Accedere a Office 365, Azure o Intune dopo aver modificato l'endpoint del servizio federativo

Nota

Office 365 ProPlus viene rinominato in Microsoft 365 Apps for enterprise. Per ulteriori informazioni su questa modifica, leggere questo post di blog.

Problema

Dopo aver modificato le impostazioni dell'endpoint del servizio Active Directory Federation Services (AD FS) nella console di gestione AD FS, l'autenticazione Single Sign-on (SSO) a un servizio cloud Microsoft come Office 365, Microsoft Azure o Microsoft Intune ha esito negativo e si verifica uno dei seguenti sintomi:

  • Gli utenti federati non possono accedere a Office 365, Azure o Intune tramite applicazioni rich client.
  • Le applicazioni browser richiedono ripetutamente agli utenti le credenziali quando tentano di eseguire l'autenticazione a ADFS durante l'accesso a SSO.

Causa

Questo problema può verificarsi se una delle seguenti condizioni è vera:

  • Gli endpoint del servizio ADFS sono configurati in modo inappropriato.
  • L'autenticazione Kerberos sul server ADFS è interrotta.

Soluzione

Per risolvere il problema, utilizzare uno dei metodi seguenti, in base alle proprie esigenze.

Soluzione 1: ripristinare la configurazione dell'endpoint del servizio ADFS predefinito

Per ripristinare le impostazioni dell'endpoint del servizio predefinito ADFS, eseguire la procedura seguente nel server AD FS principale:

  1. Aprire la console di gestione di adFS e, nel riquadro di spostamento a sinistra, passare a ADFS, quindi Servicee quindi endpoint.

    Endpoint ADFS

  2. Esaminare l'elenco degli endpoint e verificare che le voci di questo elenco siano abilitate come indicato (almeno):

    Percorso URL Abilitato Proxy abilitato
    /ADFS/ls True True
    /adfs/services/trust/2005/windowstransport Vero False
    /adfs/services/trust/2005/certificatemixed True True
    /adfs/services/trust/2005/certificatetransport True True
    /adfs/services/trust/2005/usernamemixed True True
    /adfs/services/trust/2005/kerberosmixed Vero False
    /adfs/services/trust/2005/issuedtokenmixedasymmetricbasic256 True True
    /adfs/services/trust/2005/issuedtokenmixedsymmetricbasic256 True True
    /adfs/services/trust/13/kerberosmixed Vero False
    /adfs/services/trust/13/certificatemixed True True
    /adfs/services/trust/13/usernamemixed True True
    /adfs/services/trust/13/issuedtokenmixedasymmetricbasic256 True True
    /adfs/services/trust/13/issuedtokenmixedsymmetricbasic256 True True
    /adfs/services/trusttcp/windows Vero False
    /adfs/services/trust/mex True True
    /FederationMetadata/2007-06/FederationMetadata.xml True True
    /adfs/ls/federationserverservice.asmx Vero False
  3. Se un elemento nell'elenco non corrisponde alle impostazioni predefinite nella tabella precedente, fare clic con il pulsante destro del mouse sulla voce e quindi selezionare Abilita o Abilita su proxy in base alle esigenze.

    Nota
    Gli endpoint di Windows WS-Trust (/ADFS/Services/Trust/2005/windowstransport e/ADFS/Services/Trust/13/windowstransport) devono essere destinati solo agli endpoint con accesso a Intranet che utilizzano il binding WIA su HTTPS.

    Tali endpoint devono essere sempre disattivati sul proxy (ovvero disattivati dall'Extranet) per proteggere i blocchi degli account di Active Directory.

Soluzione 2: risolvere i problemi di autenticazione Kerberos

Per ulteriori informazioni su come risolvere i problemi di autenticazione Kerberos, vedere l'articolo della Microsoft Knowledge Base riportato di seguito:

2461628   Un utente federato viene richiesto più volte per le credenziali durante l'accesso a Office 365, Azure o Intune 

Ulteriori informazioni

Ulteriore assistenza Visitare la community Microsoft o il sito Web dei forum di Azure Active Directory.