Birden çok federasyon etki alanından Microsoft 365'te oturum alamazsınız

  • Makale
  • Şunlara uygulanır:
    Microsoft 365

SORUN

Birden çok federasyon etki alanından (üst düzey veya alt etki alanları) kullanıcılar Microsoft 365'te oturum açamaz. Ayrıca, aşağıdaki hata iletisini alırlar:

Üzgünüz, ancak oturum açarken sorun yaşıyoruz.AADSTS50107: İstenen federasyon bölgesi nesnesi 'http:// <ADFShostname>/adfs/services/trust' yok.

NEDEN

Bu sorun aşağıdaki nedenlerden biriyle oluşur:

  • Vereni, federasyon etki alanı eksikse, verenin varsayılan Active Directory Federasyon Hizmeti (AD FS) örneği ana bilgisayar adından veren kümesine değiştirilmesi için Verme Dönüştürme kuralı gereklidir.
  • Alt etki alanları ekledikten sonra Verme Dönüştürme kuralı güncelleştirilmez.

Bu sorun, kiracılar için birden çok üst düzey etki alanı aynı AD FS örneğine birleştirilirken oluşur.

ÇÖZÜM

Not

Azure AD ve MSOnline PowerShell modülleri 30 Mart 2024 itibarıyla kullanım dışı bırakılmıştır. Daha fazla bilgi edinmek için kullanımdan kaldırma güncelleştirmesini okuyun. Bu tarihten sonra bu modüllere yönelik destek, Microsoft Graph PowerShell SDK'sına geçiş yardımı ve güvenlik düzeltmeleriyle sınırlıdır. Kullanım dışı bırakılan modüller Mart 30 2025'e kadar çalışmaya devam edecektir.

Microsoft Entra ID (eski adıyla Azure AD) ile etkileşime geçmek için Microsoft Graph PowerShell'e geçiş öneririz. Sık sorulan geçiş soruları için Bkz. Geçiş SSS. Not: MSOnline'ın 1.0.x sürümleri 30 Haziran 2024'den sonra kesintiye neden olabilir.

  1. Microsoft Entra RPT Talep Kuralları'na gidin ve İleri'ye tıklayın.

  2. Sabit Kimlik (sourceAnchor) ->Kullanıcı Oturum Açma (örneğin, UPN veya posta) değerini belirtin. Birden çok üst düzey etki alanı birleştirilmişse, "AD FS ile Microsoft Entra ID güveni birden çok etki alanını destekliyor mu?" sorulduğunda Evet'i seçin.

  3. Microsoft 365 PowerShell'e bağlanın ve etki alanları listesini bir .csv dosyasına (örneğin, output.csv) dışarı aktarın. Bunu yapmak için aşağıdaki cmdlet'leri çalıştırın:

    Import-Module MSOnline

    Connect-MsolService

    Get-MsolDomain | Select-Object Name, RootDomain, Authentication | ConvertTo-Csv -NoTypeInformation | % {$_.Replace('"','')} | Out-File output.csv

  4. Talep Oluştur'a tıklayın ve ardından Talep Kuralları bölümünden PowerShell cmdlet'lerini kopyalayın.

  5. Cmdlet'leri PowerShell betiği olarak kaydedin (örneğin, updatelclaimrules.ps1) ve ardından betiği birincil AD FS sunucusunda çalıştırmak için aşağıdaki komutu çalıştırın:

    .\Updateclaims.ps1

  6. Betik, mevcut Verme Dönüştürme kurallarını geçerli çalışma dizininde .txt dosyası olarak yedekler.

Betiği kullanarak yedeklediğiniz verme kurallarını geri yüklemek istiyorsanız, aşağıdaki cmdlet'i çalıştırın ve 5. adımda oluşturduğunuz Backup dosyasını belirtin. Aşağıdaki örnekte Yedekleme dosyası Yedekleme 2018.12.26_09.21.03.txt.

Set-AdfsRelyingPartyTrust -TargetIdentifier "urn:federation:MicrosoftOnline" -IssuanceTransformRulesFile "Backup 2018.12.26_09.21.03.txt"