Z více federovaných domén se nemůžete přihlásit k Microsoftu 365

PROBLÉM

Uživatelé z více federovaných domén (nejvyšší nebo podřízené domény) se nemůžou přihlásit k Microsoftu 365. Navíc se jim zobrazí následující chybová zpráva:

Omlouváme se, ale máme problém vás přihlásit.AADSTS50107: Požadovaný objekt sféry federace http:// <ADFShostname>/adfs/services/trust neexistuje.

ZPŮSOBIT

K tomuto problému dochází z jednoho z následujících důvodů:

  • Pravidlo Transformace vystavování se vyžaduje ke změně vystavitele z výchozího názvu hostitele instance služby AD FS (Active Directory Federation Service) na vystavitele nastaveného v případě, že chybí federovaná doména.
  • Po přidání podřízených domén se pravidlo Transformace vystavení neaktualizuje.

K tomuto problému dochází, když je více domén nejvyšší úrovně federovaných do stejné instance služby AD FS pro tenanty.

ŘEŠENÍ

  1. Přejděte na Azure AD pravidla deklarací identity RPT a potom klikněte na Další.

  2. Zadejte hodnotu neměnného ID (sourceAnchor) ->User Sign In (například HLAVNÍ NÁZEV uživatele nebo pošta). Pokud je federováno více domén nejvyšší úrovně, vyberte po zobrazení výzvy k odpovědi na "Podporuje Azure AD vztah důvěryhodnosti se službou AD FS více domén?" vyberte Ano.

  3. Připojte se k Microsoft 365 PowerShellu a exportujte seznam domén do souboru .csv (například output.csv). Uděláte to tak, že spustíte následující rutiny:

    Import-Module MSOnline
    
    Connect-MsolService
    
    Get-MsolDomain | Select-Object Name, RootDomain, Authentication | ConvertTo-Csv -NoTypeInformation | % {$_.Replace('"','')} | Out-File output.csv
    
  4. Klikněte na Generovat deklarace identity a potom zkopírujte rutiny PowerShellu z oddílu Pravidla deklarací identity .

  5. Uložte rutiny jako skript PowerShellu (například updatelclaimrules.ps1) a spuštěním následujícího příkazu spusťte skript na primárním serveru služby AD FS:

    .\Updateclaims.ps1
    
  6. Skript vytvoří zálohu stávajících pravidel transformace vystavení jako .txt soubor v aktuálním pracovním adresáři.

Pokud chcete obnovit pravidla vystavování, která jste zálohovali pomocí skriptu, spusťte následující rutinu a zadejte záložní soubor, který jste vytvořili v kroku 5. V následujícím příkladu je záložní soubor backup 2018.12.26_09.21.03.txt.

Set-AdfsRelyingPartyTrust -TargetIdentifier "urn:federation:MicrosoftOnline" -IssuanceTransformRulesFile "Backup 2018.12.26_09.21.03.txt"