Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
PROBLEMA
Gli utenti di più domini federati (domini di primo livello o figlio) non possono accedere a Microsoft 365. Inoltre, ricevono il seguente messaggio di errore:
Siamo spiacenti, ma stiamo avendo problemi ad effettuare il tuo accesso.AADSTS50107: l'oggetto dell'area di autenticazione federativa richiesto 'http:// <ADFShostname>/adfs/services/trust' non esiste.
CAUSA
Questo problema si verifica per uno dei motivi seguenti:
- La regola di trasformazione di emissione è necessaria per modificare l'autorità emittente dal nome host predefinito dell'istanza di Active Directory Federation Service (AD FS) all'autorità emittente impostata se manca il dominio federato.
- La regola di trasformazione di rilascio non viene aggiornata dopo l'aggiunta di domini figlio.
Questo problema si verifica quando più domini di primo livello vengono federati alla stessa istanza di AD FS per i tenant.
SOLUZIONE
Annotazioni
I moduli Azure AD e MSOnline PowerShell sono deprecati a partire dal 30 marzo 2024. Per maggiori informazioni, consultare l'aggiornamento sulla disattivazione. Dopo questa data, il supporto per questi moduli è limitato all'assistenza per la migrazione a Microsoft Graph PowerShell SDK e alle correzioni di sicurezza. I moduli deprecati continueranno a funzionare fino al 30 marzo 2025.
È consigliabile eseguire la migrazione a Microsoft Graph PowerShell per interagire con Microsoft Entra ID (in precedenza Azure AD). Per domande comuni sulla migrazione, consultare le Domande frequenti sulla migrazione. Nota: le versioni 1.0.x di MSOnline potrebbero subire interruzioni dopo il 30 giugno 2024.
Vai alle Regole delle attestazioni RPT di Microsoft Entra e quindi clicca su Avanti.
Specificare il valore per ID non modificabile (sourceAnchor) ->User Sign In (ad esempio, UPN o mail). Se vengono federati più domini di primo livello, selezionare Sì quando viene richiesto di rispondere a "Il criterio di fiducia di Microsoft Entra ID con AD FS supporta più domini?"
Connettersi a PowerShell di Microsoft 365 e quindi esportare l'elenco di domini in un file di .csv ( ad esempio, output.csv). A tale scopo, eseguire i cmdlet seguenti:
Import-Module MSOnline
Connect-MsolService
Get-MsolDomain | Select-Object Name, RootDomain, Authentication | ConvertTo-Csv -NoTypeInformation | % {$_.Replace('"','')} | Out-File output.csv
Fare clic su Genera attestazioni e quindi copiare i cmdlet di PowerShell dalla sezione Regole attestazioni .
Salvare i cmdlet come script di PowerShell (ad esempio, updatelclaimrules.ps1) e quindi eseguire il comando seguente per eseguire lo script nel server AD FS primario:
.\Updateclaims.ps1
Lo script esegue un backup delle regole esistenti di trasformazione dell'emissione come file .txt nella directory di lavoro corrente.
Per ripristinare le regole di rilascio di cui è stato eseguito il backup usando lo script, eseguire il cmdlet seguente e specificare il file di backup creato nel passaggio 5. Nell'esempio seguente il file di backup è Backup 2018.12.26_09.21.03.txt.
Set-AdfsRelyingPartyTrust -TargetIdentifier "urn:federation:MicrosoftOnline" -IssuanceTransformRulesFile "Backup 2018.12.26_09.21.03.txt"