运行 Convert-MSOLDomaintoFederated 命令转换现有域后，用户无法再登录 - Azure

项目
04/13/2024

本文提供有关在运行 Convert-MSOLDomaintoFederated 命令将现有域从标准身份验证转换为联合身份验证后，用户无法再访问Office 365、Azure 或Microsoft Intune的问题进行故障排除的信息。

原始产品版本： 云服务（Web 角色/辅助角色）、Microsoft Entra ID、Microsoft Intune、Azure 备份、Office 365 标识管理
原始 KB 编号： 2662960

注意

自 2024 年 3 月 30 日起，Azure AD 和 MSOnline PowerShell 模块已弃用。若要了解详细信息，请阅读弃用更新。在此日期之后，对这些模块的支持仅限于 Microsoft Graph PowerShell SDK 和安全修补程序的迁移帮助。弃用的模块将继续运行到 2025 年 3 月 30 日。

建议迁移到 Microsoft Graph PowerShell，以便与以前为 Azure AD) Microsoft Entra ID (交互。有关常见的迁移问题，请参阅迁移常见问题解答。 注意： MSOnline 1.0.x 版可能会在 2024 年 6 月 30 日之后遇到中断。

症状

在 Microsoft 云服务（如 Office 365、Microsoft Azure 或 Microsoft Intune）中设置单一登录 (SSO) 期间，运行 Convert-MSOLDomaintoFederated 命令将现有域从标准身份验证转换为联合身份验证。但是，执行此操作后，与该域关联的用户将无法再访问云服务。

原因

如果未正确设置 SSO 或设置未完成，则会出现此问题。

警告

Microsoft 最佳做法是始终至少有一个与默认域关联的管理员用户 ID，以便在 SSO 泄露时不会丢失对组织的管理访问权限。

解决方案

若要解决此问题，请根据你的情况使用以下方法之一。

方法 1：排查 SSO 设置问题

仅当满足以下所有条件时，才使用此方法：

问题不是由服务中断引起的。
不需要立即还原用户访问。

若要诊断 SSO 设置并对其进行故障排除，请参阅排查 Office 365、Intune 或 Azure 中的单一登录设置问题。

方法 2：如果 AD FS 服务器不可用，请将域联合还原为标准身份验证

仅当满足以下所有条件时，才使用此方法：

该问题由服务中断导致，需要立即还原用户访问。
AD FS 服务器不可用。

如果这些条件为 true，请重置域和每个用户帐户的身份验证设置，以使用标准身份验证。为此，请按照下列步骤操作：

启动用于Windows PowerShell的 Azure Active Directory 模块。为此，请选择“开始”，选择“所有程序”，选择“Windows Azure Active Directory”，右键单击“Windows PowerShell的 Windows Azure Active Directory 模块”，然后选择“以管理员身份运行”。
若要转换域，请按照它们显示的顺序运行以下命令。键入每个命令后按 Enter。
```
$cred = Get-Credential
```
出现提示时，输入未启用 SSO 的云服务管理员凭据。
```
Connect-MsolService -credential $cred
```
```
Set-MSOLDomainAuthentication -Authentication Managed -DomainName <federated domain name>
```
注意

在此命令中，占位符 <联合域名> 表示 SSO 不起作用的域的名称。
对于用户主体名称 (UPN) 后缀与域关联的每个用户，请运行以下命令：
```
Convert-MSOLFederatedUser -UserPrincipalName <string>
```
注意

在此命令中，占位符 <字符串> 表示要转换的用户的 UPN 值。

联系我们寻求帮助

如果你有任何疑问或需要帮助，请创建支持请求或联系 Azure 社区支持。还可以向 Azure 反馈社区提交产品反馈。

症状

原因

解决方案

方法 1：排查 SSO 设置问题

方法 2：如果 AD FS 服务器不可用，请将域联合还原为标准身份验证

更多信息

联系我们寻求帮助

反馈

反馈

其他资源