Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
PROBLEM
Benutzer aus mehreren Verbunddomänen (top-level or child domains) können sich nicht bei Microsoft 365 anmelden. Darüber hinaus erhalten sie die folgende Fehlermeldung:
Leider treten Probleme bei der Anmeldung auf.AADSTS50107: Das angeforderte Verbundbereichsobjekt "http:// <ADFShostname>/adfs/services/trust" ist nicht vorhanden.
URSACHE
Dieses Problem kann aus einem der folgenden Gründe auftreten:
- Die Ausstellungsregel zur Transformation wird benötigt, um den Aussteller vom standardmäßigen AD FS-Instanzhostnamen (Active Directory Federation Service) auf den festgelegten Aussteller zu ändern, falls die verbundene Domäne fehlt.
- Die Ausstellungstransformationsregel wird nach dem Hinzufügen untergeordneter Domänen nicht aktualisiert.
Dieses Problem tritt auf, wenn mehrere Domänen auf oberster Ebene mit derselben AD FS-Instanz für Mandanten verbunden sind.
LÖSUNG
Hinweis
Azure AD- und MSOnline PowerShell-Module sind ab dem 30. März 2024 veraltet. Weitere Informationen finden Sie im Update zur Einstellung. Nach diesem Datum sind die Unterstützung für diese Module auf die Migrationsunterstützung für das Microsoft Graph PowerShell SDK und Sicherheitsupdates beschränkt. Die veralteten Module funktionieren weiterhin bis zum 30. März 2025.
Es wird empfohlen, zu Microsoft Graph PowerShell zu migrieren, um mit Microsoft Entra ID (vormals Azure AD) zu interagieren. Informationen zu allgemeinen Migrationsfragen finden Sie in den häufig gestellten Fragen zur Migration. Anmerkung: Versionen 1.0.x von MSOnline könnten nach dem 30. Juni 2024 von Unterbrechungen betroffen sein.
Wechseln Sie zu "Microsoft Entra RPT-Anspruchsregeln", und klicken Sie dann auf "Weiter".
Geben Sie den Wert für unveränderliche ID (sourceAnchor) ->User Sign In (z. B. UPN oder E-Mail) an. Wenn mehrere Top-Level-Domänen föderiert sind, wählen Sie Ja aus, wenn Sie aufgefordert werden, auf "Unterstützt die Microsoft Entra ID-Vertrauensstellung mit AD FS mehrere Domänen?" zu antworten.
Stellen Sie eine Verbindung mit der Microsoft 365 PowerShell her, und exportieren Sie dann die Liste der Domänen in eine .csv-Datei (z. B. output.csv). Führen Sie dazu die folgenden Cmdlets aus:
Import-Module MSOnlineConnect-MsolServiceGet-MsolDomain | Select-Object Name, RootDomain, Authentication | ConvertTo-Csv -NoTypeInformation | % {$_.Replace('"','')} | Out-File output.csvKlicken Sie auf " Ansprüche generieren", und kopieren Sie dann die PowerShell-Cmdlets aus dem Abschnitt "Anspruchsregeln ".
Speichern Sie die Cmdlets als PowerShell-Skript (z. B. updatelclaimrules.ps1), und führen Sie dann den folgenden Befehl aus, um das Skript auf dem primären AD FS-Server auszuführen:
.\Updateclaims.ps1Das Skript erstellt eine Sicherungskopie der bestehenden Ausstellungsregeln als .txt-Datei im aktuellen Arbeitsverzeichnis.
Wenn Sie die Veröffentlichungsregeln wiederherstellen möchten, die Sie mithilfe des Skripts gesichert haben, führen Sie das folgende Cmdlet aus, und geben Sie die Sicherungsdatei an, die Sie in Schritt 5 erstellt haben. Im folgenden Beispiel ist die Sicherungsdatei Backup 2018.12.26_09.21.03.txt.
Set-AdfsRelyingPartyTrust -TargetIdentifier "urn:federation:MicrosoftOnline" -IssuanceTransformRulesFile "Backup 2018.12.26_09.21.03.txt"