更新或修复联合域在 Office 365、Azure 或 Intune 中的设置

备注

Office 365 ProPlus 正在重命名为 适用于企业的 Microsoft 365 应用。 有关此更改的详细信息, 请阅读此博客文章

简介

Microsoft 云服务(如 Office 365、Microsoft Azure 或 Microsoft Intune)中的单一登录 (SSO) 取决于 Active Directory 联合身份验证服务 (AD FS) 本地部署能否正常运行。 一些方案需要在 AD FS 中重新构建联合域的配置,以纠正技术问题。 本文包含有关如何更新或修复联合域配置的分步指南。

详细信息

如何更新联盟域的配置

在下列 Microsoft 知识库文章中介绍的方案中,必须更新联合域的配置。

  • 2713898联合用户登录 Azure 或 Intune 时,来自 AD FS 的"访问站点时出现问题Office 365错误
  • 2535191联合用户尝试登录 Office 365、Azure 或 Intune 时出现"抱歉,但无法登录"和"80048163"错误
  • 2647020联合用户尝试登录 Office 365、Azure 或 Intune 时出现"抱歉,但无法登录"和"80041317"或"80043431"错误

若要更新已安装用于域的已加入域Azure Active Directory配置Windows PowerShell,请按照以下步骤操作:

  1. 单击 "开始",单击"所有程序 ",Windows Azure Active Directory", 然后单击"Windows Azure Active Directory 模块"Windows PowerShell。

  2. 在命令提示符下,键入以下命令,然后在每个命令后按 Enter:

    $cred = get-credential
    

    备注

    系统提示时,输入你的云服务管理员凭据。

    Connect-MSOLService –credential:$cred
    
    Set-MSOLADFSContext –Computer: <AD FS 2.0 ServerName>
    

    备注

    在此命令中 ,<AD FS 2.0 服务器 名称>表示Windows AD FS 服务器的主机名。

    Update-MSOLFederatedDomain –DomainName: <Federated Domain Name>
    

    Update-MSOLFederatedDomain –DomainName: <Federated Domain Name> –supportmultipledomain 
    

    备注

    • 当使用同一 AD FS 联合身份验证服务联合多个顶级域时,需要使用 –supportmultipledomain 开关。
    • 在这些命令中, <Federated Domain Name> 占位符表示已联合的域的名称。

重要

可以使用脚本定期自动更新联合元数据,以确保正确复制对 AD FS 令牌签名证书的更改。

该脚本在主 AD FS 服务器上创建 Windows 计划任务,以确保对 AD FS 配置的更改(如信任信息、签名证书更新等)定期传播到 Azure Active Directory (Azure AD) 。

如果在实现脚本的环境中自动续订令牌签名证书,脚本将更新云信任信息,以防止由过期云证书信息导致的停机时间。

如何修复联盟域的配置

在下列 Microsoft 知识库文章中介绍的方案中,必须修复联合域的配置。

  • 2523494尝试登录 Azure、Azure 或 Intune 时收到来自 AD FS 的证书Office 365警告
  • 2618887" 已在使用 AD FS 2.0 服务器中指定的联合身份验证服务标识符"。 错误,当你尝试在 Office 365、Azure 或 Intune 中设置另一个联合域时出错
  • 2713898联合用户登录 Azure 或 Intune 时,来自 AD FS 的"访问站点时出现问题Office 365错误
  • 2647020联合用户尝试登录此服务时出现"您的组织无法登录此服务"错误和"80041317"或"80043431"错误Office 365
  • AD FS 中的联合身份验证服务名称已更改。 有关详细信息,请转到以下 Microsoft 网站 :AD FS 2.0:如何更改联合身份验证服务名称

若要修复已加入域的计算机上安装的联盟域配置,Azure Active Directory模块Windows PowerShell,请按照以下步骤操作。

警告

  • 以下过程使用客户端 的位置删除通过限制对 Office 365服务的访问而创建的任何自定义项。 修复联盟域的配置后,您可能必须重新配置有限的 AD FS 访问。
  • 应仔细规划以下步骤。 从步骤 4 完成到步骤 5 完成,在联盟域中启用了 SSO 功能的用户将无法在此操作期间进行身份验证。 如果未成功执行步骤 1 中的 update-MSOLFederatedDomain cmdlet 测试,则步骤 5 将不能正确完成。 在成功运行 update-MSOLFederatedDomain cmdlet 之前,联盟用户将无法进行身份验证。
  1. 运行本文前面"如何更新联盟域配置"部分中的步骤,以确保 update-MSOLFederatedDomain cmdlet 成功完成。
    • 如果 cmdlet 未成功完成,请不要继续执行此过程。 相反,请参阅本文稍后的"更新或修复联合域时可能遇到的已知问题"部分,以解决问题。
    • 如果 cmdlet 成功完成,则保持命令提示符窗口为打开状态,供以后使用。
  2. 登录到 AD FS 服务器。 为此,请单击"开始",指向"所有程序",指向"管理工具",然后单击 "AD FS (2.0) 管理"。
  3. 在左侧导航窗格中,单击 "AD FS (2.0) ",单击"信任关系", 然后单击"信赖方信任"。
  4. 在最右边的窗格中,删除Microsoft Office 365 标识平台"条目。
  5. 在步骤 1 中打开的 Windows PowerShell 窗口中,重新创建已删除的信任对象。 为此,请运行以下命令,然后按 Enter:
    Update-MSOLFederatedDomain -DomainName <Federated Domain Name>
    
    Update-MSOLFederatedDomain –DomainName:<Federated Domain Name> –supportmultipledomain
    

    备注

    • 当使用同一 AD FS 联合身份验证服务联合多个顶级域时,需要使用 –supportmultipledomain 开关。
    • 在这些命令中, <Federated Domain Name> 占位符表示已联合的域的名称。

更新或修复联盟域时可能遇到的已知问题

在更新或修复联盟域时,以下方案会导致问题:

  • 无法通过使用 Windows PowerShell。 有关此问题详细信息,请参阅以下 Microsoft 知识库文章:

    2494043无法使用 Azure Active Directory 模块进行连接Windows PowerShell

  • 由于Azure Active Directory必备Windows PowerShell,无法加载用于测试的模块。 有关详细信息,请参阅以下 Microsoft 知识库文章:

    2461873无法打开Azure Active Directory模块Windows PowerShell

  • 尝试运行 set-MSOLADFSContext cmdlet 时,收到"拒绝访问"错误消息。 有关详细信息,请参阅以下 Microsoft 知识库文章:

    2587730 <ServerName> cmdlet 时出现"Active Directory 联合身份验证服务 2.0 服务器连接失败"错误Set-MsolADFSContext错误

仍然需要帮助? 转到 Microsoft 社区Azure Active Directory 论坛网站。