Birden çok federe etki alanından Office 365'te oturum açamam

Not

Office 365 ProPlus kurumsal olarak Microsoft 365 uygulamalarıolarak yeniden adlandırıldı. Bu değişiklik hakkında daha fazla bilgi için Bu blog gönderisini okuyun.

Sorun

Birden çok federe etki alanından (üst düzey veya alt etki alanları) kullanıcılar Office 365'te oturum açamaz. Ayrıca, aşağıdaki hata iletisini alırlar:

Üzgünüm ama sizi imzalamakta zorlanıyoruz. AADSTS50107: İstenen federasyon alemi nesnesi 'http:// <ADFShostname>/adfs/services/trust' yok.

Neden

Bu sorun aşağıdaki nedenlerden biri için oluşur:

  • Verme Dönüştürme kuralı, ihraççıyı varsayılan Active Directory Federation Service (AD FS) örnek ana bilgisayar adından, federe alan adı eksikse veren kümesine değiştirmek için gereklidir.
  • Verme Dönüştürme kuralı, alt etki alanları ekledikten sonra güncelleştirilmeyecektir.

Bu sorun, birden çok üst düzey etki alanı kiracılar için aynı AD FS örneğine federe olduğunda oluşur.

Çözüm

  1. Azure AD RPT Talep Kuralları'nagidin ve sonra İleri'yitıklatın.

  2. Değişmez KIMLIK (sourceAnchor) -> Kullanıcı Oturum Açma (örneğin, UPN veya posta) için değeri belirtin. Birden çok üst düzey etki alanı federe ise,"AD FS'li Azure AD güveni birden çok etki alanını destekliyor mu?" yanıtı istendiğinde Evet'i seçin.

  3. Office 365 PowerShell'e bağlanın ve etki alanları listesini bir .csv dosyasına (örneğin output.csv) dışa aktarın. Bunu yapmak için aşağıdaki cmdlets çalıştırın:

    Import-Module MSOnline
    
    Connect-MsolService
    
    Get-MsolDomain | Select-Object Name, RootDomain, Authentication | ConvertTo-Csv -NoTypeInformation | % {$_.Replace('"','')} | Out-File output.csv
    
  4. Talep Oluştur'utıklatın ve ardından PowerShell cmdlets'i Talep Kuralları bölümünden kopyalayın.

  5. Cmdlets'i PowerShell komut dosyası olarak kaydedin (örneğin, updatelclaimrules.ps1) ve ardından komut dosyasını birincil AD FS sunucusunda çalıştırmak için aşağıdaki komutu çalıştırın:

    .\Updateclaims.ps1
    
  6. Komut dosyası, geçerli çalışma dizininde varolan Verme Dönüştürme kurallarının yedeksini .txt dosyası olarak yapar.

Komut dosyasını kullanarak yedeklediğiniz verme kurallarını geri yüklemek istiyorsanız, aşağıdaki cmdlet'i çalıştırın ve adım 5'te oluşturduğunuz Yedekleme dosyasını belirtin. Aşağıdaki örnekte, Yedekleme dosyası Yedekleme 2018.12.26_09.21.03.txt'dir.

Set-AdfsRelyingPartyTrust -TargetIdentifier "urn:federation:MicrosoftOnline" -IssuanceTransformRulesFile "Backup 2018.12.26_09.21.03.txt"