Nemůžete se přihlásit k Office 365 z více federovaných domén.

Poznámka

Office 365 ProPlus se přejmenuje na Microsoft 365 Apps for enterprise. Pro další informace o této změně si přečtěte tento blog.

PROBLÉM

Uživatelé z více federovaných domén (nejvyšší nebo podřízené domény) se k Office 365. Kromě toho se jim zobrazí následující chybová zpráva:

Omlouváme se, ale máme problémy s přihlášením. AADSTS50107: Požadovaný objekt federační oblasti 'http:// <ADFShostname>/adfs/services/trust' neexistuje.

PŘÍČINA

K tomuto problému dochází z jednoho z následujících důvodů:

  • Pravidlo transformace vystavování je nutné ke změně vydavatele z výchozího názvu hostitele instance služby AD FS (Active Directory Federation Service) na sadu vystavitele, pokud chybí federovaná doména.
  • Po přidání podřízených domén se pravidlo Transformace vystavování ne aktualizuje.

K tomuto problému dochází, když je federováno více domén nejvyšší úrovně do stejné instance služby AD FS pro tenanty.

ŘEŠENÍ

  1. Přejděte na Azure AD RPT Claim Rulesa potom klikněte na Další.

  2. Zadejte hodnotu pro Immutable ID (sourceAnchor) -> User Sign In (například UPN nebo mail). Pokud je federovaných více domén nejvyšší úrovně, vyberte Ano, když se zobrazí výzva, abyste odpověděli na " Podporuje vztah důvěryhodnosti Azure AD se službou AD FS více domén?"

  3. Připojení do Office 365 PowerShellu a pak exportujte seznam domén do .csv souboru (například do output.csv). Pokud to chcete udělat, spusťte následující rutiny:

    Import-Module MSOnline
    
    Connect-MsolService
    
    Get-MsolDomain | Select-Object Name, RootDomain, Authentication | ConvertTo-Csv -NoTypeInformation | % {$_.Replace('"','')} | Out-File output.csv
    
  4. Klikněte na Generovat deklarace a zkopírujte rutiny PowerShellu z oddílu Pravidla deklarací identity.

  5. Uložte rutiny jako skript PowerShellu (například updatelclaimrules.ps1) a spuštěním následujícího příkazu spusťte skript na primárním serveru služby AD FS:

    .\Updateclaims.ps1
    
  6. Skript vytvoří zálohu existujících pravidel transformace vystavování jako .txt souboru v aktuálním pracovním adresáři.

Pokud chcete obnovit pravidla vydávání, která jste zálohli pomocí skriptu, spusťte následující rutinu a zadejte záložní soubor, který jste vytvořili v kroku 5. V následujícím příkladu je záložní soubor zálohy 2018.12.26_09.21.03.txt.

Set-AdfsRelyingPartyTrust -TargetIdentifier "urn:federation:MicrosoftOnline" -IssuanceTransformRulesFile "Backup 2018.12.26_09.21.03.txt"