Condividi tramite

Non è possibile accedere a Microsoft 365 da più domini federati

  • Articolo
  • Si applica a:
    Microsoft 365

PROBLEMA

Gli utenti di più domini federati (domini di primo livello o figlio) non possono accedere a Microsoft 365. Inoltre, ricevono il messaggio di errore seguente:

Spiacenti, ma abbiamo problemi ad accedervi.AADSTS50107: l'oggetto dell'area di autenticazione federativa richiesto 'http:// <ADFShostname>/adfs/services/trust' non esiste.

CAUSA

Questo problema si verifica per una delle seguenti ragioni:

  • La regola di trasformazione rilascio è necessaria per modificare l'autorità emittente dal nome host dell'istanza di Active Directory Federation Service (AD FS) predefinita all'autorità emittente impostata se il dominio federato è mancante.
  • La regola trasformazione rilascio non viene aggiornata dopo l'aggiunta di domini figlio.

Questo problema si verifica quando più domini di primo livello sono federati nella stessa istanza di AD FS per i tenant.

SOLUZIONE

Nota

I moduli PowerShell di Azure AD e MSOnline saranno deprecati a partire dal 30 marzo 2024. Per ulteriori informazioni, leggere l'aggiornamento sulla deprecazione. Dopo questa data, il supporto per questi moduli è limitato all'assistenza per la migrazione a Microsoft Graph PowerShell SDK e alle correzioni per la sicurezza. I moduli deprecati continueranno a funzionare fino al 30 marzo 2025.

È consigliabile effettuare la migrazione a Microsoft Graph PowerShell per interagire con Microsoft Entra ID (in precedenza Azure AD). Per le domande più comuni sulla migrazione, consultare Domande frequenti sulla migrazione. Nota: le versioni 1.0.x di MSOnline potrebbero subire interruzioni dopo il 30 giugno 2024.

  1. Passare a Regole attestazione RPT di Microsoft Entra e quindi fare clic su Avanti.

  2. Specificare il valore per ID non modificabile (sourceAnchor) ->User Sign In (ad esempio UPN o posta elettronica). Se più domini di primo livello sono federati, selezionare quando viene richiesto di rispondere a "Microsoft Entra ID trust with AD FS support multiple domains?".

  3. Connettersi a Microsoft 365 PowerShell e quindi esportare l'elenco di domini in un file di .csv, ad esempio output.csv. A tale scopo, eseguire i cmdlet seguenti:

    Import-Module MSOnline

    Connect-MsolService

    Get-MsolDomain | Select-Object Name, RootDomain, Authentication | ConvertTo-Csv -NoTypeInformation | % {$_.Replace('"','')} | Out-File output.csv

  4. Fare clic su Genera attestazioni e quindi copiare i cmdlet di PowerShell dalla sezione Regole attestazioni .

  5. Salvare i cmdlet come script di PowerShell (ad esempio, updatelclaimrules.ps1) e quindi eseguire il comando seguente per eseguire lo script nel server AD FS primario:

    .\Updateclaims.ps1

  6. Lo script esegue un backup delle regole di trasformazione rilascio esistenti come file .txt nella directory di lavoro corrente.

Se si desidera ripristinare le regole di rilascio di cui è stato eseguito il backup usando lo script, eseguire il cmdlet seguente e specificare il file di backup creato nel passaggio 5. Nell'esempio seguente il file di backup è Backup 2018.12.26_09.21.03.txt.

Set-AdfsRelyingPartyTrust -TargetIdentifier "urn:federation:MicrosoftOnline" -IssuanceTransformRulesFile "Backup 2018.12.26_09.21.03.txt"