Du kan ikke logge på Office 365 fra flere forente domener

Obs!

Office 365 ProPlus får nytt navn og heter nå Microsoft 365-apper for enterprise. Hvis du vil ha mer informasjon om denne endringen, kan du lese dette blogginnlegget.

Problem

Brukere fra flere forente domener (øverste eller underordnede domener) kan ikke logge på Office 365. I tillegg får de følgende feilmelding:

Beklager, men vi har problemer med å logge deg på. AADSTS50107: Forespurt federation realm objekt 'http:// <ADFShostname>/adfs/services/trust' finnes ikke.

Forårsake

Dette problemet oppstår av én av følgende årsaker:

  • Regelen Issuance Transform er nødvendig for å endre utstederen fra standard vertsnavn for Active Directory Federation Service (AD FS)-forekomst til utstedersettet hvis domenet som er samlet, mangler.
  • Regelen Utstedelsetransformering oppdateres ikke når du legger til underordnede domener.

Dette problemet oppstår når flere toppdomener er samlet til samme AD FS-forekomst for leiere.

Løsning

  1. Gå til Azure AD RPT-kravregler, og klikk deretter Neste.

  2. Angi verdien for Immutable ID (sourceAnchor) -> brukerpålogging (for eksempel UPN eller e-post). Hvis flere toppdomener er samlet, velger du Ja når du blir bedt om å svare på «Støtter Azure AD-klareringen med AD FS flere domener?"

  3. Koble til Office 365 PowerShell, og eksporter deretter listen over domener til en CSV-fil (for eksempel output.csv). Hvis du vil gjøre dette, kjører du følgende cmdleter:

    Import-Module MSOnline
    
    Connect-MsolService
    
    Get-MsolDomain | Select-Object Name, RootDomain, Authentication | ConvertTo-Csv -NoTypeInformation | % {$_.Replace('"','')} | Out-File output.csv
    
  4. Klikk Generer krav, og kopier deretter PowerShell-cmdletene fra Delen Kravregler.

  5. Lagre cmdleter som et PowerShell-skript (for eksempel updatelclaimrules.ps1), og kjør deretter følgende kommando for å kjøre skriptet på den primære AD FS-serveren:

    .\Updateclaims.ps1
    
  6. Skriptet lager en sikkerhetskopi av de eksisterende reglene for utstedelsetransformering som en TXT-fil i gjeldende arbeidsmappe.

Hvis du vil gjenopprette utstedelsesreglene du sikkerhetskopierte ved hjelp av skriptet, kjører du cmdleten nedenfor og angir sikkerhetskopifilen du opprettet i trinn 5. I eksemplet nedenfor er sikkerhetskopifilen Backup 2018.12.26_09.21.03.txt.

Set-AdfsRelyingPartyTrust -TargetIdentifier "urn:federation:MicrosoftOnline" -IssuanceTransformRulesFile "Backup 2018.12.26_09.21.03.txt"