Dela via

Du kan inte logga in på Microsoft 365 från flera federerade domäner

  • Artikel
  • Gäller för:
    Microsoft 365

PROBLEM

Användare från flera federerade domäner (toppnivå- eller underordnade domäner) kan inte logga in på Microsoft 365. Dessutom får de följande felmeddelande:

Tyvärr, men vi har problem med att logga in dig.AADSTS50107: Det begärda federationssfärobjektet "http:// <ADFShostname>/adfs/services/trust" finns inte.

ORSAK

Det här problemet kan uppstå på grund av följande orsaker:

  • Regeln för utfärdandetransformering krävs för att ändra utfärdaren från ad FS-instansens standardvärdnamn (Active Directory Federation Service) till utfärdaren som angetts om domänen som är federerad saknas.
  • Regeln för utfärdandetransformering uppdateras inte efter att du har lagt till underordnade domäner.

Det här problemet uppstår när flera toppnivådomäner federeras till samma AD FS-instans för klienter.

LÖSNING

Obs!

Azure AD- och MSOnline PowerShell-moduler är inaktuella från och med den 30 mars 2024. Mer information finns i utfasningsuppdateringen. Efter det här datumet är stödet för dessa moduler begränsat till migreringshjälp till Microsoft Graph PowerShell SDK och säkerhetskorrigeringar. De inaktuella modulerna fortsätter att fungera till och med den 30 mars 2025.

Vi rekommenderar att du migrerar till Microsoft Graph PowerShell för att interagera med Microsoft Entra-ID (tidigare Azure AD). Vanliga migreringsfrågor finns i Vanliga frågor och svar om migrering. Not: Version 1.0.x av MSOnline kan uppleva störningar efter den 30 juni 2024.

  1. Gå till Microsoft Entra RPT-anspråksregler och klicka sedan på Nästa.

  2. Ange värdet för Oföränderligt ID (sourceAnchor) –>Användarinloggning (till exempel UPN eller e-post). Om flera toppnivådomäner är federerade väljer du Ja när du uppmanas att svara på "Har Microsoft Entra ID-förtroendet med AD FS stöd för flera domäner?".

  3. Anslut till Microsoft 365 PowerShell och exportera sedan listan över domäner till en .csv fil (till exempel output.csv). Det gör du genom att köra följande cmdletar:

    Import-Module MSOnline

    Connect-MsolService

    Get-MsolDomain | Select-Object Name, RootDomain, Authentication | ConvertTo-Csv -NoTypeInformation | % {$_.Replace('"','')} | Out-File output.csv

  4. Klicka på Generera anspråk och kopiera sedan PowerShell-cmdletarna från avsnittet Anspråksregler .

  5. Spara cmdletarna som ett PowerShell-skript (till exempel updatelclaimrules.ps1) och kör sedan följande kommando för att köra skriptet på den primära AD FS-servern:

    .\Updateclaims.ps1

  6. Skriptet gör en säkerhetskopia av befintliga regler för utfärdandetransformering som en .txt fil i den aktuella arbetskatalogen.

Om du vill återställa utfärdandereglerna som du säkerhetskopierade med hjälp av skriptet kör du följande cmdlet och anger den säkerhetskopieringsfil som du skapade i steg 5. I följande exempel är säkerhetskopieringsfilen Säkerhetskopiering 2018.12.26_09.21.03.txt.

Set-AdfsRelyingPartyTrust -TargetIdentifier "urn:federation:MicrosoftOnline" -IssuanceTransformRulesFile "Backup 2018.12.26_09.21.03.txt"