如何在用户登录 Azure、Intune 或 Azure Office 365 AD FS 终结点连接问题

备注

Office 365 ProPlus 正在重命名为 适用于企业的 Microsoft 365 应用。 有关此更改的详细信息, 请阅读此博客文章

问题

当用户使用联合用户帐户登录到 Microsoft 云服务(如 Office 365、Microsoft Intune 或 Microsoft Azure)时,与 Active Directory 联合身份验证服务 (AD FS) 服务的连接仅在用户尝试执行以下操作时失败:

  • 连接远程 Internet 位置进行连接
  • 使用电子邮件连接登录

这种情况还会导致远程连接分析器进行的 SSO 测试失败。

若要详细了解如何运行远程连接分析器在 Office 365 中测试 SSO 身份验证,请参阅 Microsoft 知识库中的以下文章:

  • 2650717如何使用远程连接分析器排查 Office 365、Azure 或 Intune 的单一登录问题
  • 2466333联盟用户无法连接到邮箱Exchange Online邮箱

原因

如果 AD FS 服务未正确向 Internet 公开,则可能发生这些失败。 通常,AD FS 代理服务器用于此目的,并且 AD FS 代理服务器的问题将导致这些症状。 常见问题包括:

  • 分配给 AD FS 代理服务器的过期 SSL 证书

    通常,同一 SSL 证书用于帮助保护 AD FS (和 AD FS) HTTPS 客户端的通信安全。 当此证书过期,并且证书在 AD FS 联合身份验证服务场上续订或更新时,还必须在所有 AD FS 代理服务器上更新 SSL 证书。 如果在这种情况下未更新 AD FS 代理服务器 SSL 证书,则即使 AD FS 联合身份验证服务运行正常,Internet 与 AD FS 服务的连接也可能失败。

  • IIS 身份验证终结点的配置不正确

    AD FS 代理服务器的作用是接收定向到 AD FS 的 Internet 通信,以及将通信中继到 AD FS 联合身份验证服务。 因此,AD FS 联合身份验证服务和代理服务器的 IIS 身份验证设置相互补充非常重要。 当 AD FS 代理服务器 IIS 身份验证设置未设置为补充 AD FS 联合身份验证服务 IIS 身份验证设置时,登录可能会失败,或者可能会生成多个意外的提示。

  • 断开了 AD FS 代理服务器和 AD FS 联合身份验证服务之间的信任

    AD FS 代理服务设计为安装在未加入域的计算机上。 因此,AD FS 代理服务器和 AD FS 联合身份验证服务之间的通信不能基于 Active Directory 信任或凭据。 相反,这两个服务器角色之间的通信是通过使用 AD FS 联合身份验证服务颁发给 AD FS 代理服务器并经 AD FS 令牌签名证书签名的令牌建立的。 当此信任过期或无效时,AD FS 代理服务无法中继 AD FS 请求,并且必须重新生成信任才能还原功能。

解决方案

若要解决此问题,请根据你的情况,在所有出现故障的 AD FS 代理服务器上使用以下方法之一。

方法 1:修复 AD FS 服务器上 AD FS SSL 证书的问题

为此,请按照下列步骤操作:

  1. 使用下面的 Microsoft 知识库文章对 AD FS 联合身份验证服务( (代理服务) 上的 SSL 证书问题进行故障排除:

    2523494尝试登录 Azure、Azure 或 Intune 时收到来自 AD FS 的证书Office 365警告

  2. 如果 AD FS 联合身份验证服务 SSL 证书运行正常,则使用证书导出和导入功能更新 AD FS 代理服务器上的 SSL 证书。 有关详细信息,请参阅以下 Microsoft 知识库文章:
    179380 如何删除、导入和导出数字证书

方法 2:将 AD FS 代理服务器 IIS 身份验证设置重置为默认值

为此,请按照以下适用于 AD FS 代理服务器的 Microsoft 知识库文章解决方案 1 中所述的步骤操作:

2461628联合用户在登录 Azure、Azure 或 Intune 期间Office 365反复提示输入凭据

方法 3:重新运行 AD FS 代理配置向导

为此,请从所有受影响的 AD FS 代理服务器的"管理工具"界面重新运行 AD FS 联合服务器代理配置向导。

备注

在重新运行配置向导时,通常会收到"部署浏览器登录网站"步骤中的警告。 这不会指示向导未在 AD FS 代理服务器和 AD FS 联合身份验证服务之间重新建立信任。

详细信息

有关如何使用 AD FS 代理服务器向 Internet 公开 AD FS 服务的信息,请转到以下 Microsoft 网站:

计划和部署 AD FS 2.0 以用于单一登录

仍然需要帮助? 请转到 Microsoft 社区