여러 페더레이션 도메인에서 Office 365에 로그인 할 수 없음

참고

Office 365 ProPlus엔터프라이즈용 Microsoft 365 앱으로 이름이 바뀌고 있습니다. 이 변경에 대한 자세한 내용은 이 블로그 게시물을 참조하세요.

여러 페더레이션 도메인 (최상위 또는 하위 도메인)의 사용자는 Office 365에 로그인 할 수 없습니다. 또한 다음과 같은 오류 메시지가 표시 됩니다.

죄송 하지만 로그인 하는 데 문제가 있습니다. AADSTS50107: 요청 된 페더레이션 영역 개체 ' http://<ADFShostname>/adfs/services/trust '이 (가) 없습니다.

원인

이 문제는 다음 중 한 가지 이유로 인해 발생 합니다.

  • 페더레이션 도메인이 누락 된 경우 기본 AD FS (Active Directory Federation Service) 인스턴스 호스트 이름에서 발급자 설정으로 발급자를 변경 하려면 발급 변환 규칙이 필요 합니다.
  • 하위 도메인을 추가한 후에는 발급 변환 규칙이 업데이트 되지 않습니다.

이 문제는 여러 최상위 도메인이 테 넌 트에 대해 동일한 AD FS 인스턴스에 페더레이션 될 때 발생 합니다.

솔루션

  1. AZURE AD RPT 클레임 규칙으로 이동 하 여 다음을 클릭 합니다.

  2. 변경 불가능 한 ID (sourceanchor)에 대 한 값을 지정 합니다-> 사용자 로그인 (예: UPN 또는 mail) 최상위 도메인을 여러 개 페더레이션 하는 경우 "AD FS와의 AZURE ad 트러스트가 여러 도메인을 지원 하나요?"에 응답할 것인지 묻는 메시지가 표시 되 면 를 선택 합니다.

  3. Office 365 PowerShell에 연결한 다음 도메인 목록을 .csv 파일 (예: .csv)로 내보냅니다. 이렇게 하려면 다음 cmdlet을 실행 합니다.

    Import-Module MSOnline
    
    Connect-MsolService
    
    Get-MsolDomain | Select-Object Name, RootDomain, Authentication | ConvertTo-Csv -NoTypeInformation | % {$_.Replace('"','')} | Out-File output.csv
    
  4. 클레임 생성을 클릭 한 다음 클레임 규칙 섹션에서 PowerShell cmdlet을 복사 합니다.

  5. Cmdlet을 PowerShell 스크립트로 저장 하 고 (예: updatelclaimrules. ps1) 다음 명령을 실행 하 여 기본 AD FS 서버에서 스크립트를 실행 합니다.

    .\Updateclaims.ps1
    
  6. 이 스크립트는 기존 발급 변환 규칙을 현재 작업 디렉터리에 있는 .txt 파일로 백업 합니다.

스크립트를 사용 하 여 백업한 발급 규칙을 복원 하려면 다음 cmdlet을 실행 하 고 5 단계에서 만든 백업 파일을 지정 합니다. 다음 예에서 백업 파일은 backup 2018.12.26 _ 09.21.03입니다.

Set-AdfsRelyingPartyTrust -TargetIdentifier "urn:federation:MicrosoftOnline" -IssuanceTransformRulesFile "Backup 2018.12.26_09.21.03.txt"