L'accesso a Microsoft 365, Azure o Intune non riesce dopo aver modificato l'endpoint del servizio federativo

  • Articolo
  • Si applica a:
    Cloud Services (Web roles/Worker roles), Azure Active Directory, Microsoft Intune, Azure Backup, Microsoft 365

Problema

Dopo aver modificato le impostazioni dell'endpoint del servizio Active Directory Federation Services (AD FS) in AD FS Management Console, l'autenticazione Single Sign-On (SSO) in un servizio cloud Microsoft, ad esempio Microsoft 365, Microsoft Azure o Microsoft Intune non riesce e si verifica uno dei sintomi seguenti:

  • Gli utenti federati non possono accedere a Microsoft 365, Azure o Intune usando applicazioni client avanzate.
  • Le applicazioni browser richiedono ripetutamente agli utenti le credenziali quando provano a eseguire l'autenticazione ad AD FS durante l'autenticazione SSO.

Causa

Questo problema può verificarsi se una delle seguenti condizioni è vera:

  • Gli endpoint del servizio AD FS sono configurati in modo inappropriato.
  • L'autenticazione Kerberos nel server AD FS è interrotta.

Soluzione

Per risolvere il problema, utilizzare uno dei metodi seguenti, a seconda della situazione.

Risoluzione 1: ripristinare la configurazione predefinita dell'endpoint del servizio AD FS

Per ripristinare le impostazioni dell'endpoint di servizio predefinito di AD FS, seguire questa procedura nel server AD FS primario:

  1. Aprire la console di gestione di AD FS e nel riquadro di spostamento sinistro passare ad AD FS, quindi a Servizio e quindi a Endpoint.

    Screenshot che mostra i passaggi per controllare le impostazioni dell'endpoint di servizio predefinito di A D F S.

  2. Esaminare l'elenco degli endpoint e assicurarsi che le voci in questo elenco siano abilitate come indicato (almeno):

    Percorso URL Abilitato Proxy abilitato
    /adfs/ls/ True True
    /adfs/services/trust/2005/windowstransport Vero Falso
    /adfs/services/trust/2005/certificatemixed True True
    /adfs/services/trust/2005/certificatetransport True True
    /adfs/services/trust/2005/usernamemixed True True
    /adfs/services/trust/2005/kerberosmixed Vero Falso
    /adfs/services/trust/2005/issuedtokenmixedasymmetricbasic256 True True
    /adfs/services/trust/2005/issuedtokenmixedsymmetricbasic256 True True
    /adfs/services/trust/13/kerberosmixed Vero Falso
    /adfs/services/trust/13/certificatemixed True True
    /adfs/services/trust/13/usernamemixed True True
    /adfs/services/trust/13/issuedtokenmixedasymmetricbasic256 True True
    /adfs/services/trust/13/issuedtokenmixedsymmetricbasic256 True True
    /adfs/services/trusttcp/windows Vero Falso
    /adfs/services/trust/mex True True
    /FederationMetadata/2007-06/FederationMetadata.xml True True
    /adfs/ls/federationserverservice.asmx Vero Falso

  3. Se un elemento nell'elenco non corrisponde alle impostazioni predefinite nella tabella precedente, fare clic con il pulsante destro del mouse sulla voce e quindi selezionare Abilita o Abilita nel proxy in base alle esigenze.

    Nota

    WS-Trust gli endpoint di Windows (/adfs/services/trust/2005/windowstransport e /adfs/services/trust/13/windowstransport) sono destinati solo agli endpoint con connessione Intranet che usano l'associazione WIA su HTTPS.

    Questi endpoint devono essere sempre disabilitati nel proxy (ad esempio disabilitati da Extranet) per proteggere i blocchi degli account AD.

Risoluzione 2: Risolvere i problemi di autenticazione Kerberos

Per altre informazioni su come risolvere i problemi di autenticazione Kerberos, vedere l'articolo della Microsoft Knowledge Base seguente:

2461628 viene ripetutamente richiesto a un utente federato le credenziali durante l'accesso a Microsoft 365, Azure o Intune

Ulteriori informazioni

Ulteriore assistenza Accedere alla community Microsoft o al sito Web dei forum di Microsoft Entra.