Inscreva-se no Office 365, Azure ou Intune falha depois de alterar o ponto final do serviço da federação

Nota

O Office 365 ProPlus está a ser renomeado para Aplicações do Microsoft 365 para empresas. Para obter mais informações sobre essa alteração, leia este post no blog.

Problema

Depois de alterar as definições de ponto final do serviço Ative Directory Federation Services (AD FS) na Consola de Gestão AD FS, a autenticação de entrada única (SSO) para um serviço de nuvem da Microsoft, como o Office 365, Microsoft Azure ou Microsoft Intune falha, e experimenta um dos seguintes sintomas:

  • Os utilizadores federados não podem inscrever-se no Office 365, Azure ou Intune utilizando aplicações de clientes ricos.
  • As aplicações do navegador solicitam repetidamente aos utilizadores credenciais quando tentam autenticar a AD FS durante a autenticação SSO.

Causa

Esta questão pode ocorrer se uma das seguintes condições for verdadeira:

  • Os pontos finais do serviço AD FS são configurados de forma inadequada.
  • A autenticação kerberos no servidor AD FS está quebrada.

Solução

Para resolver este problema, utilize um dos seguintes métodos, conforme adequado para a sua situação.

Resolução 1: Restaurar a configuração de fim do ponto final do serviço AD FS predefinido

Para restaurar as definições de ponto final do ponto final do serviço padrão AD FS, siga estes passos no servidor Principal AD FS:

  1. Abra a Consola de Gestão AD FS e, no painel de navegação à esquerda, navegue até AD FS, depois Service, e depois Endpoints.

    Pontos Finais ADFS

  2. Examine a lista de pontos finais e certifique-se de que as entradas nesta lista estão ativadas conforme indicado (no mínimo):

    Caminho de URL Ativado Proxy habilitado
    /adfs/ls/ Verdade Verdade
    /adfs/services/trust/2005/windowstransport Verdade Falso
    /adfs/services/trust/2005/certificados misturados Verdade Verdade
    /adfs/services/trust/2005/certificadotransporte Verdade Verdade
    /adfs/services/trust/2005/usernamemixed Verdade Verdade
    /adfs/services/trust/2005/kerberosmixed Verdade Falso
    /adfs/services/trust/2005/issuetokenmixedasymmetricbasic256 Verdade Verdade
    /adfs/services/trust/2005/issuedtokenmixedsymmetricbasic256 Verdade Verdade
    /adfs/services/trust/13/kerberosmixed Verdade Falso
    /adfs/services/trust/13/certificados misturados Verdade Verdade
    /adfs/services/trust/13/usernamemixed Verdade Verdade
    /adfs/services/trust/13/issuedtokenmixedasymmetricbasic256 Verdade Verdade
    /adfs/services/trust/13/issuedtokenmixedsymmetricbasic256 Verdade Verdade
    /adfs/services/trusttcp/windows Verdade Falso
    /adfs/services/trust/mex Verdade Verdade
    /FederaçãoMetametada/2007-06/FederaçãoMetas.xml Verdade Verdade
    /adfs/ls/federationserverservice.asmx Verdade Falso
  3. Se um item da lista não corresponder às definições predefinidas na tabela anterior, clique na entrada para a direita e, em seguida, selecione Ativar ou ativar no Proxy, se necessário.

    Nota
    Os pontos finais do WS-Trust Windows (/adfs/services/trust/2005/windowstransport and/adfs/services/trust/13/windowstransport) destinam-se apenas a ser pontos finais intranet virados para a intranet que utilizam a ligação wia em HTTPS.

    Estes pontos finais devem ser sempre mantidos desativados no proxy (isto é, desativados da extranet) para proteger os bloqueios da conta AD.

Resolução 2: Problemas de resolução de problemas problemas problemas de audação kerberos

Para obter mais informações sobre como resolver problemas sobre problemas com problemas de aautenticação de Kerberos, consulte o seguinte artigo da Microsoft Knowledge Base:

2461628   Um utilizador federado é repetidamente solicitado para credenciais durante o início do sessão no Office 365, Azure ou Intune 

Mais Informações

Ainda necessita de ajuda? Vá para a página web Comunidade Microsoft ou Fóruns do Azure Active Directory.