Não pode iniciar sessão no Microsoft 365 a partir de vários domínios federados
PROBLEMA
Os utilizadores de vários domínios federados (domínios de nível superior ou subordinado) não conseguem iniciar sessão no Microsoft 365. Além disso, recebem a seguinte mensagem de erro:
Pedimos desculpa, mas estamos com dificuldades em iniciar sessão.AADSTS50107: o objeto de realm de federação "http:// <ADFShostname>/adfs/services/trust" não existe.
CAUSA
Este problema pode ocorrer por uma das seguintes razões:
- A regra de Transformação de Emissão é necessária para alterar o emissor do nome de anfitrião da instância predefinida do Serviço de Federação do Active Directory (AD FS) para o emissor definido se o domínio federado estiver em falta.
- A regra de Transformação de Emissão não é atualizada depois de adicionar domínios subordinados.
Este problema ocorre quando vários domínios de nível superior são federados para a mesma instância do AD FS para inquilinos.
SOLUÇÃO
Nota
Os módulos do PowerShell do Azure AD e do MSOnline são preteridos a partir de 30 de março de 2024. Para saber mais, leia a atualização de preterição. Após esta data, o suporte para estes módulos está limitado à assistência de migração para o SDK do PowerShell do Microsoft Graph e correções de segurança. Os módulos preteridos continuarão a funcionar até 30 de março de 2025.
Recomendamos que migre para o Microsoft Graph PowerShell para interagir com o Microsoft Entra ID (anteriormente Azure AD). Para perguntas de migração comuns, veja as FAQ sobre Migração. Nota: As versões 1.0.x do MSOnline podem sofrer interrupções após 30 de junho de 2024.
Aceda a Regras de Afirmação do Microsoft Entra RPT e, em seguida, clique em Seguinte.
Especifique o valor para ID Imutável (sourceAnchor) ->Início de Sessão do Utilizador (por exemplo, UPN ou correio). Se vários domínios de nível superior estiverem federados, selecione Sim quando lhe for pedido para responder a "A confiança do Microsoft Entra ID com o AD FS suporta vários domínios?".
Ligue-se ao Microsoft 365 PowerShell e, em seguida, exporte a lista de domínios para um ficheiro de .csv (por exemplo, output.csv). Para tal, execute os seguintes cmdlets:
Import-Module MSOnline
Connect-MsolService
Get-MsolDomain | Select-Object Name, RootDomain, Authentication | ConvertTo-Csv -NoTypeInformation | % {$_.Replace('"','')} | Out-File output.csv
Clique em Gerar Afirmações e, em seguida, copie os cmdlets do PowerShell da secção Regras de Afirmação .
Guarde os cmdlets como um script do PowerShell (por exemplo, updatelclaimrules.ps1) e, em seguida, execute o seguinte comando para executar o script no servidor primário do AD FS:
.\Updateclaims.ps1
O script faz uma Cópia de Segurança das regras de Transformação de Emissão existentes como um ficheiro de .txt no diretório de trabalho atual.
Se quiser restaurar as regras de emissão que criou com o script, execute o seguinte cmdlet e especifique o ficheiro de Cópia de Segurança que criou no passo 5. No exemplo seguinte, o ficheiro cópia de segurança é Cópia de Segurança 2018.12.26_09.21.03.txt.
Set-AdfsRelyingPartyTrust -TargetIdentifier "urn:federation:MicrosoftOnline" -IssuanceTransformRulesFile "Backup 2018.12.26_09.21.03.txt"