Entrar no Office 365, Azure ou Intune falha após alterar o ponto de extremidade do serviço de Federação

Observação

O Office 365 ProPlus está sendo renomeado como Microsoft 365 Apps para empresas. Para obter mais informações sobre essa mudança, leia esta postagem de blog.

Problema

Após alterar as configurações de ponto de extremidade de serviço do AD FS (serviços de Federação do Active Directory) no console de gerenciamento do AD FS, a autenticação de logon único (SSO) para um serviço de nuvem da Microsoft, como o Office 365, o Microsoft Azure ou o Microsoft Intune, apresentará um dos seguintes sintomas:

  • Os usuários federados não podem entrar no Office 365, no Azure ou no Intune usando aplicativos cliente avançados.
  • Os aplicativos de navegador solicitam repetidamente aos usuários as credenciais quando tentam se autenticar no AD FS durante a autenticação SSO.

Motivo

Esse problema pode ocorrer se uma das seguintes condições for verdadeira:

  • Os pontos de extremidade do serviço do AD FS estão configurados de forma inadequada.
  • A autenticação Kerberos no servidor do AD FS foi interrompida.

Solução

Para resolver esse problema, use um dos seguintes métodos, conforme apropriado para a sua situação.

Resolução 1: restaurar a configuração de ponto de extremidade do serviço AD FS padrão

Para restaurar as configurações de ponto de extremidade de serviço padrão do AD FS, siga estas etapas no servidor primário do AD FS:

  1. Abra o console de gerenciamento do AD FS e, no painel de navegação esquerdo, navegue até AD FS, serviçoe, em seguida, pontos de extremidade.

    Pontos de extremidade de ADFS

  2. Examine a lista de pontos de extremidade e certifique-se de que as entradas nessa lista estejam habilitadas conforme indicado (no mínimo):

    Caminho da URL Habilitado Proxy habilitado
    /adfs/ls Verdadeiro Verdadeiro
    /adfs/services/trust/2005/windowstransport Verdadeiro Falso
    /adfs/services/trust/2005/certificatemixed Verdadeiro Verdadeiro
    /adfs/services/trust/2005/certificatetransport Verdadeiro Verdadeiro
    /adfs/services/trust/2005/usernamemixed Verdadeiro Verdadeiro
    /adfs/services/trust/2005/kerberosmixed Verdadeiro Falso
    /adfs/services/trust/2005/issuedtokenmixedasymmetricbasic256 Verdadeiro Verdadeiro
    /adfs/services/trust/2005/issuedtokenmixedsymmetricbasic256 Verdadeiro Verdadeiro
    /adfs/services/trust/13/kerberosmixed Verdadeiro Falso
    /adfs/services/trust/13/certificatemixed Verdadeiro Verdadeiro
    /adfs/services/trust/13/usernamemixed Verdadeiro Verdadeiro
    /adfs/services/trust/13/issuedtokenmixedasymmetricbasic256 Verdadeiro Verdadeiro
    /adfs/services/trust/13/issuedtokenmixedsymmetricbasic256 Verdadeiro Verdadeiro
    /adfs/services/trusttcp/windows Verdadeiro Falso
    /adfs/services/trust/mex Verdadeiro Verdadeiro
    /FederationMetadata/2007-06/FederationMetadata.xml Verdadeiro Verdadeiro
    /adfs/ls/federationserverservice.asmx Verdadeiro Falso
  3. Se um item na lista não corresponder às configurações padrão da tabela anterior, clique com o botão direito do mouse na entrada e selecione habilitar ou habilitar no proxy conforme necessário.

    Observação
    Os pontos de extremidade do Windows WS-Trust (/ADFS/Services/Trust/2005/windowstransport e/ADFS/Services/Trust/13/windowstransport) são direcionados apenas para os pontos de extremidade voltados para a intranet que usam a associação WIA em HTTPS.

    Esses pontos de extremidade sempre devem ser mantidos desabilitados no proxy (ou seja, desabilitado da extranet) para proteger os bloqueios de conta do AD.

Resolução 2: solucionar problemas de autenticação Kerberos

Para obter mais informações sobre como solucionar problemas de autenticação Kerberos, consulte o seguinte artigo da base de dados de conhecimento da Microsoft:

2461628   Um usuário federado é solicitado repetidamente por credenciais durante a entrada no Office 365, no Azure ou no Intune 

Informações adicionais

Ainda precisa de ajuda? Acesse o site da Microsoft Community ou os fóruns do Azure Active Directory.