Não pode iniciar sessão no Microsoft 365 a partir de vários domínios federados

PROBLEMA

Os utilizadores de vários domínios federados (domínios de nível superior ou subordinado) não conseguem iniciar sessão no Microsoft 365. Além disso, recebem a seguinte mensagem de erro:

Pedimos desculpa, mas estamos com dificuldades em iniciar sessão.AADSTS50107: o objeto de realm de federação "http:// <ADFShostname>/adfs/services/trust" não existe.

CAUSA

Este problema ocorre por um dos seguintes motivos:

  • A regra de Transformação de Emissão é necessária para alterar o emissor do nome de anfitrião da instância predefinida do Serviço de Federação do Active Directory (AD FS) para o emissor definido se o domínio federado estiver em falta.
  • A regra de Transformação de Emissão não é atualizada depois de adicionar domínios subordinados.

Este problema ocorre quando vários domínios de nível superior são federados para a mesma instância do AD FS para inquilinos.

SOLUÇÃO

Observação

Os módulos Azure AD e MSOnline PowerShell foram preteridos a partir de 30 de março de 2024. Para saber mais, leia a atualização sobre substituição. Após essa data, o suporte para esses módulos é limitado à assistência de migração para o SDK do Microsoft Graph PowerShell e correções de segurança. Os módulos preteridos continuarão funcionando até 30 de março de 2025.

Recomendamos migrar para o Microsoft Graph PowerShell para interagir com o Microsoft Entra ID (anteriormente Azure AD). Para obter respostas para perguntas de migração comuns, consulte as perguntas frequentes sobre migração. Observação: as versões 1.0.x do MSOnline podem sofrer interrupções após 30 de junho de 2024.

  1. Aceda a Regras de Afirmação do Microsoft Entra RPT e, em seguida, clique em Seguinte.

  2. Especifique o valor para ID Imutável (sourceAnchor) ->Início de Sessão do Utilizador (por exemplo, UPN ou correio). Se vários domínios de nível superior estiverem federados, selecione Sim quando lhe for pedido para responder a "A confiança do Microsoft Entra ID com o AD FS suporta vários domínios?".

  3. Ligue-se ao Microsoft 365 PowerShell e, em seguida, exporte a lista de domínios para um ficheiro de .csv (por exemplo, output.csv). Para tal, execute os seguintes cmdlets:

    Import-Module MSOnline
    
    Connect-MsolService
    
    Get-MsolDomain | Select-Object Name, RootDomain, Authentication | ConvertTo-Csv -NoTypeInformation | % {$_.Replace('"','')} | Out-File output.csv
    
  4. Clique em Gerar Afirmações e, em seguida, copie os cmdlets do PowerShell da secção Regras de Afirmação .

  5. Guarde os cmdlets como um script do PowerShell (por exemplo, updatelclaimrules.ps1) e, em seguida, execute o seguinte comando para executar o script no servidor primário do AD FS:

    .\Updateclaims.ps1
    
  6. O script faz uma Cópia de Segurança das regras de Transformação de Emissão existentes como um ficheiro de .txt no diretório de trabalho atual.

Se quiser restaurar as regras de emissão que criou com o script, execute o seguinte cmdlet e especifique o ficheiro de Cópia de Segurança que criou no passo 5. No exemplo seguinte, o ficheiro cópia de segurança é Cópia de Segurança 2018.12.26_09.21.03.txt.

Set-AdfsRelyingPartyTrust -TargetIdentifier "urn:federation:MicrosoftOnline" -IssuanceTransformRulesFile "Backup 2018.12.26_09.21.03.txt"