Atualizar ou reparar as definições de um domínio federado no Office 365, Azure ou Intune

Nota

O Office 365 ProPlus está a ser renomeado para Aplicações do Microsoft 365 para empresas. Para obter mais informações sobre essa alteração, leia este post no blog.

Introdução

O único sign-on (SSO) num serviço de nuvem da Microsoft como o Office 365, Microsoft Azure ou Microsoft Intune depende de uma implementação no local dos Serviços da Federação de Diretórios Ativos (AD FS) que funcione corretamente. Vários cenários requerem a reconstrução da configuração do domínio federado em FS AD para corrigir problemas técnicos. Este artigo contém orientações passo a passo sobre como atualizar ou reparar a configuração do domínio federado.

Mais informações

Como atualizar a configuração do domínio federado

A configuração do domínio federado tem de ser atualizada nos cenários descritos nos seguintes artigos da Base de Conhecimento do Microsoft.

  • 2713898   " Houve um problema de acesso ao site" erro da AD FS quando um utilizador federado assina no Office 365, Azure ou Intune 
  • 2535191 "Desculpe, mas estamos com dificuldades em contratá-lo" e erro "80048163" quando um utilizador federado tenta assinar no Office 365, Azure ou Intune 
  • 2647020   "Desculpe, mas estamos com dificuldades em contratá-lo" e "80041317" ou "80043431" quando um utilizador federado tenta assinar no Office 365, Azure ou Intune 

Para atualizar a configuração do domínio federado num computador ligado a domínios que tenha o Módulo de Diretório Ativo Azure para o Windows PowerShell instalado, siga estes passos:

  1. Clique em Iniciar, clique em Todos os Programas, clique no Windows Azure Ative Directorye, em seguida, clique no Módulo de Diretório Ativo windows Azure para Windows PowerShell.

  2. Na pronta do comando, digite os seguintes comandos e prima Enter após cada comando:

    $cred = get-credential
    

    Nota

    Quando for solicitado, insira as credenciais de administrador de serviço na nuvem.

    Connect-MSOLService –credential:$cred
    
    Set-MSOLADFSContext –Computer: <AD FS 2.0 ServerName>
    

    Nota

    Neste comando, o espaço reservado **do servidor AD FS 2.0 ** representa o nome de anfitrião do Windows do servidor FS AD primário.

    Update-MSOLFederatedDomain –DomainName: <Federated Domain Name>
    

    ou

    Update-MSOLFederatedDomain –DomainName: <Federated Domain Name> –supportmultipledomain 
    

    Nota

    • A utilização do interruptor multitipledomaina de suporte é necessária quando vários domínios de alto nível são federados utilizando o mesmo serviço da federação AD FS.
    • Nestes comandos, o espaço reservado <Federated Domain Name> representa o nome do domínio que já está federado.

Importante

Um script está disponível para automatizar regularmente a atualização dos metadados da federação para garantir que as alterações ao certificado de assinatura de fichas AD FS são replicadas corretamente.

O script cria uma tarefa programada do Windows no servidor AD FS primário para garantir que as alterações na configuração AD FS, tais como informações fidediárias, atualizações de certificados de assinatura, e assim por diante são propagadas regularmente ao Diretório Ativo Azure (Azure AD).

Se o certificado de assinatura de token for automaticamente renovado num ambiente onde o script é implementado, o script atualizará a informação de confiança na nuvem para evitar tempo de inatividade que é causado por informações de certificados de nuvem desatualizadas.

Como reparar a configuração do domínio federado

A configuração do domínio federado tem de ser reparada nos cenários descritos nos seguintes artigos da Base de Conhecimento do Microsoft.

  • 2523494   Recebe um aviso de certificado da AD FS quando tenta assinar no Office 365, Azure ou Intune 
  • 2618887   "O identificador de serviço da Federação especificado no servidor AD FS 2.0 já está em uso." erro quando tenta configurar outro domínio federado no Office 365, Azure ou Intune 
  • 2713898   "Houve um problema de acesso ao site" erro da AD FS quando um utilizador federado assina no Office 365, Azure ou Intune  
  • 2647020 "A sua organização não pôde inscrevê-lo neste serviço" erro e código de erro "80041317" ou "80043431" quando um utilizador federado tenta assinar no Office 365
  • O nome do Serviço da Federação em AD FS é alterado. Para mais informações, aceda ao seguinte website da Microsoft: AD FS 2.0: Como Alterar o Nome do Serviço da Federação

Para reparar a configuração de domínio federado num computador ligado a domínios que tenha o Módulo de Diretório Ativo Azure para o Windows PowerShell instalado, siga estes passos.

Aviso

  • O seguinte procedimento remove quaisquer personalizações que sejam criadas limitando o acesso aos serviços do Office 365 utilizando a localização do cliente. Após a configuração do domínio federado ser reparada, poderá ter de reconfigurar o acesso limitado a FS AD.
  • Os seguintes passos devem ser cuidadosamente planeados. Os utilizadores para os quais a funcionalidade SSO está ativada no domínio federado não poderão autenticar durante esta operação desde a conclusão do passo 4 até à conclusão do passo 5. Se o teste de cmdlet de cmdlet DAMamado MSOLFederated na etapa 1 não for seguido com sucesso, o passo 5 não terminará corretamente. Os utilizadores federados não poderão autenticar até que o cmdlet deDomínio MSOLFederatedado possa ser executado com sucesso.
  1. Executar os passos na secção "Como atualizar a configuração de domínio federado" no início deste artigo para se certificar de que o cmdlet dedomínio msolfederatedddomain terminou com sucesso.
    • Se o cmdlet não tiver terminado com sucesso, não continue com este procedimento. Em vez disso, consulte as "questões conhecidas que poderá encontrar quando atualizar ou reparar um domínio federado" mais tarde neste artigo para resolver problemas.
    • Se o cmdlet terminar com sucesso, deixe a janela de aviso de comando aberta para utilização posterior.
  2. Inicie sessão no servidor AD FS. Para isso, clique em Iniciar, aponte para Todos os Programas , aponte para Ferramentas Administrativase, em seguida, clique em AD FS (2.0) Gestão. Administrative Tools
  3. No painel de navegação à esquerda, clique em AD FS (2.0), clique em Trust Relationshipse, em seguida, clique em Relying Party Trusts.
  4. No painel mais à direita, elimine a entrada da Plataforma de Identidade Microsoft Office 365.
  5. Na janela Windows PowerShell que abriu no passo 1, recobrir o objeto de confiança eliminado. Para isso, executar o seguinte comando e, em seguida, pressionar Insira:
    Update-MSOLFederatedDomain -DomainName <Federated Domain Name>
    
    ou
    Update-MSOLFederatedDomain –DomainName:<Federated Domain Name> –supportmultipledomain
    

    Nota

    • A utilização do interruptor multitipledomaina de suporte é necessária quando vários domínios de alto nível são federados utilizando o mesmo serviço da federação AD FS.
    • Nestes comandos, o espaço reservado <Federated Domain Name> representa o nome do domínio que já está federado.

Problemas conhecidos que pode encontrar quando atualizar ou reparar um domínio federado

Os seguintes cenários causam problemas quando atualiza ou repara um domínio federado:

  • Não é possível ligar utilizando o Windows PowerShell. Para obter mais informações sobre este assunto, consulte o seguinte artigo da Base de Conhecimento da Microsoft:

    2494043   Não é possível ligar utilizando o Módulo de Diretório Ativo Azure para Windows PowerShell

  • O Módulo de Diretório Ativo Azure para o Windows PowerShell não pode ser carregado devido à falta de pré-requisitos. Para mais informações, consulte o seguinte artigo da Base de Conhecimento da Microsoft:  

    2461873   Não é possível abrir o Módulo de Diretório Ativo Azure para Windows PowerShell 

  • Obtém-se uma mensagem de erro "Access Denied" quando tenta executar o cmdlet set-MSOLADFSContext. Para mais informações, consulte o seguinte artigo da Base de Conhecimento da Microsoft:

    2587730 "A ligação aos <ServerName> Serviços da Federação de Diretório Ativo 2.0 falhou" quando utiliza o cmdlet Set-MsolADFSContext

Ainda necessita de ajuda? Vá para a página web Comunidade Microsoft ou Fóruns do Azure Active Directory.