Sdílet prostřednictvím

Nemůžete se přihlásit k Microsoftu 365 z více federovaných domén.

  • Článek
  • Platí pro:
    Microsoft 365

PROBLÉM

Uživatelé z více federovaných domén (domén nejvyšší úrovně nebo podřízených domén) se nemůžou přihlásit k Microsoftu 365. Kromě toho se jim zobrazí následující chybová zpráva:

Omlouváme se, ale máme potíže s přihlášením.AADSTS50107: Požadovaný objekt sféry federace http:// <ADFShostname>/adfs/services/trust neexistuje.

PŘÍČINA

K tomuto problému dochází z jednoho z následujících důvodů:

  • Pravidlo transformace vystavení se vyžaduje ke změně vystavitele z výchozího názvu hostitele instance služby AD FS (Active Directory Federation Service) na nastaveného vystavitele, pokud chybí federovaná doména.
  • Pravidlo transformace vystavení se po přidání podřízených domén neaktualizuje.

K tomuto problému dochází, když je více domén nejvyšší úrovně federováno do stejné instance služby AD FS pro tenanty.

ŘEŠENÍ

Poznámka

Moduly PowerShellu Azure AD a MSOnline jsou od 30. března 2024 zastaralé. Další informace najdete v aktualizaci o vyřazení z provozu. Po tomto datu se podpora těchto modulů omezí na pomoc s migrací na sadu Microsoft Graph PowerShell SDK a opravy zabezpečení. Zastaralé moduly budou fungovat až do 30. března 2025.

Pro interakci s ID Microsoft Entra (dříve Azure AD) doporučujeme migrovat na Microsoft Graph PowerShell . Běžné dotazy k migraci najdete v nejčastějších dotazech k migraci. Poznámka: Po 30. červnu 2024 může dojít k přerušení verze 1.0.x nástroje MSOnline.

  1. Přejděte na Microsoft Entra RPT Claim Rules a klikněte na Další.

  2. Zadejte hodnotu Neměnné ID (sourceAnchor) –>Přihlášení uživatele (například hlavní název uživatele nebo pošta). Pokud je federovaných více domén nejvyšší úrovně, vyberte po zobrazení výzvy k odpovědi na "Podporuje vztah důvěryhodnosti Microsoft Entra ID se službou AD FS více domén? možnost Ano?"

  3. Připojte se k Microsoft 365 PowerShellu a pak seznam domén vyexportujte do souboru .csv (například output.csv). Chcete-li to provést, spusťte následující rutiny:

    Import-Module MSOnline

    Connect-MsolService

    Get-MsolDomain | Select-Object Name, RootDomain, Authentication | ConvertTo-Csv -NoTypeInformation | % {$_.Replace('"','')} | Out-File output.csv

  4. Klikněte na Generovat deklarace identity a pak zkopírujte rutiny PowerShellu z části Pravidla deklarací identity .

  5. Uložte rutiny jako skript PowerShellu (například updatelclaimrules.ps1) a spuštěním následujícího příkazu spusťte skript na primárním serveru SLUŽBY AD FS:

    .\Updateclaims.ps1

  6. Skript vytvoří zálohu existujících pravidel transformace vystavení jako soubor .txt v aktuálním pracovním adresáři.

Pokud chcete obnovit pravidla vystavování, která jste zálohovali pomocí skriptu, spusťte následující rutinu a zadejte záložní soubor, který jste vytvořili v kroku 5. V následujícím příkladu je záložní soubor Backup 2018.12.26_09.21.03.txt.

Set-AdfsRelyingPartyTrust -TargetIdentifier "urn:federation:MicrosoftOnline" -IssuanceTransformRulesFile "Backup 2018.12.26_09.21.03.txt"