Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
ПРОБЛЕМА
Пользователи из нескольких федеративных доменов (доменов верхнего уровня или дочерних доменов) не могут войти в Microsoft 365. Кроме того, они получают следующее сообщение об ошибке:
К сожалению, у нас возникли проблемы с вашим входом.AADSTS50107: Запрошенный объект области федерации "http:// <ADFShostname>/adfs/services/trust" не существует.
ПРИЧИНА
Эта проблема возникает по одной из следующих причин:
- Для правила преобразования выпуска требуется изменить издателя, установленного по умолчанию в экземпляре службы федерации Active Directory (AD FS), на заданного издателя, если отсутствует федеративный домен.
- Правило трансформации выпусков не обновляется после добавления дочерних доменов.
Эта проблема возникает, когда несколько доменов верхнего уровня федератизированы через один экземпляр AD FS для арендаторов.
РЕШЕНИЕ
Замечание
Модули Azure AD и MSOnline PowerShell устарели с 30 марта 2024 г. Чтобы узнать больше, прочитайте обновлённую информацию о прекращении поддержки. После этой даты поддержка этих модулей ограничена поддержкой миграции в пакет SDK Для Microsoft Graph PowerShell и исправления безопасности. Устаревшие модули будут продолжать функционировать до 30 марта 2025 года.
Мы рекомендуем перейти на Microsoft Graph PowerShell для взаимодействия с Microsoft Entra ID (ранее — Azure AD). Часто задаваемые вопросы о миграции см. в разделе "Вопросы и ответы о миграции". Примечание: Возможны перебои в работе версий 1.0.x MSOnline после 30 июня 2024 г.
Перейдите к правилам утверждений Microsoft Entra RPT и нажмите Далее.
Укажите значение для неизменяемого идентификатора (sourceAnchor) ->User Sign In (например, UPN или mail). Если несколько доменов верхнего уровня находятся в федерации, выберите "Да", когда вас спросят "Поддерживает ли доверие идентификатора Microsoft Entra с AD FS несколько доменов?"
Подключитесь к Microsoft 365 PowerShell, а затем экспортируйте список доменов в файл .csv (например, output.csv). Для этого выполните командлеты, указанные ниже:
Import-Module MSOnlineConnect-MsolServiceGet-MsolDomain | Select-Object Name, RootDomain, Authentication | ConvertTo-Csv -NoTypeInformation | % {$_.Replace('"','')} | Out-File output.csvЩелкните «Создать утверждения», а затем скопируйте командлеты PowerShell из раздела «Правила для утверждений».
Сохраните командлеты в виде скрипта PowerShell (например, updatelclaimrules.ps1), а затем выполните следующую команду, чтобы запустить скрипт на основном сервере AD FS:
.\Updateclaims.ps1Скрипт создает резервную копию существующих правил преобразования выпусков в файл формата .txt в текущем рабочем каталоге.
Если вы хотите восстановить правила выдачи, созданные с помощью скрипта, выполните следующий командлет и укажите файл резервной копии, созданный на шаге 5. В следующем примере файл резервного копирования — Backup 2018.12.26_09.21.03.txt.
Set-AdfsRelyingPartyTrust -TargetIdentifier "urn:federation:MicrosoftOnline" -IssuanceTransformRulesFile "Backup 2018.12.26_09.21.03.txt"