Comment faire pour résoudre les problèmes de connexion au point de terminaison AD FS lorsque les utilisateurs se connectent à Office 365, Intune ou Azure

Notes

Office 365 ProPlus est renommé Applications Microsoft 365 pour les entreprises. Pour plus d’informations sur ce changement, lisez ce billet de blog.

Problème

Lorsque les utilisateurs se connectent à un service Cloud de Microsoft, tel qu’Office 365, Microsoft Intune ou Microsoft Azure à l’aide d’un compte d’utilisateur fédéré, la connexion au service AD FS (Active Directory Federation Services) échoue uniquement lorsque les utilisateurs essaient d’effectuer les opérations suivantes :

  • Se connecter à partir d’un emplacement Internet distant
  • Utiliser les connexions de messagerie pour se connecter

Cette situation entraîne également le test d’authentification unique que l’analyseur de connectivité à distance effectue pour échouer.

Pour plus d’informations sur la façon d’exécuter l’analyseur de connectivité à distance afin de tester l’authentification unique dans Office 365, consultez les articles suivants dans la base de connaissances Microsoft :

  • 2650717 comment faire pour utiliser l’analyseur de connectivité à distance pour résoudre les problèmes liés à l’authentification unique pour Office 365, Azure ou Intune
  • 2466333 les utilisateurs fédérés ne peuvent pas se connecter à une boîte aux lettres Exchange Online

Cause

Ces échecs peuvent survenir si le service AD FS n’est pas exposé correctement à Internet. En règle générale, le serveur proxy AD FS est utilisé à cette fin, et les problèmes liés au serveur proxy AD FS provoquent ces symptômes. Les problèmes courants sont les suivants :

  • Certificat SSL expiré qui est affecté au serveur proxy AD FS

    Fréquemment, le même certificat SSL est utilisé pour sécuriser la communication (HTTPs) pour le service de fédération AD FS et le serveur proxy AD FS. Lorsque ce certificat arrive à expiration et que le certificat est renouvelé ou mis à jour sur la batterie de serveurs AD FS Federation Service, le certificat SSL doit également être mis à jour sur tous les serveurs proxy AD FS. Si le certificat SSL du serveur proxy AD FS n’est pas mis à jour dans ce cas, les connexions Internet au service AD FS peuvent échouer, même si le service de fédération AD FS est intègre.

  • Configuration incorrecte des points de terminaison d’authentification IIS

    Le rôle du serveur proxy AD FS est de recevoir la communication Internet qui est dirigée vers AD FS et de relayer cette communication vers le service de fédération AD FS. Par conséquent, il est important que le paramètre d’authentification IIS du service de fédération AD FS et le serveur proxy soient complémentaires. Lorsque les paramètres d’authentification IIS du serveur proxy AD FS ne sont pas configurés pour compléter les paramètres d’authentification IIS du service de fédération AD FS, la connexion peut échouer ou générer plusieurs invites inattendues.

  • Approbation rompue entre le serveur proxy AD FS et le service de fédération AD FS

    Le service de proxy AD FS est conçu pour être installé sur un ordinateur qui n’est pas joint à un domaine. Par conséquent, la communication entre le serveur proxy AD FS et le service de fédération AD FS ne peut pas être basée sur une approbation ou des informations d’identification Active Directory. Au lieu de cela, la communication entre ces deux rôles serveur est établie en utilisant un jeton qui est émis au serveur proxy AD FS par le service de fédération AD FS et signé par le certificat de signature de jetons AD FS. Lorsque cette approbation expire ou n’est pas valide, le service de proxy AD FS ne peut pas relayer les demandes AD FS et l’approbation doit être recréée pour restaurer les fonctionnalités.

Solution

Pour résoudre ce problème, appliquez l’une des méthodes suivantes, selon votre situation, sur tous les serveurs proxy AD FS défectueux.

Méthode 1 : résolution des problèmes de certificat SSL AD FS sur le serveur AD FS

Pour cela, procédez comme suit :

  1. Résolution des problèmes de certificat SSL sur le service de fédération AD FS (et non sur le service de proxy) à l’aide de l’article suivant de la base de connaissances Microsoft :

    2523494 vous recevez un avertissement de certificat d’AD FS lorsque vous essayez de vous connecter à Office 365, Azure ou Intune

  2. Si le certificat SSL du service de fédération AD FS fonctionne correctement, mettez à jour le certificat SSL sur le serveur proxy AD FS à l’aide des fonctions d’importation et d’exportation de certificat. Pour plus d’informations, consultez l’article suivant de la base de connaissances Microsoft :
    179380 comment faire pour supprimer, importer et exporter des certificats numériques

Méthode 2 : réinitialiser les paramètres d’authentification IIS du serveur proxy AD FS par défaut

Pour ce faire, suivez les étapes décrites dans la résolution 1 de l’article suivant de la base de connaissances Microsoft pour le serveur proxy AD FS :

2461628 un utilisateur fédéré est invité à plusieurs reprises à fournir des informations d’identification lors de la connexion à Office 365, Azure ou Intune

Méthode 3 : réexécuter l’Assistant Configuration du proxy AD FS

Pour ce faire, réexécutez l’Assistant Configuration du serveur proxy de fédération AD FS à partir de l’interface des outils d’administration de tous les serveurs proxy AD FS concernés.

Notes

Il est habituel de recevoir un avertissement de l’étape « déployer le site Web de connexion du navigateur » lorsque vous réexécutez l’Assistant Configuration. Cela n’indique pas que l’Assistant n’a pas reconstruit l’approbation entre le serveur proxy AD FS et le service de fédération AD FS.

Plus d’informations

Pour plus d’informations sur la façon d’exposer le service AD FS à Internet à l’aide d’un serveur proxy AD FS, accédez au site Web Microsoft suivant :

Planifier et déployer les services ADFS (Active Directory) 2,0 pour une utilisation avec l’authentification unique

Encore besoin d’aide ? Accédez à Microsoft Community.