Több összevont tartományból nem tud bejelentkezni a Microsoft 365-be
PROBLÉMA
Több összevont tartomány (legfelső szintű vagy gyermektartomány) felhasználói nem jelentkezhetnek be a Microsoft 365-be. Emellett a következő hibaüzenetet kapják:
Sajnáljuk, de nem tudunk bejelentkezni.AADSTS50107: A kért összevonási tartományobjektum (http:// <ADFShostname>/adfs/services/trust) nem létezik.
OKOZ
Ez a probléma az alábbi okok valamelyike miatt fordulhat elő:
- A kiállítási átalakítási szabályra azért van szükség, hogy a kiállítót az Active Directory összevonási szolgáltatás (AD FS) alapértelmezett példányának gazdanevéről a kiállító beállítására módosítsa, ha az összevont tartomány hiányzik.
- A kiadási átalakítási szabály nem frissül a gyermektartományok hozzáadása után.
Ez a probléma akkor fordul elő, ha több legfelső szintű tartomány van összevonva a bérlők ugyanazon AD FS-példányával.
MEGOLDÁS
Megjegyzés:
Azure AD és MSOnline PowerShell-modulok 2024. március 30-ától elavultak. További információért olvassa el az elavulással kapcsolatos frissítést. Ezen időpont után ezeknek a moduloknak a támogatása a Microsoft Graph PowerShell SDK-ra való migrálásra és a biztonsági javításokra korlátozódik. Az elavult modulok továbbra is működni fognak 2025. március 30-án.
Javasoljuk, hogy migráljon a Microsoft Graph PowerShellbe a Microsoft Entra ID (korábban Azure AD) használatához. A gyakori migrálási kérdésekért tekintse meg a migrálással kapcsolatos gyakori kérdéseket. Megjegyzés: Az MSOnline 1.0.x verziói 2024. június 30. után fennakadásokat tapasztalhatnak.
Nyissa meg Microsoft Entra RPT-jogcímszabályokat, majd kattintson a Tovább gombra.
Adja meg a nem módosítható azonosító (sourceAnchor) –>Felhasználói bejelentkezés (például UPN vagy mail) értékét. Ha több legfelső szintű tartomány van összevontan, válassza az Igen lehetőséget, amikor a rendszer arra kéri, hogy válaszoljon a következőre: "Az AD FS Microsoft Entra ID megbízhatósága több tartományt is támogat?".
Csatlakozzon a Microsoft 365 PowerShellhez, majd exportálja a tartományok listáját egy .csv fájlba (például output.csv). Ehhez futtassa a következő parancsmagokat:
Import-Module MSOnlineConnect-MsolServiceGet-MsolDomain | Select-Object Name, RootDomain, Authentication | ConvertTo-Csv -NoTypeInformation | % {$_.Replace('"','')} | Out-File output.csvKattintson a Jogcímek létrehozása elemre, majd másolja ki a PowerShell-parancsmagokat a Jogcímszabályok szakaszból.
Mentse a parancsmagokat PowerShell-szkriptként (például updatelclaimrules.ps1), majd futtassa a következő parancsot a szkript elsődleges AD FS-kiszolgálón való futtatásához:
.\Updateclaims.ps1A szkript biztonsági másolatot készít a meglévő kiállítási átalakítási szabályokról .txt fájlként az aktuális munkakönyvtárban.
Ha vissza szeretné állítani a szkripttel készített kiállítási szabályokat, futtassa a következő parancsmagot, és adja meg az 5. lépésben létrehozott Biztonsági mentés fájlt. A következő példában a Backup fájl a Backup 2018.12.26_09.21.03.txt.
Set-AdfsRelyingPartyTrust -TargetIdentifier "urn:federation:MicrosoftOnline" -IssuanceTransformRulesFile "Backup 2018.12.26_09.21.03.txt"
Visszajelzés
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ: https://aka.ms/ContentUserFeedback.
Visszajelzés küldése és megtekintése a következőhöz: