de Dados de Conhecimento da Microsoft.

  • 2713898 erro "Houve um problema ao acessar o site" do AD FS quando um usuário federado entra no Microsoft 365, Azure ou Intune
  • 2535191 erro ""Desculpe, mas estamos tendo problemas para entrar" e "80048163" quando um usuário federado tenta entrar no Microsoft 365, Azure ou Intune
  • 2647020 erro "Desculpe, mas estamos tendo problemas para entrar" e erro "80041317" ou "80043431" quando um usuário federado tenta entrar no Microsoft 365, Azure ou Intune

Observação

os módulos Azure AD e MSOnline PowerShell são preteridos a partir de 30 de março de 2024. Para saber mais, leia a atualização de preterição. Após essa data, o suporte para esses módulos é limitado à assistência de migração para o SDK do Microsoft Graph PowerShell e correções de segurança. Os módulos preteridos continuarão funcionando até março de 2025.

Recomendamos migrar para o Microsoft Graph PowerShell para interagir com Microsoft Entra ID (anteriormente Azure AD). Para perguntas comuns sobre migração, consulte as perguntas frequentes sobre migração. Nota: As versões 1.0.x do MSOnline podem sofrer interrupções após 30 de junho de 2024.

Para atualizar a configuração do domínio federado em um computador ingressado no domínio que tem o módulo do Azure Active Directory para Windows PowerShell instalado, siga estas etapas:

  1. Clique em Iniciar, clique em Todos os Programas, clique em Windows Azure Active Directory e clique em Módulo do Windows Azure Active Directory para Windows PowerShell.

  2. No prompt de comando, digite os seguintes comandos e pressione Enter após cada comando:

    $cred = get-credential

    Observação

    Quando você for solicitado, insira suas credenciais de administrador do serviço de nuvem.

    Connect-MSOLService –credential:$cred

    Set-MSOLADFSContext –Computer: <AD FS 2.0 ServerName>

    Observação

    Neste comando, o espaço reservado <AD FS 2.0 Server Name> representa o nome do host do Windows do servidor AD FS primário.

    Update-MSOLFederatedDomain –DomainName: <Federated Domain Name>

    ou

    Update-MSOLFederatedDomain –DomainName: <Federated Domain Name> –supportmultipledomain

    Observação

    • Usar o comutador –supportmultipledomain é necessário quando vários domínios de nível superior são federados usando o mesmo serviço de federação do AD FS.
    • Nesses comandos, o espaço reservado < Nome >de Domínio Federado representa o nome do domínio que já está federado.

Importante

Um script está disponível para automatizar a atualização de metadados de federação regularmente para garantir que as alterações no certificado de assinatura de token do AD FS sejam replicadas corretamente.

O script cria uma tarefa agendada pelo Windows no servidor AD FS primário para garantir que alterações na configuração do AD FS, como informações de confiança, atualizações de certificado de assinatura e assim por diante sejam propagadas regularmente para o Microsoft Entra ID.

Se o certificado de assinatura de token for renovado automaticamente em um ambiente em que o script é implementado, o script atualizará as informações de confiança na nuvem para evitar o tempo de inatividade causado por informações de certificado de nuvem desatualizadas.

Como reparar a configuração do domínio federado

A configuração do domínio federado precisa ser reparada nos cenários descritos nos seguintes artigos da Base de Dados de Conhecimento da Microsoft.

  • 2523494 Você recebe um aviso de certificado do AD FS ao tentar entrar no Microsoft 365, Azure ou Intune
  • 2618887 erro "Identificador de serviço de federação especificado no servidor AD FS 2.0 já está em uso". Erro ao tentar configurar outro domínio federado no Microsoft 365, Azure ou Intune
  • 2713898 erro "Houve um problema ao acessar o site" do AD FS quando um usuário federado entra no Microsoft 365, Azure ou Intune
  • 2647020 erro "Sua organização não pôde entrar nesse serviço" e o código de erro "80041317" ou "80043431" quando um usuário federado tenta entrar no Microsoft 365
  • O nome do Serviço de Federação no AD FS é alterado.

Para reparar a configuração de domínio federado em um computador ingressado no domínio que tem o módulo do Azure Active Directory para Windows PowerShell instalado, siga estas etapas.

Aviso

  • O procedimento a seguir remove todas as personalizações criadas limitando o acesso aos serviços do Microsoft 365 usando a localização do cliente. Depois que a configuração do domínio federado for reparada, talvez seja necessário reconfigurar o acesso limitado do AD FS.
  • As etapas a seguir devem ser planejadas com cuidado. Os usuários para os quais a funcionalidade SSO está habilitada no domínio federado não poderão se autenticar durante essa operação desde a conclusão da etapa 4 até a conclusão da etapa 5. Se o teste de cmdlet update-MSOLFederatedDomain na etapa 1 não for seguido com êxito, a etapa 5 não será concluída corretamente. Os usuários federados não poderão se autenticar até que o cmdlet update-MSOLFederatedDomain possa ser executado com êxito.
  1. Execute as etapas na seção "Como atualizar a configuração de domínio federado" anteriormente neste artigo para garantir que o cmdlet update-MSOLFederatedDomain seja concluído com êxito.
    • Se o cmdlet não tiver sido concluído com êxito, não continue com esse procedimento. Em vez disso, consulte a seção "Problemas conhecidos que você pode encontrar ao atualizar ou reparar um domínio federado" mais tarde neste artigo para solucionar o problema.
    • Se o cmdlet for concluído com êxito, deixe a janela prompt de comando aberta para uso posterior.
  2. Faça logon no servidor do AD FS. Para fazer isso, clique em Iniciar, aponte para Todos os Programas, aponte para Ferramentas Administrativas e clique em Gerenciamento do AD FS (2.0).
  3. No painel de navegação esquerdo, clique em AD FS (2.0), clique em Relações de Confiança e clique em Confiabilidade de Parte Confiável.
  4. No painel mais à direita, exclua a entrada Microsoft Office 365 Identity Platform.
  5. Na janela Windows PowerShell que você abriu na etapa 1, crie novamente o objeto de confiança excluído. Para fazer isso, execute o seguinte comando e pressione Enter:
    Update-MSOLFederatedDomain -DomainName <Federated Domain Name>
    ou
    Update-MSOLFederatedDomain –DomainName:<Federated Domain Name> –supportmultipledomain

    Observação

    • Usar o comutador –supportmultipledomain é necessário quando vários domínios de nível superior são federados usando o mesmo serviço de federação do AD FS.
    • Nesses comandos, o espaço reservado < Nome >de Domínio Federado representa o nome do domínio que já está federado.

Problemas conhecidos que você pode encontrar ao atualizar ou reparar um domínio federado

Os seguintes cenários causam problemas ao atualizar ou reparar um domínio federado:

  • Você não pode se conectar usando Windows PowerShell. Para obter mais informações sobre esse problema, confira o seguinte artigo da Base de Dados de Conhecimento da Microsoft:

    2494043 Você não pode se conectar usando o módulo do Azure Active Directory para Windows PowerShell

  • O módulo do Azure Active Directory para Windows PowerShell não pode ser carregado devido aos pré-requisitos ausentes. Para obter mais informações, confira o seguinte artigo da Base de Dados de Conhecimento da Microsoft:

    2461873 Não é possível abrir o módulo do Azure Active Directory para Windows PowerShell

  • Você recebe uma mensagem de erro "Acesso Negado" ao tentar executar o cmdlet set-MSOLADFSContext. Para obter mais informações, confira o seguinte artigo da Base de Dados de Conhecimento da Microsoft:

    2587730 erro "Falha na conexão com <o servidor ServerName> Serviços de Federação do Active Directory (AD FS) 2.0" ao usar o cmdlet Set-MsolADFSContext

Ainda precisa de ajuda? Acesse o site da Microsoft Community ou os fóruns do Microsoft Entra.