Du kan ikke logge på Microsoft 365 fra flere domener i forbund
PROBLEM
Brukere fra flere domener i forbund (øverste eller underordnede domener) kan ikke logge på Microsoft 365. I tillegg får de følgende feilmelding:
Beklager, men vi har problemer med å logge deg på.AADSTS50107: Forespurt forbundsområdeobjekt http:// <ADFShostname>/adfs/services/trust finnes ikke.
FORÅRSAKE
Problemet kan skje grunnet en av følgende årsaker:
- Regelen for utstedelsestransformering kreves for å endre utstederen fra standard vertsnavn for Active Directory Federation Service (AD FS)-forekomsten til utstederen som er angitt hvis domenet som er i forbund mangler.
- Regelen for utstedelsestransformering oppdateres ikke etter at du har lagt til underordnede domener.
Dette problemet oppstår når flere domener på øverste nivå er samlet til samme AD FS-forekomst for leiere.
LØSNING
Obs!
Azure AD- og MSOnline PowerShell-moduler avvikles fra og med 30. mars 2024. Hvis du vil ha mer informasjon, kan du lese avskrivingsoppdateringen. Etter denne datoen er støtte for disse modulene begrenset til overføringshjelp til Microsoft Graph PowerShell SDK og sikkerhetsoppdateringer. De avskrevne modulene vil fortsette å fungere til og med 30. mars 2025.
Vi anbefaler at du overfører til Microsoft Graph PowerShell for å samhandle med Microsoft Entra ID (tidligere Azure AD). Se vanlige spørsmål om overføring for vanlige spørsmål om overføring. Merk: Versjoner 1.0.x av MSOnline kan oppleve forstyrrelser etter 30. juni 2024.
Gå til Microsoft Entra RPT-kravregler, og klikk deretter Neste.
Angi verdien for Uforanderlig ID (sourceAnchor) –>Brukerpålogging (for eksempel UPN eller e-post). Hvis flere domener på øverste nivå er samlet, velger du Ja når du blir bedt om å svare på «Støtter Microsoft Entra ID med AD FS flere domener?»
Koble til Microsoft 365 PowerShell, og eksporter deretter listen over domener til en .csv-fil (for eksempel output.csv). Hvis du vil gjøre dette, kjører du følgende cmdleter:
Import-Module MSOnlineConnect-MsolServiceGet-MsolDomain | Select-Object Name, RootDomain, Authentication | ConvertTo-Csv -NoTypeInformation | % {$_.Replace('"','')} | Out-File output.csvKlikk Generer krav, og kopier deretter PowerShell-cmdleter fra kravregler-delen .
Lagre cmdletene som et PowerShell-skript (for eksempel updatelclaimrules.ps1), og kjør deretter følgende kommando for å kjøre skriptet på den primære AD FS-serveren:
.\Updateclaims.ps1Skriptet tar en sikkerhetskopi av eksisterende regler for utstedelsestransformering som en .txt-fil i gjeldende arbeidskatalog.
Hvis du vil gjenopprette utstedelsesreglene som du sikkerhetskopierte ved hjelp av skriptet, kjører du følgende cmdlet og angir sikkerhetskopifilen du opprettet i trinn 5. I eksemplet nedenfor er sikkerhetskopifilen 2018.12.26_09.21.03.txt.
Set-AdfsRelyingPartyTrust -TargetIdentifier "urn:federation:MicrosoftOnline" -IssuanceTransformRulesFile "Backup 2018.12.26_09.21.03.txt"
Tilbakemeldinger
Kommer snart: Gjennom 2024 faser vi ut GitHub Issues som tilbakemeldingsmekanisme for innhold, og erstatter det med et nytt system for tilbakemeldinger. Hvis du vil ha mer informasjon, kan du se: https://aka.ms/ContentUserFeedback.
Send inn og vis tilbakemelding for