Vous ne pouvez pas vous connecter à Microsoft 365 à partir de plusieurs domaines fédérés
PROBLÈME
Les utilisateurs de plusieurs domaines fédérés (domaines de niveau supérieur ou enfant) ne peuvent pas se connecter à Microsoft 365. En outre, ils reçoivent le message d’erreur suivant :
Désolé, mais nous rencontrons des difficultés pour vous connecter.AADSTS50107 : l’objet de domaine de fédération demandé « http:// <ADFShostname>/adfs/services/trust » n’existe pas.
CAUSE
Ce problème se produit pour l’une des raisons suivantes :
- La règle de transformation d’émission est nécessaire pour remplacer l’émetteur par défaut du service de fédération Active Directory (AD FS) instance nom d’hôte par le jeu d’émetteurs si le domaine fédéré est manquant.
- La règle de transformation d’émission n’est pas mise à jour après l’ajout de domaines enfants.
Ce problème se produit lorsque plusieurs domaines de niveau supérieur sont fédérés à la même instance AD FS pour les locataires.
SOLUTION
Remarque
Les modules PowerShell Azure AD et MSOnline sont déconseillés à compter du 30 mars 2024. Pour en savoir plus, lisez la mise à jour déconseillée. Après cette date, la prise en charge de ces modules est limitée à l’assistance à la migration vers le Kit de développement logiciel (SDK) Microsoft Graph PowerShell et aux correctifs de sécurité. Les modules déconseillés continueront de fonctionner jusqu’au 30 mars 2025.
Nous vous recommandons de migrer vers Microsoft Graph PowerShell pour interagir avec Microsoft Entra ID (anciennement Azure AD). Pour les questions courantes sur la migration, reportez-vous au FAQ sur la migration. Note: Les versions 1.0.x de MSOnline peuvent être interrompues après le 30 juin 2024.
Accédez à Microsoft Entra Règles de revendication RPT, puis cliquez sur Suivant.
Spécifiez la valeur pour ID immuable (sourceAnchor) ->Connexion utilisateur (par exemple, UPN ou mail). Si plusieurs domaines de niveau supérieur sont fédérés, sélectionnez Oui lorsque vous êtes invité à répondre à « L’approbation Microsoft Entra ID avec AD FS prend-elle en charge plusieurs domaines ? »
Connectez-vous à Microsoft 365 PowerShell, puis exportez la liste des domaines dans un fichier .csv (par exemple, output.csv). Pour ce faire, exécutez les applets de commande suivantes :
Import-Module MSOnlineConnect-MsolServiceGet-MsolDomain | Select-Object Name, RootDomain, Authentication | ConvertTo-Csv -NoTypeInformation | % {$_.Replace('"','')} | Out-File output.csvCliquez sur Générer des revendications, puis copiez les applets de commande PowerShell à partir de la section Règles de revendication .
Enregistrez les applets de commande en tant que script PowerShell (par exemple, updatelclaimrules.ps1), puis exécutez la commande suivante pour exécuter le script sur le serveur AD FS principal :
.\Updateclaims.ps1Le script effectue une sauvegarde des règles de transformation d’émission existantes sous la forme d’un fichier .txt dans le répertoire de travail actuel.
Si vous souhaitez restaurer les règles d’émission que vous avez sauvegardées à l’aide du script, exécutez l’applet de commande suivante et spécifiez le fichier de sauvegarde que vous avez créé à l’étape 5. Dans l’exemple suivant, le fichier de sauvegarde est Backup 2018.12.26_09.21.03.txt.
Set-AdfsRelyingPartyTrust -TargetIdentifier "urn:federation:MicrosoftOnline" -IssuanceTransformRulesFile "Backup 2018.12.26_09.21.03.txt"
Commentaires
Bientôt disponible : Tout au long de 2024, nous allons supprimer progressivement GitHub Issues comme mécanisme de commentaires pour le contenu et le remplacer par un nouveau système de commentaires. Pour plus d’informations, consultez https://aka.ms/ContentUserFeedback.
Envoyer et afficher des commentaires pour