Поделиться через

Невозможно войти в Microsoft 365 из нескольких федеративных доменов

  • Статья
  • Применяется к:
    Microsoft 365

ПРОБЛЕМА

Пользователи из нескольких федеративных доменов (верхнего или дочернего) не могут войти в Microsoft 365. Кроме того, они получают следующее сообщение об ошибке:

К сожалению, у нас возникли проблемы с входом.AADSTS50107: запрошенный объект области федерации "http:// <ADFShostname>/adfs/services/trust" не существует.

ПРИЧИНА

Эта проблема возникает по одной из следующих причин:

  • Правило преобразования выдачи требуется для изменения издателя с имени узла узла экземпляра службы федерации Active Directory (AD FS) по умолчанию на издателя, если федеративный домен отсутствует.
  • Правило преобразования выдачи не обновляется после добавления дочерних доменов.

Эта проблема возникает, когда несколько доменов верхнего уровня объединяются в федерацию в одном экземпляре AD FS для клиентов.

РЕШЕНИЕ

Примечание.

Модули PowerShell Azure AD и MSOnline устарели с 30 марта 2024 г. Дополнительные сведения см. в статье Обновление для прекращения поддержки. После этой даты поддержка этих модулей ограничивается поддержкой миграции пакета SDK Для Microsoft Graph PowerShell и исправлениями безопасности. Устаревшие модули будут работать до 30 марта 2025 г.

Мы рекомендуем выполнить миграцию в Microsoft Graph PowerShell , чтобы взаимодействовать с Идентификатором Microsoft Entra (прежнее название — Azure AD). Распространенные вопросы о миграции см. в разделе Вопросы и ответы о миграции. Заметка: В версиях 1.0.x MSOnline может возникнуть сбой после 30 июня 2024 г.

  1. Перейдите в раздел Правила утверждений RPT Microsoft Entra и нажмите кнопку Далее.

  2. Укажите значение неизменяемого идентификатора (sourceAnchor) ->User Sign In (например, имя участника-пользователя или почта). Если несколько доменов верхнего уровня являются федеративными, выберите Да , когда вам будет предложено ответить на сообщение "Поддерживает ли идентификатор Microsoft Entra ID в AD FS несколько доменов?".

  3. Подключитесь к Microsoft 365 PowerShell, а затем экспортируйте список доменов в файл .csv (например, output.csv). Для этого выполните следующие командлеты:

    Import-Module MSOnline

    Connect-MsolService

    Get-MsolDomain | Select-Object Name, RootDomain, Authentication | ConvertTo-Csv -NoTypeInformation | % {$_.Replace('"','')} | Out-File output.csv

  4. Щелкните Создать утверждения, а затем скопируйте командлеты PowerShell из раздела Правила утверждений .

  5. Сохраните командлеты в виде скрипта PowerShell (например, updatelclaimrules.ps1), а затем выполните следующую команду, чтобы запустить скрипт на основном сервере AD FS:

    .\Updateclaims.ps1

  6. Скрипт создает резервную копию существующих правил преобразования выдачи в виде файла .txt в текущем рабочем каталоге.

Если вы хотите восстановить правила выдачи, резервные копии которого были созданы с помощью скрипта, выполните следующий командлет и укажите файл резервной копии, созданный на шаге 5. В следующем примере файл резервной копии — Backup 2018.12.26_09.21.03.txt.

Set-AdfsRelyingPartyTrust -TargetIdentifier "urn:federation:MicrosoftOnline" -IssuanceTransformRulesFile "Backup 2018.12.26_09.21.03.txt"