Logowanie się do usługi Office 365, platformy Azure lub intune kończy się niepowodzeniem po zmianie punktu końcowego usługi federrskiej

Uwaga

Nazwa usługi Office 365 ProPlus została zmieniona na Aplikacje usługi Microsoft 365 dla przedsiębiorstw. Aby uzyskać więcej informacji na temat tej zmiany, przeczytaj ten wpis w blogu.

Problem

Gdy zmienisz ustawienia punktu końcowego usług feder służącej do federacji Active Directory (AD FS) w konsoli zarządzania usługAMI AD FS, uwierzytelnianie przy użyciu logowania jednokrotnego do usługi w chmurze firmy Microsoft, takiej jak Office 365, Microsoft Azure lub Microsoft Intune, kończy się niepowodzeniem i może wystąpić jeden z następujących symptomów:

  • Użytkownicy federacyjni nie mogą logować się do usługi Office 365, platformy Azure ani Intune przy użyciu rozbudowanych aplikacji klienckich.
  • Aplikacje przeglądarki wielokrotnie monitują użytkowników o poświadczenia podczas próby uwierzytelnienia w usługach AD FS podczas uwierzytelniania logowania jednokrotnego.

Przyczyna

Ten problem może wystąpić, jeśli jeden z następujących warunków jest prawdziwy:

  • Punkty końcowe usługi AD FS są niewłaściwie skonfigurowane.
  • Uwierzytelnianie Kerberos na serwerze usług AD FS jest uszkodzone.

Rozwiązanie

Aby rozwiązać ten problem, użyj jednej z następujących metod, odpowiednio do sytuacji.

Rozwiązanie 1. Przywracanie domyślnej konfiguracji punktu końcowego usług AD FS

Aby przywrócić domyślne ustawienia punktu końcowego usług AD FS, wykonaj następujące czynności na podstawowym serwerze usług AD FS:

  1. Otwórz konsolę zarządzania usług AD FS i w okienku nawigacji po lewej stronie przejdź do menu Usługi AD FS, następnie do usługi , a następnie do punktów końcowych.

    Punkty końcowe usług ADFS

  2. Sprawdź listę punktów końcowych i upewnij się, że pozycje na tej liście są włączone zgodnie ze wskazanymi (co najmniej):

    Ścieżka adresu URL Włączone Włączono serwer proxy
    /adfs/ls/ True (Prawda) True (Prawda)
    /adfs/services/trust/2005/windowstransport True (Prawda) False (Fałsz
    /adfs/services/trust/2005/certificatemixed True (Prawda) True (Prawda)
    /adfs/services/trust/2005/certificatetransport True (Prawda) True (Prawda)
    /adfs/services/trust/2005/usernamemixed True (Prawda) True (Prawda)
    /adfs/services/trust/2005/kerberosmixed True (Prawda) False (Fałsz
    /adfs/services/trust/2005/issuedtokenmixedasymmetricbasic256 True (Prawda) True (Prawda)
    /adfs/services/trust/2005/issuedtokenmixedsymmetricbasic256 True (Prawda) True (Prawda)
    /adfs/services/trust/13/kerberosmixed True (Prawda) False (Fałsz
    /adfs/services/trust/13/certificatemixed True (Prawda) True (Prawda)
    /adfs/services/trust/13/usernamemixed True (Prawda) True (Prawda)
    /adfs/services/trust/13/issuedtokenmixedasymmetricbasic256 True (Prawda) True (Prawda)
    /adfs/services/trust/13/issuedtokenmixedsymmetricbasic256 True (Prawda) True (Prawda)
    /adfs/services/trusttcp/windows True (Prawda) False (Fałsz
    /adfs/services/trust/mex True (Prawda) True (Prawda)
    /FederationMetadata/2007-06/FederationMetadata.xml True (Prawda) True (Prawda)
    /adfs/ls/federationserverservice.asmx True (Prawda) False (Fałsz
  3. Jeśli element na liście nie jest zgodne z ustawieniami domyślnymi w poprzedniej tabeli, kliknij prawym przyciskiem myszy wpis, a następnie w razie potrzeby wybierz pozycję Włącz lub Włącz w serwerze proxy.

    Uwaga

    WS-Trust punktów końcowych systemu Windows (/adfs/services/trust/2005/windowstransport i /adfs/services/trust/13/windowstransport) są przeznaczone tylko do użytku intranetowego z powiązaniem protokołu HTTPS.

    Te punkty końcowe powinny zawsze być wyłączone na serwerze proxy (czyli wyłączone z ekstranetu), aby chronić blokady konta USŁUGI AD.

Rozwiązanie 2. Rozwiązywanie problemów z uwierzytelnianiem Kerberos

Aby uzyskać więcej informacji na temat rozwiązywania problemów z uwierzytelnianiem Kerberos, zobacz następujący artykuł z bazy wiedzy Microsoft Knowledge Base:

2461628 Użytkownik federowany jest wielokrotnie monitowany o poświadczenia podczas logowania się do usługi Office 365, platformy Azure lub Intune

Więcej informacji

Nadal potrzebujesz pomocy? Przejdź do witryny Microsoft Community lub forów Azure Active Directory.