Sie können sich nicht über mehrere Verbunddomänen bei Microsoft 365 anmelden.
PROBLEM
Benutzer aus mehreren Verbunddomänen (Domänen der obersten ebene oder untergeordneten Domäne) können sich nicht bei Microsoft 365 anmelden. Darüber hinaus erhalten sie die folgende Fehlermeldung:
Leider haben wir Probleme bei der Anmeldung.AADSTS50107: Das angeforderte Verbundbereichsobjekt "http:// <ADFShostname>/adfs/services/trust" ist nicht vorhanden.
URSACHE
Dieses Problem kann aus einem der folgenden Gründe auftreten:
- Die Ausstellungstransformationsregel ist erforderlich, um den Aussteller vom Standardmäßigen Active Directory-Verbunddienst (AD FS) instance Hostnamen in den Aussteller zu ändern, der festgelegt ist, wenn die Verbunddomäne fehlt.
- Die Ausstellungstransformationsregel wird nicht aktualisiert, nachdem Sie untergeordnete Domänen hinzugefügt haben.
Dieses Problem tritt auf, wenn mehrere Domänen der obersten Ebene mit demselben AD FS-instance für Mandanten verbunden sind.
LÖSUNG
Hinweis
Azure AD- und MSOnline PowerShell-Module sind ab dem 30. März 2024 veraltet. Weitere Informationen finden Sie im Veralteten Update. Nach diesem Datum ist die Unterstützung für diese Module auf Migrationsunterstützung zum Microsoft Graph PowerShell SDK und Sicherheitskorrekturen beschränkt. Die veralteten Module funktionieren weiterhin bis zum 30. März 2025.
Es wird empfohlen, zu Microsoft Graph PowerShell zu migrieren, um mit Microsoft Entra ID (früher Azure AD) zu interagieren. Häufig gestellte Fragen zur Migration finden Sie in den häufig gestellten Fragen zur Migration. Hinweis: Version 1.0.x von MSOnline kann nach dem 30. Juni 2024 unterbrochen werden.
Wechseln Sie zu Microsoft Entra RPT-Anspruchsregeln, und klicken Sie dann auf Weiter.
Geben Sie den Wert für Unveränderliche ID (sourceAnchor) ->User Sign In (z. B. UPN oder E-Mail) an. Wenn mehrere Domänen der obersten Ebene verbundiert sind, wählen Sie Ja aus, wenn Sie aufgefordert werden, auf "Unterstützt das Microsoft Entra ID ad fs mehrere Domänen als vertrauenswürdig" zu antworten.
Stellen Sie eine Verbindung mit Microsoft 365 PowerShell her, und exportieren Sie dann die Liste der Domänen in eine .csv-Datei (z. B. output.csv). Führen Sie dazu die folgenden Cmdlets aus:
Import-Module MSOnlineConnect-MsolServiceGet-MsolDomain | Select-Object Name, RootDomain, Authentication | ConvertTo-Csv -NoTypeInformation | % {$_.Replace('"','')} | Out-File output.csvKlicken Sie auf Ansprüche generieren, und kopieren Sie dann die PowerShell-Cmdlets aus dem Abschnitt Anspruchsregeln .
Speichern Sie die Cmdlets als PowerShell-Skript (z. B. updatelclaimrules.ps1), und führen Sie dann den folgenden Befehl aus, um das Skript auf dem primären AD FS-Server auszuführen:
.\Updateclaims.ps1Das Skript erstellt eine Sicherung der vorhandenen Ausstellungstransformationsregeln als .txt-Datei im aktuellen Arbeitsverzeichnis.
Wenn Sie die Ausstellungsregeln wiederherstellen möchten, die Sie mithilfe des Skripts gesichert haben, führen Sie das folgende Cmdlet aus, und geben Sie die Sicherungsdatei an, die Sie in Schritt 5 erstellt haben. Im folgenden Beispiel lautet die Sicherungsdatei Backup 2018.12.26_09.21.03.txt.
Set-AdfsRelyingPartyTrust -TargetIdentifier "urn:federation:MicrosoftOnline" -IssuanceTransformRulesFile "Backup 2018.12.26_09.21.03.txt"
Feedback
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Issues stufenweise als Feedbackmechanismus für Inhalte abbauen und durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unter https://aka.ms/ContentUserFeedback.
Feedback senden und anzeigen für