Přihlášení k Office 365, Azure nebo Intune se po změně koncového bodu služby Federation Service nezdaří

Poznámka

Office 365 ProPlus se přejmenuje na Microsoft 365 Apps for enterprise. Pro další informace o této změně si přečtěte tento blog.

Problém

Po změně nastavení koncového bodu služby AD FS (Active Directory Federation Services) v konzole pro správu služby AD FS se ověřování jednotného přihlašování (SSO) na cloudovou službu Microsoftu, jako je Office 365, Microsoft Azure nebo Microsoft Intune, nezdaří a vy se objeví jeden z následujících příznaků:

  • Federovaní uživatelé se pomocí bohatých klientských aplikací Office 365, Azure ani Intune přihlásit.
  • Aplikace prohlížeče opakovaně vyzývat uživatele k zadání přihlašovacích údajů při pokusu o ověření služby AD FS během ověřování jednotného přihlašování.

Příčina

K tomuto problému může dojít, pokud platí jedna z následujících podmínek:

  • Koncové body služby AD FS jsou nevhodně nakonfigurované.
  • Ověřování protokolem Kerberos na serveru služby AD FS je přerušené.

Řešení

Pokud chcete tento problém vyřešit, použijte jednu z následujících metod, která je vhodná pro vaši situaci.

Řešení 1: Obnovení výchozí konfigurace koncového bodu služby AD FS

Pokud chcete obnovit výchozí nastavení koncového bodu služby AD FS, postupujte na primárním serveru SLUŽBY AD FS takto:

  1. Otevřete konzolu pro správu služby AD FS a v levém navigačním podokně přejděte na AD FS, pak na Service(Služba) a pak Endpoints (Koncové body).

    Snímek obrazovky znázorňuje postup kontroly výchozího koncového bodu služby A D F S.

  2. Zkontrolujte seznam koncových bodů a ujistěte se, že jsou položky v tomto seznamu povolené tak, jak je uvedeno (minimálně):

    Cesta k adrese URL Povoleno Proxy server povolený
    /adfs/ls/ Pravda Pravda
    /adfs/services/trust/2005/windowstransport Pravda Nepravda
    /adfs/services/trust/2005/certificatemixed Pravda Pravda
    /adfs/services/trust/2005/certificatetransport Pravda Pravda
    /adfs/services/trust/2005/usernamemixed Pravda Pravda
    /adfs/services/trust/2005/kerberosmixed Pravda Nepravda
    /adfs/services/trust/2005/issuedtokenmixedasymmetricbasic256 Pravda Pravda
    /adfs/services/trust/2005/issuedtokenmixedsymmetricbasic256 Pravda Pravda
    /adfs/services/trust/13/kerberosmixed Pravda Nepravda
    /adfs/services/trust/13/certificatemixed Pravda Pravda
    /adfs/services/trust/13/usernamemixed Pravda Pravda
    /adfs/services/trust/13/issuedtokenmixedasymmetricbasic256 Pravda Pravda
    /adfs/services/trust/13/issuedtokenmixedsymmetricbasic256 Pravda Pravda
    /adfs/services/trusttcp/windows Pravda Nepravda
    /adfs/services/trust/mex Pravda Pravda
    /FederationMetadata/2007-06/FederationMetadata.xml Pravda Pravda
    /adfs/ls/federationserverservice.asmx Pravda Nepravda
  3. Pokud položka v seznamu neodpovídá výchozímu nastavení v předchozí tabulce, klikněte na položku pravým tlačítkem myši a podle potřeby vyberte Povolit nebo Povolit na proxy serveru.

    Poznámka

    WS-Trust Windows koncové body (/adfs/services/trust/2005/windowstransport a /adfs/services/trust/13/windowstransport) jsou určeny jenom pro intranetové koncové body, které používají vazbu WIA na https.

    Tyto koncové body by měly být vždycky zakázané na proxy serveru (tj. zakázané z extranetu), aby se chránily uzamčení účtů AD.

Řešení 2: Řešení problémů s ověřováním kerberos

Další informace o řešení problémů s ověřováním kerberos najdete v následujícím článku znalostní báze Microsoft Knowledge Base:

2461628 federovaný uživatel se opakovaně zobrazí výzva k zadání přihlašovacích údajů při přihlašování Office 365, Azure nebo Intune.

Další informace

Stále potřebujete pomoc? Přejděte na stránku Komunita Microsoft nebo Azure Active Directory Forums.