Udostępnij za pośrednictwem

Nie można zalogować się do usługi Microsoft 365 z wielu domen federacyjnych

  • Artykuł
  • Dotyczy: Microsoft 365

PROBLEM

Użytkownicy z wielu domen federacyjnych (domen najwyższego poziomu lub domen podrzędnych) nie mogą zalogować się do platformy Microsoft 365. Ponadto otrzymuje następujący komunikat o błędzie:

Niestety, mamy problem z zalogowaniem się.AADSTS50107: Żądany obiekt obszaru federacji "http:// <ADFShostname>/adfs/services/trust" nie istnieje.

PRZYCZYNA

Przyczyny występowania tego problemu mogą być następujące:

  • Reguła przekształcania wystawiania jest wymagana, aby zmienić wystawcę z domyślnej nazwy hosta wystąpienia usługi Active Directory Federation Service (AD FS) na ustawioną wystawcę, jeśli brakuje domeny federacyjnej.
  • Reguła przekształcania wystawiania nie jest aktualizowana po dodaniu domen podrzędnych.

Ten problem występuje, gdy wiele domen najwyższego poziomu jest federacyjnych z tym samym wystąpieniem usług AD FS dla dzierżaw.

ROZWIĄZANIE

Uwaga

Moduły azure AD i MSOnline programu PowerShell są przestarzałe od 30 marca 2024 r. Aby dowiedzieć się więcej, przeczytaj aktualizację wycofania. Po tej dacie obsługa tych modułów jest ograniczona do pomocy w migracji do zestawu Microsoft Graph PowerShell SDK i poprawek zabezpieczeń. Przestarzałe moduły będą nadal działać do 30 marca 2025 r.

Zalecamy migrację do programu Microsoft Graph PowerShell w celu interakcji z identyfikatorem Entra firmy Microsoft (dawniej Azure AD). Aby uzyskać typowe pytania dotyczące migracji, zapoznaj się z często zadawanymi pytaniami dotyczącymi migracji. Nuta: W wersjach 1.0.x usługi MSOnline mogą wystąpić zakłócenia po 30 czerwca 2024 r.

  1. Przejdź do pozycji Reguły oświadczeń RPT w usłudze Microsoft Entra, a następnie kliknij przycisk Dalej.

  2. Określ wartość niezmienialnego identyfikatora (sourceAnchor) —>logowanie użytkownika (na przykład nazwę UPN lub pocztę e-mail). Jeśli wiele domen najwyższego poziomu jest federacyjnych, wybierz pozycję Tak po wyświetleniu monitu o odpowiedź na pytanie "Czy zaufanie identyfikatora Entra firmy Microsoft z usługami AD FS obsługuje wiele domen?".

  3. Połącz się z programem Microsoft 365 PowerShell, a następnie wyeksportuj listę domen do pliku .csv (na przykład output.csv). W tym celu uruchom następujące polecenia cmdlet:

    Import-Module MSOnline

    Connect-MsolService

    Get-MsolDomain | Select-Object Name, RootDomain, Authentication | ConvertTo-Csv -NoTypeInformation | % {$_.Replace('"','')} | Out-File output.csv

  4. Kliknij pozycję Generuj oświadczenia, a następnie skopiuj polecenia cmdlet programu PowerShell z sekcji Reguły oświadczeń .

  5. Zapisz polecenia cmdlet jako skrypt programu PowerShell (na przykład updatelclaimrules.ps1), a następnie uruchom następujące polecenie, aby uruchomić skrypt na podstawowym serwerze usług AD FS:

    .\Updateclaims.ps1

  6. Skrypt tworzy kopię zapasową istniejących reguł przekształcania wystawiania jako plik .txt w bieżącym katalogu roboczym.

Jeśli chcesz przywrócić reguły wystawiania, których kopię zapasową utworzono przy użyciu skryptu, uruchom następujące polecenie cmdlet i określ plik kopii zapasowej utworzony w kroku 5. W poniższym przykładzie plik kopii zapasowej to Kopia zapasowa 2018.12.26_09.21.03.txt.

Set-AdfsRelyingPartyTrust -TargetIdentifier "urn:federation:MicrosoftOnline" -IssuanceTransformRulesFile "Backup 2018.12.26_09.21.03.txt"