Delen via

U kunt zich niet aanmelden bij Microsoft 365 vanuit meerdere federatieve domeinen

  • Artikel
  • Van toepassing op:
    Microsoft 365

PROBLEEM

Gebruikers uit meerdere federatieve domeinen (domeinen op het hoogste niveau of onderliggende domeinen) kunnen zich niet aanmelden bij Microsoft 365. Bovendien ontvangen ze het volgende foutbericht:

Sorry, maar we hebben problemen met het aanmelden.AADSTS50107: het aangevraagde federation realm-object 'http:// <ADFShostname>/adfs/services/trust' bestaat niet.

OORZAAK

Dit probleem doet zich voor om een van de volgende redenen:

  • De regel Uitgiftetransformatie is vereist om de verlener te wijzigen van de hostnaam van het standaard Active Directory Federation Service-exemplaar (AD FS) in de verlener die is ingesteld als het federatieve domein ontbreekt.
  • De regel Uitgiftetransformatie wordt niet bijgewerkt nadat u onderliggende domeinen hebt toegevoegd.

Dit probleem treedt op wanneer meerdere domeinen op het hoogste niveau zijn gefedereerd naar hetzelfde AD FS-exemplaar voor tenants.

OPLOSSING

Opmerking

Azure AD- en MSOnline PowerShell-modules zijn afgeschaft vanaf 30 maart 2024. Lees de afschaffingsupdate voor meer informatie. Na deze datum is ondersteuning voor deze modules beperkt tot hulp bij migratie naar Microsoft Graph PowerShell SDK en beveiligingspatches. De afgeschafte modules blijven functioneren tot en met 30 maart 2025.

U wordt aangeraden te migreren naar Microsoft Graph PowerShell om te communiceren met Microsoft Entra ID (voorheen Azure AD). Raadpleeg de veelgestelde vragen over migratie voor veelgestelde vragen over migratie. Notitie: Versies 1.0.x van MSOnline kunnen na 30 juni 2024 worden onderbroken.

  1. Ga naar Microsoft Entra RPT-claimregels en klik vervolgens op Volgende.

  2. Geef de waarde op voor Onveranderbare id (sourceAnchor) ->Gebruikersaanmelding (bijvoorbeeld UPN of e-mail). Als meerdere domeinen op het hoogste niveau federatief zijn, selecteert u Ja wanneer u wordt gevraagd om te reageren op 'Ondersteunt de Microsoft Entra ID met AD FS meerdere domeinen?'

  3. Maak verbinding met Microsoft 365 PowerShell en exporteer vervolgens de lijst met domeinen naar een .csv-bestand (bijvoorbeeld output.csv). Voer hiervoor de volgende cmdlets uit:

    Import-Module MSOnline

    Connect-MsolService

    Get-MsolDomain | Select-Object Name, RootDomain, Authentication | ConvertTo-Csv -NoTypeInformation | % {$_.Replace('"','')} | Out-File output.csv

  4. Klik op Claims genereren en kopieer vervolgens de PowerShell-cmdlets uit de sectie Claimregels .

  5. Sla de cmdlets op als een PowerShell-script (bijvoorbeeld updatelclaimrules.ps1) en voer vervolgens de volgende opdracht uit om het script uit te voeren op de primaire AD FS-server:

    .\Updateclaims.ps1

  6. Het script maakt een back-up van de bestaande uitgiftetransformatieregels als een .txt-bestand in de huidige werkmap.

Als u de uitgifteregels wilt herstellen waarvan u een back-up hebt gemaakt met behulp van het script, voert u de volgende cmdlet uit en geeft u het back-upbestand op dat u in stap 5 hebt gemaakt. In het volgende voorbeeld is het back-upbestand Back-up 2018.12.26_09.21.03.txt.

Set-AdfsRelyingPartyTrust -TargetIdentifier "urn:federation:MicrosoftOnline" -IssuanceTransformRulesFile "Backup 2018.12.26_09.21.03.txt"