Birden çok federasyon etki alanından Microsoft 365'te oturum alamazsınız
SORUN
Birden çok federasyon etki alanından (üst düzey veya alt etki alanları) kullanıcılar Microsoft 365'te oturum açamaz. Ayrıca, aşağıdaki hata iletisini alırlar:
Üzgünüz, ancak oturum açarken sorun yaşıyoruz.AADSTS50107: İstenen federasyon bölgesi nesnesi 'http:// <ADFShostname>/adfs/services/trust' yok.
NEDEN
Bu sorun aşağıdaki nedenlerden biriyle oluşur:
- Vereni, federasyon etki alanı eksikse, verenin varsayılan Active Directory Federasyon Hizmeti (AD FS) örneği ana bilgisayar adından veren kümesine değiştirilmesi için Verme Dönüştürme kuralı gereklidir.
- Alt etki alanları ekledikten sonra Verme Dönüştürme kuralı güncelleştirilmez.
Bu sorun, kiracılar için birden çok üst düzey etki alanı aynı AD FS örneğine birleştirilirken oluşur.
ÇÖZÜM
Not
Azure AD ve MSOnline PowerShell modülleri 30 Mart 2024 itibarıyla kullanım dışı bırakılmıştır. Daha fazla bilgi edinmek için kullanımdan kaldırma güncelleştirmesini okuyun. Bu tarihten sonra bu modüllere yönelik destek, Microsoft Graph PowerShell SDK'sına geçiş yardımı ve güvenlik düzeltmeleriyle sınırlıdır. Kullanım dışı bırakılan modüller Mart 30 2025'e kadar çalışmaya devam edecektir.
Microsoft Entra ID (eski adıyla Azure AD) ile etkileşime geçmek için Microsoft Graph PowerShell'e geçiş öneririz. Sık sorulan geçiş soruları için Bkz. Geçiş SSS. Not: MSOnline'ın 1.0.x sürümleri 30 Haziran 2024'den sonra kesintiye neden olabilir.
Microsoft Entra RPT Talep Kuralları'na gidin ve İleri'ye tıklayın.
Sabit Kimlik (sourceAnchor) ->Kullanıcı Oturum Açma (örneğin, UPN veya posta) değerini belirtin. Birden çok üst düzey etki alanı birleştirilmişse, "AD FS ile Microsoft Entra ID güveni birden çok etki alanını destekliyor mu?" sorulduğunda Evet'i seçin.
Microsoft 365 PowerShell'e bağlanın ve etki alanları listesini bir .csv dosyasına (örneğin, output.csv) dışarı aktarın. Bunu yapmak için aşağıdaki cmdlet'leri çalıştırın:
Import-Module MSOnline
Connect-MsolService
Get-MsolDomain | Select-Object Name, RootDomain, Authentication | ConvertTo-Csv -NoTypeInformation | % {$_.Replace('"','')} | Out-File output.csv
Talep Oluştur'a tıklayın ve ardından Talep Kuralları bölümünden PowerShell cmdlet'lerini kopyalayın.
Cmdlet'leri PowerShell betiği olarak kaydedin (örneğin, updatelclaimrules.ps1) ve ardından betiği birincil AD FS sunucusunda çalıştırmak için aşağıdaki komutu çalıştırın:
.\Updateclaims.ps1
Betik, mevcut Verme Dönüştürme kurallarını geçerli çalışma dizininde .txt dosyası olarak yedekler.
Betiği kullanarak yedeklediğiniz verme kurallarını geri yüklemek istiyorsanız, aşağıdaki cmdlet'i çalıştırın ve 5. adımda oluşturduğunuz Backup dosyasını belirtin. Aşağıdaki örnekte Yedekleme dosyası Yedekleme 2018.12.26_09.21.03.txt.
Set-AdfsRelyingPartyTrust -TargetIdentifier "urn:federation:MicrosoftOnline" -IssuanceTransformRulesFile "Backup 2018.12.26_09.21.03.txt"
Geri Bildirim
https://aka.ms/ContentUserFeedback.
Çok yakında: 2024 boyunca, içerik için geri bildirim mekanizması olarak GitHub Sorunları’nı kullanımdan kaldıracak ve yeni bir geri bildirim sistemiyle değiştireceğiz. Daha fazla bilgi için bkz.Gönderin ve geri bildirimi görüntüleyin