更新或修复 Microsoft 365、Azure 或 Intune 中联合域的设置
简介
Microsoft 365、Microsoft Azure 或 Microsoft Intune 等 Microsoft 云服务中的单一登录 (SSO) 取决于本地部署的 Active Directory 联合身份验证服务 (AD FS) 正常运行。 几种方案要求在 AD FS 中重新生成联合域的配置,以更正技术问题。 本文包含有关如何更新或修复联合域配置的分步指南。
更多信息
如何更新联合域的配置
必须在以下 Microsoft 知识库文章中描述的方案中更新联合域的配置。
- 2713898 联合用户登录到 Microsoft 365、Azure 或 Intune 时 AD FS 的“访问站点时遇到问题”错误
- 2535191联合用户尝试登录 Microsoft 365、Azure 或 Intune 时出现“抱歉,我们登录时遇到问题”和“80048163”错误
- 2647020 联合用户尝试 80041317登录 Microsoft 365、Azure 或 80043431 Intune
注意
自 2024 年 3 月 30 日起,Azure AD 和 MSOnline PowerShell 模块已弃用。 若要了解详细信息,请阅读 弃用更新。 在此日期之后,对这些模块的支持仅限于 Microsoft Graph PowerShell SDK 和安全修补程序的迁移帮助。 弃用的模块将继续运行到 2025 年 3 月 30 日。
建议迁移到 Microsoft Graph PowerShell,以便与以前为 Azure AD) Microsoft Entra ID (交互。 有关常见的迁移问题,请参阅 迁移常见问题解答。 注意: MSOnline 1.0.x 版可能会在 2024 年 6 月 30 日之后遇到中断。
若要更新已加入域的计算机上的联合域配置,该计算机安装了用于Windows PowerShell的 Azure Active Directory 模块,请执行以下步骤:
依次单击“开始”、“所有程序”、“Windows Azure Active Directory”和“Windows Azure Active Directory”模块,以Windows PowerShell。
在命令提示符下,键入以下命令,并在每个命令后按 Enter:
$cred = get-credential注意
出现提示时,输入云服务管理员凭据。
Connect-MSOLService –credential:$credSet-MSOLADFSContext –Computer: <AD FS 2.0 ServerName>注意
在此命令中,占位符 <AD FS 2.0 服务器名称> 表示主 AD FS 服务器的 Windows 主机名。
Update-MSOLFederatedDomain –DomainName: <Federated Domain Name>或
Update-MSOLFederatedDomain –DomainName: <Federated Domain Name> –supportmultipledomain注意
- 使用同一 AD FS 联合服务联合多个顶级域时,需要使用 –supportmultipledomain 开关。
- 在这些命令中,占位符 <“联合域名> ”表示已联合的域的名称。
重要
脚本可用于定期自动更新联合元数据,以确保正确复制对 AD FS 令牌签名证书所做的更改。
该脚本在主 AD FS 服务器上创建 Windows 计划任务,以确保对 AD FS 配置所做的更改(如信任信息、签名证书更新等)定期传播到Microsoft Entra ID。
如果在实施脚本的环境中自动续订令牌签名证书,该脚本将更新云信任信息,以防止因云证书信息过期而导致停机。
如何修复联合域的配置
必须在以下 Microsoft 知识库文章中描述的方案中修复联合域的配置。
- 2523494 尝试登录到 Microsoft 365、Azure 或 Intune 时,会收到来自 AD FS 的证书警告
- 2618887 “AD FS 2.0 服务器中指定的联合身份验证服务标识符已在使用”。尝试在 Microsoft 365、Azure 或 Intune中设置另一个联合域时出错
- 2713898 联合用户登录到 Microsoft 365、Azure 或 Intune 时 AD FS 的“访问站点时遇到问题”错误
- 2647020 联合用户尝试登录 Microsoft 365 时出现“组织无法登录到此服务”错误和“80041317”或“80043431”错误代码
- AD FS 中的联合身份验证服务名称已更改。
若要修复安装了用于Windows PowerShell的 Azure Active Directory 模块的已加入域的计算机上的联合域配置,请执行以下步骤。
警告
- 以下过程将删除 通过使用客户端位置限制对 Microsoft 365 服务的访问权限而创建的任何自定义项。 修复联合域的配置后,可能需要重新配置有限的 AD FS 访问。
- 应仔细规划以下步骤。 从步骤 4 完成到步骤 5 完成,在联合域中为其启用了 SSO 功能的用户将无法在此操作期间进行身份验证。 如果未成功执行步骤 1 中的 update-MSOLFederatedDomain cmdlet 测试,步骤 5 将无法正确完成。 在成功运行 update-MSOLFederatedDomain cmdlet 之前,联合用户将无法进行身份验证。
- 运行本文前面“如何更新联合域配置”部分中的步骤,确保 update-MSOLFederatedDomain cmdlet 成功完成。
- 如果 cmdlet 未成功完成,请不要继续此过程。 相反,请参阅本文后面的“更新或修复联合域时可能遇到的已知问题”部分来排查该问题。
- 如果 cmdlet 成功完成,请将命令提示符窗口保持打开状态,供以后使用。
- 登录到 AD FS 服务器。 为此,请单击“ 开始”,指向“ 所有程序”,指向 “管理工具”,然后单击“ AD FS (2.0) 管理”。
- 在左侧导航窗格中,单击“ AD FS (2.0) ”,单击“ 信任关系”,然后单击“ 信赖方信任”。
- 在最右侧的窗格中,删除Microsoft Office 365标识平台条目。
- 在步骤 1 中打开的Windows PowerShell窗口中,重新创建已删除的信任对象。 为此,请运行以下命令,然后按 Enter:
或Update-MSOLFederatedDomain -DomainName <Federated Domain Name>Update-MSOLFederatedDomain –DomainName:<Federated Domain Name> –supportmultipledomain注意
- 使用同一 AD FS 联合服务联合多个顶级域时,需要使用 –supportmultipledomain 开关。
- 在这些命令中,占位符 <“联合域名> ”表示已联合的域的名称。
更新或修复联合域时可能会遇到的已知问题
更新或修复联合域时,以下方案会导致出现问题:
无法使用 Windows PowerShell 进行连接。 有关此问题的详细信息,请参阅以下 Microsoft 知识库文章:
2494043无法使用 Azure Active Directory 模块进行连接Windows PowerShell
由于缺少先决条件,无法加载用于Windows PowerShell的 Azure Active Directory 模块。 有关详细信息,请参阅以下 Microsoft 知识库文章:
2461873无法打开用于Windows PowerShell的 Azure Active Directory 模块
尝试运行 set-MSOLADFSContext cmdlet 时,会收到“拒绝访问”错误消息。 有关详细信息,请参阅以下 Microsoft 知识库文章:
使用 Set-MsolADFSContext cmdlet 时,2587730 “与 <ServerName> Active Directory 联合身份验证服务 2.0 服务器的连接失败”错误
仍然需要帮助? 转到 Microsoft 社区或Microsoft Entra论坛网站。
反馈
即将推出:在整个 2024 年,我们将逐步取消以“GitHub 问题”作为内容的反馈机制,并将其替换为新的反馈系统。 有关详细信息,请参阅:https://aka.ms/ContentUserFeedback。
提交和查看相关反馈