Udostępnij za pośrednictwem

Nie można zalogować się do platformy Microsoft 365 z wielu domen federacyjnych

  • Dotyczy: Microsoft 365

PROBLEM

Użytkownicy z wielu domen federacyjnych (domen najwyższego poziomu lub domen podrzędnych) nie mogą logować się do platformy Microsoft 365. Ponadto otrzymują następujący komunikat o błędzie:

Niestety, mamy problem z zalogowaniem się.AADSTS50107: Żądany obiekt obszaru federacji "http:// <ADFShostname>/adfs/services/trust" nie istnieje.

PRZYCZYNA

Ten problem może mieć jedną z następujących przyczyn:

  • Reguła przekształcania wystawiania jest wymagana, aby zmienić wystawcę z domyślnej nazwy hosta instancji usługi federacyjnej Active Directory (AD FS) na ustawionego wystawcę, jeśli nie ma domeny federacyjnej.
  • Reguła transformacji wystawienia nie jest aktualizowana, gdy dodasz domeny podrzędne.

Problem ten występuje, gdy wiele domen najwyższego poziomu jest federowane do tego samego wystąpienia usług AD FS dla dzierżawców.

ROZWIĄZANIE

Uwaga / Notatka

Moduły Azure AD i MSOnline PowerShell będą wycofane z dniem 30 marca 2024 r. Aby dowiedzieć się więcej, przeczytaj aktualizację na temat wycofania. Po tej dacie obsługa tych modułów jest ograniczona do pomocy dotyczącej migracji do zestawu MICROSOFT Graph PowerShell SDK i poprawek zabezpieczeń. Przestarzałe moduły będą nadal działać do 30 marca 2025 r.

Zalecamy migrację do programu Microsoft Graph PowerShell w celu interakcji z identyfikatorem Entra firmy Microsoft (dawniej Azure AD). W przypadku typowych pytań dotyczących migracji zapoznaj się z często zadawanymi pytaniami dotyczącymi migracji. Uwaga: Wersje 1.0.x usługi MSOnline mogą napotkać zakłócenia po 30 czerwca 2024 r.

  1. Przejdź do pozycji Microsoft Entra RPT Claim Rules (Reguły oświadczeń RPT firmy Microsoft), a następnie kliknij przycisk Next (Dalej).

  2. Określ wartość niezmiennego identyfikatora (sourceAnchor) —>logowanie użytkownika (na przykład nazwa UPN lub poczta). Jeśli wiele domen najwyższego poziomu jest zintegrowanych, wybierz pozycję Tak, gdy wyświetli się monit o odpowiedź na pytanie "Czy Microsoft Entra ID w integracji z AD FS obsługuje wiele domen górnego poziomu?".

  3. Połącz się z programem PowerShell platformy Microsoft 365, a następnie wyeksportuj listę domen do pliku .csv (na przykład output.csv). W tym celu uruchom następujące polecenia cmdlet:

    Import-Module MSOnline

    Connect-MsolService

    Get-MsolDomain | Select-Object Name, RootDomain, Authentication | ConvertTo-Csv -NoTypeInformation | % {$_.Replace('"','')} | Out-File output.csv

  4. Kliknij pozycję Generuj oświadczenia, a następnie skopiuj polecenia cmdlet programu PowerShell z sekcji Reguły oświadczeń .

  5. Zapisz polecenia cmdlet jako skrypt programu PowerShell (na przykład updatelclaimrules.ps1), a następnie uruchom następujące polecenie, aby uruchomić skrypt na podstawowym serwerze usług AD FS:

    .\Updateclaims.ps1

  6. Skrypt tworzy kopię zapasową istniejących reguł przekształcania wystawiania jako plik .txt w bieżącym katalogu roboczym.

Jeśli chcesz przywrócić reguły wystawiania, których kopia zapasowa została utworzona przy użyciu skryptu, uruchom następujące polecenie cmdlet i określ plik kopii zapasowej utworzony w kroku 5. W poniższym przykładzie plik kopii zapasowej to Backup 2018.12.26_09.21.03.txt.

Set-AdfsRelyingPartyTrust -TargetIdentifier "urn:federation:MicrosoftOnline" -IssuanceTransformRulesFile "Backup 2018.12.26_09.21.03.txt"