No se puede iniciar sesión en Microsoft 365 desde varios dominios federados
PROBLEMA
Los usuarios de varios dominios federados (dominios de nivel superior o secundarios) no pueden iniciar sesión en Microsoft 365. Además, reciben el siguiente mensaje de error:
Lo siento, pero tenemos problemas para iniciar sesión.AADSTS50107: el objeto de dominio de federación solicitado "http:// <ADFShostname>/adfs/services/trust" no existe.
CAUSA
Este problema se produce debido a uno de los siguientes motivos:
- La regla de transformación de emisión es necesaria para cambiar el emisor del nombre de host de instancia de Active Directory Federation Service (AD FS) predeterminado al conjunto de emisores si falta el dominio federado.
- La regla de transformación de emisión no se actualiza después de agregar dominios secundarios.
Este problema se produce cuando varios dominios de nivel superior están federados en la misma instancia de AD FS para inquilinos.
SOLUCIÓN
Nota:
Los módulos de PowerShell de Azure AD y MSOnline están en desuso a partir del 30 de marzo de 2024. Para obtener más información, lea la actualización de desuso. Después de esta fecha, la compatibilidad con estos módulos se limita a la ayuda de migración al SDK de PowerShell de Microsoft Graph y a las correcciones de seguridad. Los módulos en desuso seguirán funcionando hasta el 30 de marzo de 2025.
Se recomienda migrar a Microsoft Graph PowerShell para interactuar con Microsoft Entra ID (anteriormente Azure AD). Para obtener preguntas comunes sobre la migración, consulte las Preguntas más frecuentes sobre la migración. Nota: Las versiones 1.0.x de MSOnline pueden experimentar interrupciones después del 30 de junio de 2024.
Vaya a Microsoft Entra reglas de notificación de RPT y, a continuación, haga clic en Siguiente.
Especifique el valor de Id. inmutable (sourceAnchor) ->Inicio de sesión de usuario (por ejemplo, UPN o correo). Si hay varios dominios de nivel superior federados, seleccione Sí cuando se le pida que responda a "¿La confianza de Microsoft Entra ID con AD FS admite varios dominios?".
Conéctese a PowerShell de Microsoft 365 y exporte la lista de dominios a un archivo .csv (por ejemplo, output.csv). Para ello, ejecute los siguientes cmdlets:
Import-Module MSOnlineConnect-MsolServiceGet-MsolDomain | Select-Object Name, RootDomain, Authentication | ConvertTo-Csv -NoTypeInformation | % {$_.Replace('"','')} | Out-File output.csvHaga clic en Generar notificaciones y, a continuación, copie los cmdlets de PowerShell de la sección Reglas de notificación .
Guarde los cmdlets como un script de PowerShell (por ejemplo, updatelclaimrules.ps1) y, a continuación, ejecute el siguiente comando para ejecutar el script en el servidor de AD FS principal:
.\Updateclaims.ps1El script realiza una copia de seguridad de las reglas de transformación de emisión existentes como un archivo .txt en el directorio de trabajo actual.
Si desea restaurar las reglas de emisión de las que ha realizado una copia de seguridad mediante el script, ejecute el siguiente cmdlet y especifique el archivo de copia de seguridad que creó en el paso 5. En el ejemplo siguiente, el archivo backup es Backup 2018.12.26_09.21.03.txt.
Set-AdfsRelyingPartyTrust -TargetIdentifier "urn:federation:MicrosoftOnline" -IssuanceTransformRulesFile "Backup 2018.12.26_09.21.03.txt"
Comentarios
Próximamente: A lo largo de 2024 iremos eliminando gradualmente GitHub Issues como mecanismo de comentarios sobre el contenido y lo sustituiremos por un nuevo sistema de comentarios. Para más información, vea: https://aka.ms/ContentUserFeedback.
Enviar y ver comentarios de