U domén synchronizovaných pomocí Azure AD Connect se poměrně často setkávám s tím, že zákazník si synchronizaci nasadí sám, ale...
Převod federované domény na standardní v Office 365
Pokud chcete zrušit federaci domény v Office 365 a zbavit se ADFS serveru a tedy přejít ze single sign-on na cloudové identity, můžete jednoduše pomocí Office 365 Management Shellu pomocí cmdletu Convert-MsolDomainToStandard .
Problém ovšem je, pokud ADFS server nemáte z nějakého důvodu dostupný. V takovém případě totiž daná operace neprojde, protože Office 365 se nepodaří spojit s ADFS serverem.
1 2 3 4 5 6 7 8 9 10 | Convert-MsolDomainToStandard -DomainName <domain> -SkipUserConversion $false -PasswordFile C:\passwords.txt I got error Convert-MsolDomainToStandard : Failed to connect to Active Directory Federation Services 2.0 on the local machine. Ple ase try running Set-MsolADFSContext before running this command again. At line:1 char:1 + Convert-MsolDomainToStandard -DomainName <domain> -SkipUserConversion ... + ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ + CategoryInfo : InvalidOperation: (:) [Convert-MsolDomainToStandard], FederationException + FullyQualifiedErrorId : InvalidCommandSequenceGeneva,Microsoft.Online.Identity.Federation.Powershell.ConvertDoma inToManaged |
Převod federované domény při nedostupném ADFS serveru
Je tedy potřeba se nějakým způsobem zbavit ADFS a doménu nejdříve odpojit a následně převést uživatele, tedy postupovat ve dvou samostatných krocích.
Prvním krokem je tedy změnit způsob ověření ze single sign-on na standardní identity ověřované v Office 365 pomocí cmdletu Set-MsolDomainAuthentication . Konkrétně v mém případě příkaz vypadal následovně
1 | Set-MsolDomainAuthentication -DomainName <domain> -Authentication Managed |
Tím jsem se zbavil federace a mohl jsem se přihlásit účty s ověřením přímo v Office 365. Nyní jsem ještě potřeboval všechny účty převést ze synchronizovaných s lokální Active Directory na čistě cloudové účty. To jsem provedl přímo v Office 365 Admin Center. Protože tato funkce není ještě v době psaní článku dostupná v novém portálu, musel jsem se přepnout do starého portálu.
Ve starém portálu se přepněte na záložku Users – Active Users a v horní části je volba Active Directory synchronization, kde zvolte Manage.
Zde je již volba Directory sync status, kde v případě aktivní synchronizace uvidíte Activated. Klikněte tedy na tlačítko Deactivate, čímž synchronizaci deaktivujete. Kompletní deaktivace a převod uživatelů na cloudové může trvat až 72 hodin. V mém případě to bylo ale během pár desítek minut hotové.