Az összevonási szolgáltatási végpont módosítása után nem lehet bejelentkezni az Office 365-be, az Azure-ba vagy az Intune-ba

Megjegyzés

Az Office 365 ProPlus átnevezésre került Microsoft 365 Vállalati alkalmazásokra. A változásról további információért olvassa el ezt a blogbejegyzést.

Probléma

Miután az Active Directory összevonási szolgáltatások (AD FS) szolgáltatás végpontbeállítását az AD FS Felügyeleti konzolban egy Microsoft felhőszolgáltatásra, például az Office 365-re, a Microsoft Azure-ra vagy a Microsoft Intune-ra módosítja, az egyszeri bejelentkezéses hitelesítés sikertelen lesz, és az alábbi jelenségek egyikét tapasztalja:

  • A összevont felhasználók nem tudnak bejelentkezni az Office 365-be, az Azure-ba vagy az Intune-ba gazdag ügyfélalkalmazások használatával.
  • A böngészőalkalmazások ismétlődően hitelesítő adatokat kérnek a felhasználóktól, amikor az SSO-hitelesítés során megpróbálnak hitelesítést végezni az AD FS szolgáltatásban.

A probléma oka

Ez a probléma akkor fordulhat elő, ha az alábbi feltételek egyike teljesül:

  • Az AD FS szolgáltatás végpontjai nem megfelelően vannak konfigurálva.
  • A Kerberos-hitelesítés nem működik az AD FS-kiszolgálón.

Megoldás

A probléma megoldásához használja az alábbi módszerek egyikét az Ön helyzetének megfelelően.

1. megoldás: Az AD FS szolgáltatás alapértelmezett végpontbeállításának visszaállítása

Az AD FS alapértelmezett szolgáltatás végpontbeállításának visszaállításához kövesse az alábbi lépéseket az elsődleges AD FS-kiszolgálón:

  1. Nyissa meg az AD FS Management Console böngészőt, és a bal oldali navigációs ablakban keresse meg az AD FS, majd a Service(Szolgáltatás) , majd a Endpoints (Végpontok) lehetőséget.

    ADFS-végpontok

  2. Vizsgálja meg a végpontok listáját, és győződjön meg arról, hogy a listában szereplő bejegyzések engedélyezettek (legalább):

    URL Path Engedélyezve. Proxy engedélyezve
    /adfs/ls/ Igaz Igaz
    /adfs/services/trust/2005/windowstransport Igaz False
    /adfs/services/trust/2005/certificatemixed Igaz Igaz
    /adfs/services/trust/2005/certificatetransport Igaz Igaz
    /adfs/services/trust/2005/felhasználónévmixed Igaz Igaz
    /adfs/services/trust/2005/kerberosmixed Igaz False
    /adfs/services/trust/2005/issuedtokenmixedasymmetricbasic256 Igaz Igaz
    /adfs/services/trust/2005/issuedtokenmixedsymmetricbasic256 Igaz Igaz
    /adfs/services/trust/13/kerberosmixed Igaz False
    /adfs/services/trust/13/certificatemixed Igaz Igaz
    /adfs/services/trust/13/felhasználónévmixed Igaz Igaz
    /adfs/services/trust/13/issuedtokenmixedasymmetricbasic256 Igaz Igaz
    /adfs/services/trust/13/issuedtokenmixedsymmetricbasic256 Igaz Igaz
    /adfs/services/trusttcp/windows Igaz False
    /adfs/services/trust/mex Igaz Igaz
    /FederationMetadata/2007-06/FederationMetadata.xml Igaz Igaz
    /adfs/ls/federationserverservice.asmx Igaz False
  3. Ha a listában egy elem nem egyezik meg az előző tábla alapértelmezett beállításaival, kattintson a jobb gombbal a bejegyzésre, és szükség szerint válassza az Engedélyezés vagy az Engedélyezés proxyn lehetőséget.

    Megjegyzés

    WS-Trust Windows-végpontok (/adfs/services/trust/2005/windowstransport és /adfs/services/trust/13/windowstransport) csak intranetes végpontok, amelyek WIA-kötést használnak HTTPS-kapcsolaton.

    Az AD-fiókok zárolásának védelme érdekében ezeket a végpontokat mindig le kell tiltani a proxyn (azaz le kell tiltani az extranetről).

2. megoldás: A Kerberos hitelesítési problémáinak elhárítása

A Kerberos hitelesítési hibáinak elhárításáról további információt a Microsoft Tudásbázis következő cikkében talál:

2461628 A rendszer ismétlődően hitelesítő adatokat kér egy összevont felhasználótól az Office 365-be, az Azure-ba vagy az Intune-ba való bejelentkezés során.

További információ

További segítségre van szüksége? Nyissa meg a Microsoft Community vagy az Azure Active Directory fórumainak weboldalát.