Você não pode entrar no Microsoft 365 de vários domínios federados
PROBLEMA
Usuários de vários domínios federados (domínios de nível superior ou filho) não podem entrar no Microsoft 365. Além disso, eles recebem a seguinte mensagem de erro:
Desculpe, mas estamos com problemas para entrar.AADSTS50107: O objeto de domínio de federação solicitado 'http:// <ADFShostname>/adfs/services/trust' não existe.
CAUSA
Este problema ocorre por um dos seguintes motivos:
- A regra Transformação de Emissão é necessária para alterar o emissor do nome de host de instância padrão do AD FS (Active Directory Federation Service) para o conjunto de emissores se o domínio federado estiver ausente.
- A regra Transformação de Emissão não é atualizada depois que você adiciona domínios filho.
Esse problema ocorre quando vários domínios de nível superior são federados para a mesma instância do AD FS para locatários.
SOLUÇÃO
Observação
os módulos Azure AD e MSOnline PowerShell são preteridos a partir de 30 de março de 2024. Para saber mais, leia a atualização de preterição. Após essa data, o suporte para esses módulos é limitado à assistência de migração para o SDK do Microsoft Graph PowerShell e correções de segurança. Os módulos preteridos continuarão funcionando até março de 2025.
Recomendamos migrar para o Microsoft Graph PowerShell para interagir com Microsoft Entra ID (anteriormente Azure AD). Para perguntas comuns sobre migração, consulte as perguntas frequentes sobre migração. Nota: As versões 1.0.x do MSOnline podem sofrer interrupções após 30 de junho de 2024.
Acesse Microsoft Entra Regras de Declaração do RPT e clique em Avançar.
Especifique o valor da ID Imutável (sourceAnchor) ->Entrada do usuário (por exemplo, UPN ou email). Se vários domínios de nível superior forem federados, selecione Sim quando você for solicitado a responder a "O Microsoft Entra ID confia com o AD FS dá suporte a vários domínios?"
Conecte-se ao Microsoft 365 PowerShell e exporte a lista de domínios para um arquivo .csv (por exemplo, output.csv). Para fazer isso, execute os seguintes cmdlets:
Import-Module MSOnlineConnect-MsolServiceGet-MsolDomain | Select-Object Name, RootDomain, Authentication | ConvertTo-Csv -NoTypeInformation | % {$_.Replace('"','')} | Out-File output.csvClique em Gerar Declarações e copie os cmdlets do PowerShell na seção Regras de Declaração .
Salve os cmdlets como um script do PowerShell (por exemplo, updatelclaimrules.ps1) e execute o seguinte comando para executar o script no servidor AD FS primário:
.\Updateclaims.ps1O script faz um Backup das regras de Transformação de Emissão existentes como um arquivo .txt no diretório de trabalho atual.
Se você quiser restaurar as regras de emissão que fez backup usando o script, execute o cmdlet a seguir e especifique o arquivo de backup que você criou na etapa 5. No exemplo a seguir, o arquivo backup é Backup 2018.12.26_09.21.03.txt.
Set-AdfsRelyingPartyTrust -TargetIdentifier "urn:federation:MicrosoftOnline" -IssuanceTransformRulesFile "Backup 2018.12.26_09.21.03.txt"
Comentários
Em breve: Ao longo de 2024, eliminaremos os problemas do GitHub como o mecanismo de comentários para conteúdo e o substituiremos por um novo sistema de comentários. Para obter mais informações, consulte https://aka.ms/ContentUserFeedback.
Enviar e exibir comentários de