Freigeben über

Sie können sich nicht über mehrere Verbunddomänen bei Microsoft 365 anmelden.

  • Artikel
  • Gilt für::
    Microsoft 365

PROBLEM

Benutzer aus mehreren Verbunddomänen (Domänen der obersten ebene oder untergeordneten Domäne) können sich nicht bei Microsoft 365 anmelden. Darüber hinaus erhalten sie die folgende Fehlermeldung:

Leider haben wir Probleme bei der Anmeldung.AADSTS50107: Das angeforderte Verbundbereichsobjekt "http:// <ADFShostname>/adfs/services/trust" ist nicht vorhanden.

URSACHE

Dieses Problem kann aus einem der folgenden Gründe auftreten:

  • Die Ausstellungstransformationsregel ist erforderlich, um den Aussteller vom Standardmäßighostnamen der Active Directory-Verbunddienstinstanz (AD FS) in den Aussteller zu ändern, der festgelegt ist, wenn die Verbunddomäne fehlt.
  • Die Ausstellungstransformationsregel wird nicht aktualisiert, nachdem Sie untergeordnete Domänen hinzugefügt haben.

Dieses Problem tritt auf, wenn mehrere Domänen der obersten Ebene mit derselben AD FS-Instanz für Mandanten verbunden sind.

LÖSUNG

Hinweis

Azure AD- und MSOnline PowerShell-Module sind ab dem 30. März 2024 veraltet. Weitere Informationen finden Sie im Update zu Einstellungen. Nach diesem Datum beschränkt sich der Support für diese Module auf Unterstützung bei der Migration zum Microsoft Graph PowerShell SDK und auf Sicherheitskorrekturen. Die veralteten Module werden noch bis zum 30. März 2025 zur Verfügung stehen.

Es wird empfohlen, zu Microsoft Graph PowerShell zu migrieren, um mit Microsoft Entra ID (früher Azure AD) zu interagieren. Allgemeine Fragen zur Migration finden Sie in den Häufig gestellten Fragen zur Migration. Hinweis: Bei den Versionen 1.0.x von MSOnline kann es nach dem 30. Juni 2024 zu Unterbrechungen kommen.

  1. Wechseln Sie zu Microsoft Entra RPT-Anspruchsregeln, und klicken Sie dann auf Weiter.

  2. Geben Sie den Wert für Unveränderliche ID (sourceAnchor) ->User Sign In (z. B. UPN oder E-Mail) an. Wenn mehrere Domänen der obersten Ebene verbundiert sind, wählen Sie Ja aus, wenn Sie aufgefordert werden, auf "Unterstützt die Microsoft Entra ID mit AD FS mehrere Domänen?" zu antworten.

  3. Stellen Sie eine Verbindung mit Microsoft 365 PowerShell her, und exportieren Sie dann die Liste der Domänen in eine .csv-Datei (z. B. output.csv). Führen Sie dazu die folgenden Cmdlets aus:

    Import-Module MSOnline

    Connect-MsolService

    Get-MsolDomain | Select-Object Name, RootDomain, Authentication | ConvertTo-Csv -NoTypeInformation | % {$_.Replace('"','')} | Out-File output.csv

  4. Klicken Sie auf Ansprüche generieren, und kopieren Sie dann die PowerShell-Cmdlets aus dem Abschnitt Anspruchsregeln .

  5. Speichern Sie die Cmdlets als PowerShell-Skript (z. B. updatelclaimrules.ps1), und führen Sie dann den folgenden Befehl aus, um das Skript auf dem primären AD FS-Server auszuführen:

    .\Updateclaims.ps1

  6. Das Skript erstellt eine Sicherung der vorhandenen Ausstellungstransformationsregeln als .txt-Datei im aktuellen Arbeitsverzeichnis.

Wenn Sie die Ausstellungsregeln wiederherstellen möchten, die Sie mithilfe des Skripts gesichert haben, führen Sie das folgende Cmdlet aus, und geben Sie die Sicherungsdatei an, die Sie in Schritt 5 erstellt haben. Im folgenden Beispiel lautet die Sicherungsdatei Backup 2018.12.26_09.21.03.txt.

Set-AdfsRelyingPartyTrust -TargetIdentifier "urn:federation:MicrosoftOnline" -IssuanceTransformRulesFile "Backup 2018.12.26_09.21.03.txt"