여러 페더레이션된 도메인에서 Microsoft 365에 로그인할 수 없습니다.

• 적용 대상:

  Microsoft 365

문제

여러 페더레이션된 도메인(최상위 또는 자식 도메인)의 사용자는 Microsoft 365에 로그인할 수 없습니다. 또한 다음과 같은 오류 메시지가 표시됩니다.

죄송합니다. 로그인하는 데 문제가 있습니다.AADSTS50107: 요청된 페더레이션 영역 개체 'http:// <ADFShostname>/adfs/services/trust'가 없습니다.

원인

이 문제는 다음과 같은 이유로 발생합니다.

• 발급 변환 규칙은 페더레이션된 도메인이 없는 경우 발급자를 기본 AD FS(Active Directory Federation Service) instance 호스트 이름에서 발급자 집합으로 변경해야 합니다.
• 자식 도메인을 추가한 후에는 발급 변환 규칙이 업데이트되지 않습니다.

이 문제는 여러 최상위 도메인이 테넌트용 동일한 AD FS instance 페더레이션되는 경우에 발생합니다.

솔루션

참고

Azure AD 및 MSOnline PowerShell 모듈은 2024년 3월 30일부터 더 이상 사용되지 않습니다. 자세한 내용은 사용 중단 업데이트를 참조하세요. 이 날짜 이후에는 이러한 모듈에 대한 지원이 Microsoft Graph PowerShell SDK 및 보안 수정에 대한 마이그레이션 지원으로 제한됩니다. 사용되지 않는 모듈은 2025년 3월 30일까지 계속 작동합니다.

Microsoft Entra ID(이전의 Azure AD)와 상호 작용하려면 Microsoft Graph PowerShell로 마이그레이션하는 것이 좋습니다. 일반적인 마이그레이션 질문은 마이그레이션 FAQ를 참조하세요. 참고: MSOnline 버전 1.0.x는 2024년 6월 30일 이후에 중단이 발생할 수 있습니다.

1. Microsoft Entra RPT 클레임 규칙으로 이동한 다음 다음을 클릭합니다.

2. 변경할 수 없는 ID(sourceAnchor) ->사용자 로그인(예: UPN 또는 메일)의 값을 지정합니다. 여러 최상위 도메인이 페더레이션된 경우 "AD FS를 사용하는 Microsoft Entra ID 신뢰가 여러 도메인을 지원하나요?"에 응답하라는 메시지가 표시되면 예를 선택합니다.

3. Microsoft 365 PowerShell에 연결한 다음 도메인 목록을 .csv 파일(예: output.csv)으로 내보냅니다. 이렇게 하려면 다음 cmdlet을 실행합니다.

   Import-Module MSOnline
   

   Connect-MsolService
   

   Get-MsolDomain | Select-Object Name, RootDomain, Authentication | ConvertTo-Csv -NoTypeInformation | % {$_.Replace('"','')} | Out-File output.csv
   

4. 클레임 생성을 클릭한 다음 클레임 규칙 섹션에서 PowerShell cmdlet을 복사합니다.

5. cmdlet을 PowerShell 스크립트(예: updatelclaimrules.ps1)로 저장한 다음, 다음 명령을 실행하여 기본 AD FS 서버에서 스크립트를 실행합니다.

   .\Updateclaims.ps1
   

6. 스크립트는 기존 발급 변환 규칙의 Backup을 현재 작업 디렉터리의 .txt 파일로 만듭니다.

스크립트를 사용하여 백업한 발급 규칙을 복원하려면 다음 cmdlet을 실행하고 5단계에서 만든 Backup 파일을 지정합니다. 다음 예제에서 Backup 파일은 Backup 2018.12.26_09.21.03.txt.

Set-AdfsRelyingPartyTrust -TargetIdentifier "urn:federation:MicrosoftOnline" -IssuanceTransformRulesFile "Backup 2018.12.26_09.21.03.txt"