更改联合Office 365终结点后,登录 Azure、Azure 或 Intune 失败

备注

Office 365 ProPlus 正在重命名为 适用于企业的 Microsoft 365 应用。 有关此更改的详细信息, 请阅读此博客文章

问题

在 AD FS 管理控制台中更改 Active Directory 联合身份验证服务 (AD FS) 服务终结点设置后,对 Microsoft 云服务(如 Office 365、Microsoft Azure 或 Microsoft Intune)进行单一登录 (SSO) 身份验证将失败,并遇到以下症状之一:

  • 联合用户无法通过使用丰富的客户端应用程序Office 365 Azure 或 Intune 登录。
  • 浏览器应用程序在 SSO 身份验证期间尝试向 AD FS 进行身份验证时反复提示用户提供凭据。

原因

如果满足下列条件之一,则可能会出现此问题:

  • AD FS 服务终结点配置不当。
  • AD FS 服务器上 Kerberos 身份验证已损坏。

解决方案

若要解决此问题,请根据你的情况使用以下方法之一。

解决方案 1:还原默认 AD FS 服务终结点配置

若要还原 AD FS 默认服务终结点设置,请对主 AD FS 服务器执行以下步骤:

  1. 打开 AD FS 管理控制台,在左侧导航窗格中,浏览到 AD FS, 然后浏览到 服务,然后 浏览到终结点

    屏幕截图显示检查 A D F S 默认服务终结点设置的步骤。

  2. 检查终结点列表,并确保此列表中的条目至少启用 (指示的) :

    URL 路径 已启用 代理已启用
    /adfs/ls/ True True
    /adfs/services/trust/2005/windowstransport True False
    /adfs/services/trust/2005/certificatemixed True True
    /adfs/services/trust/2005/certificatetransport True True
    /adfs/services/trust/2005/usernamemixed True True
    /adfs/services/trust/2005/kerberosmixed True False
    /adfs/services/trust/2005/issuedtokenmixedasymmetricbasic256 True True
    /adfs/services/trust/2005/issuedtokenmixedsymmetricbasic256 True True
    /adfs/services/trust/13/kerberosmixed True False
    /adfs/services/trust/13/certificatemixed True True
    /adfs/services/trust/13/usernamemixed True True
    /adfs/services/trust/13/issuedtokenmixedasymmetricbasic256 True True
    /adfs/services/trust/13/issuedtokenmixedsymmetricbasic256 True True
    /adfs/services/trusttcp/windows True False
    /adfs/services/trust/mex True True
    /FederationMetadata/2007-06/FederationMetadata.xml True True
    /adfs/ls/federationserverservice.asmx True False
  3. 如果列表中的某个项与上表中的默认设置不匹配,请右键单击该项,然后在必要时选择"对代理 启用"或"启用"。

    备注

    WS-Trust Windows终结点 (/adfs/services/trust/2005/windowstransport 和 /adfs/services/trust/13/windowstransport) 只是指在 HTTPS 上使用 WIA 绑定的面向 Intranet 的终结点。

    应始终在代理上禁用这些终结点 (即从 Extranet) 禁用,以保护 AD 帐户锁定。

解决方案 2:解决 Kerberos 身份验证问题

若要详细了解如何解决 Kerberos 身份验证问题,请参阅以下 Microsoft 知识库文章:

2461628联合用户在登录 Azure、Azure 或 Intune 期间Office 365反复提示输入凭据

更多信息

仍然需要帮助? 转到 Microsoft 社区Azure Active Directory 论坛网站。