Přihlášení k Office 365, Azure nebo Intune se po změně koncového bodu federační služby nezdaří

Poznámka

Office 365 ProPlus se přejmenuje na Microsoft 365 Apps for enterprise. Pro další informace o této změně si přečtěte tento blog.

Problém

Po změně nastavení koncového bodu služby AD FS (AD FS) v konzole pro správu služby AD FS se nezdaří ověření jednotného přihlašování (SSO) ke cloudové službě Microsoft, jako je Office 365, Microsoft Azure nebo Microsoft Intune, a narazíte na jeden z následujících příznaků:

  • Federovaní uživatelé se nemůžou přihlásit k Office 365, Azure nebo Intune pomocí bohatých klientských aplikací.
  • Aplikace prohlížeče opakovaně vyzvat uživatele k zadání pověření při pokusu o ověření služby AD FS během ověřování služby SSO.

Příčina

K tomuto problému může dojít, pokud je splněna jedna z následujících podmínek:

  • Koncové body služby AD FS jsou nevhodně nakonfigurovány.
  • Ověřování protokolem Kerberos na serveru služby AD FS je přerušeno.

Řešení

Chcete-li tento problém vyřešit, použijte jednu z následujících metod, podle situace.

Řešení 1: Obnovení výchozí konfigurace koncového bodu služby AD FS

Chcete-li obnovit výchozí nastavení koncového bodu služby AD FS, postupujte takto na primárním serveru služby AD FS:

  1. Otevřete konzolu pro správu služby AD FS a v levém navigačním podokně přejděte na službu AD FS, potom na službu Servicea potom na koncové body.

    Koncové body systému ADFS

  2. Zkontrolujte seznam koncových bodů a ujistěte se, že položky v tomto seznamu jsou povoleny podle bodu (minimálně):

    Cesta url Povoleno Proxy server je povolen.
    /adfs/ls/ Pravda Pravda
    /adfs/services/trust/2005/windowstransport Pravda False
    /adfs/services/trust/2005/certificatemixed Pravda Pravda
    /adfs/services/trust/2005/certificatetransport Pravda Pravda
    /adfs/services/trust/2005/usernamemixed Pravda Pravda
    /adfs/services/trust/2005/kerberosmixed Pravda False
    /adfs/services/trust/2005/issuedtokenmixedasymmetricbasic256 Pravda Pravda
    /adfs/services/trust/2005/issuedtokenmixedsymmetricbasic256 Pravda Pravda
    /adfs/services/trust/13/kerberosmixed Pravda False
    /adfs/services/trust/13/certificatemixed Pravda Pravda
    /adfs/services/trust/13/usernamemixed Pravda Pravda
    /adfs/services/trust/13/issuedtokenmixedasymmetricbasic256 Pravda Pravda
    /adfs/services/trust/13/issuedtokenmixedsymmetricbasic256 Pravda Pravda
    /adfs/services/trusttcp/windows Pravda False
    /adfs/services/trust/mex Pravda Pravda
    /FederationMetadata/2007-06/FederationMetadata.xml Pravda Pravda
    /adfs/ls/federationserverservice.asmx Pravda False
  3. Pokud položka v seznamu neodpovídá výchozímu nastavení v předchozí tabulce, klikněte na ni pravým tlačítkem myši a podle potřeby vyberte Povolit nebo Povolit na serveru Proxy.

    Poznámka
    WS-Trust Koncové body systému Windows (/adfs/services/trust/2005/windowstransport and/adfs/services/trust/13/windowstransport) jsou určeny pouze pro koncové body směřující do intranetu, které používají vazbu WIA v protokolu HTTPS.

    Tyto koncové body by měly být vždy zakázány na serveru proxy (tj. zakázáno z extranet) chránit uzamčení účtu služby AD.

Řešení 2: Řešení problémů s ověřováním protokolu Kerberos

Další informace o řešení potíží s ověřováním protokolu Kerberos naleznete v následujícím článku znalostní báze Microsoft Knowledge Base:

2461628   Federovaný uživatel se při přihlašování k Office 365, Azure nebo Intune opakovaně zobrazí výzva k zadání přihlašovacích údajů 

Další informace

Stále potřebujete pomoc? Přejděte na stránku Komunita Microsoft nebo Azure Active Directory Forums.