Die zweite Domäne sollte aus dem Internet erreichbar sein, ansonsten klappt die Verifizierung der Inhaberschaft im Azure AD nicht.
Dieser Microsoftartikel beschreibt wie bei der Einrichtung vorzugehen ist.
Beispielweise würde für die Firma Univention im Azure AD die interne Domäne univention.onmicrosoft.com und die verifizierte ‘custom domain’ univention.de zu finden sein.
Der Fehler AADSTS50107 besagt normalerweise, dass das vom Wizard bereitgestellte Script zur Umstellung der Azure AD Domäne auf Single Sign-On nicht erfolgreich ausgeführt wurde. Es gibt auch einen Artikel dazu hier im Forum.