Du kan inte logga in på Office 365 från flera federerade domäner

Anteckning

Office 365 ProPlus byter namn till Microsoft 365-appar för företag. Mer information om den här ändringen finns i det här blogginlägget.

Problem

Användare från flera federerade domäner (toppdomäner eller underordnade domäner) kan inte logga in på Office 365. Dessutom visas följande felmeddelande:

Ledsen, men vi har problem med att logga in dig. AADSTS50107: Begärt federationsfärobjektet "http:// <ADFShostname>/adfs/services/trust" finns inte.

Orsaka

Det här problemet uppstår av något av följande skäl:

  • Regeln Utfärdandetransformering krävs för att ändra utfärdaren från standardvärdennamnet för Active Directory Federation Service (AD FS) till utfärdaren om domänen som är federerad saknas.
  • Regeln Utfärdandetransformering uppdateras inte när du har lagt till underordnade domäner.

Det här problemet uppstår när flera toppdomäner federeras till samma AD FS-instans för klienter.

Lösning

  1. Gå till Azure AD RPT-anspråksregleroch klicka sedan på Nästa.

  2. Ange värdet för Immutable ID (sourceAnchor) -> Användarloggning (till exempel UPN eller e-post). Om flera toppdomäner federeras väljer du Ja när du uppmanas att svara på "Stöder Azure AD-förtroendet med AD FS flera domäner?"

  3. Anslut till Office 365 PowerShell och exportera sedan listan över domäner till en CSV-fil (till exempel output.csv). För att göra detta, kör följande cmdlets:

    Import-Module MSOnline
    
    Connect-MsolService
    
    Get-MsolDomain | Select-Object Name, RootDomain, Authentication | ConvertTo-Csv -NoTypeInformation | % {$_.Replace('"','')} | Out-File output.csv
    
  4. Klicka på Generera anspråkoch kopiera sedan PowerShell-cmdletar från avsnittet Anspråksregler.

  5. Spara cmdlets som ett PowerShell-skript (till exempel updatelclaimrules.ps1) och kör sedan följande kommando för att köra skriptet på den primära AD FS-servern:

    .\Updateclaims.ps1
    
  6. Skriptet gör en säkerhetskopia av de befintliga utgivningstransformningsreglerna som en TXT-fil i den aktuella arbetskatalogen.

Om du vill återställa emissionsreglerna som du säkerhetskopierade med skriptet kör du följande cmdlet och anger den säkerhetskopia som du skapade i steg 5. I följande exempel är säkerhetskopian Säkerhetskopiering 2018.12.26_09.21.03.txt.

Set-AdfsRelyingPartyTrust -TargetIdentifier "urn:federation:MicrosoftOnline" -IssuanceTransformRulesFile "Backup 2018.12.26_09.21.03.txt"