Os utilizadores federados não conseguem ligar a uma caixa de correio Exchange Online

Sintomas

Um utilizador federado não pode autenticar-se no Microsoft Outlook ou no Microsoft Exchange ActiveSync utilizando um smartphone no Exchange Online.

Causa

Este problema pode ocorrer se uma das seguintes condições for verdadeira:

• O serviço de federação do Active Directory no local Federation Services (AD FS) 2.0 não está disponível na Internet pública.
• O certificado SSL (Secure Sockets Layer) utilizado pelo ponto final do AD FS 2.0 é emitido por uma autoridade de certificação que não é fidedigna pelo datacenter Exchange Online.

O ponto final de Exchange Online atual do Outlook utiliza Autenticação Básica ou Autenticação de Proxy. Isto significa que os clientes do Outlook se autenticam no serviço Outlook.com através da Autenticação Básica. Se Outlook.com determinar que o utilizador é um utilizador federado, proxies a Autenticação Básica através de SSL para o servidor do AD FS 2.0 do utilizador em nome do cliente. Esta ação autentica o utilizador localmente e pede uma afirmação ou token de acesso SAML (Security Assertion Markup Language) para o utilizador. Se um ponto final do AD FS 2.0 disponível publicamente não estiver disponível, o processo de autenticação não será bem-sucedido e o utilizador não terá acesso ao ponto final de serviço.

Utilize o Microsoft Remote Connectivity Analyzer para testar se o serviço de federação do AD FS 2.0 no local está a causar problemas de início de sessão do Outlook para utilizadores federados. Para tal, siga estes passos:

1. No Internet Explorer, aceda a Microsoft Remote Connectivity Analyzer.

2. Escreva o endereço de e-mail e as credenciais, selecione a caixa de verificação de confirmação junto à parte inferior da página, escreva o código de verificação e, em seguida, selecione Executar Teste. Este teste deve ser executado duas vezes. Execute o teste com cada uma das seguintes credenciais:

   • Uma conta federada que tem uma caixa de correio no Exchange Online
   • Uma conta de utilizador padrão que tem uma caixa de correio no Exchange Online

   

3. Verifique os resultados de ambos os testes para determinar se o AD FS 2.0 está a causar o problema de início de sessão do Outlook.

   1. Desagregue até ao seguinte nó da árvore Detalhes do Teste :

      Testar a conectividade RPC/HTTP

      • O ExRCA está a tentar testar a Deteção Automática para john@contoso.com

      • Tentar contactar cada método de contacto do serviço de Deteção Automática

      • Tentar contactar o serviço de Deteção Automática com o método de redirecionamento HTTP

      • A tentar enviar um pedido POST de Deteção Automática para potenciais URLs de Deteção Automática

      • O ExRCA está a tentar obter a resposta de Deteção Automática XML do URL https://autodiscover-s.outlook.com/Autodiscover/Autodiscover.xml para o utilizador

        

   2. Verifique se ambas as condições seguintes são verdadeiras:

      • A conta federada não consegue aceder à Deteção Automática e recebe uma mensagem de erro "Resposta autorizada HTTP 401".
      • A conta de utilizador padrão pode aceder à Deteção Automática.

   Se ambas as condições forem verdadeiras, confirmou que as falhas de SSO estão a causar a falha da autenticação do Outlook.

Resolução 1 – Expor o serviço de federação do AD FS 2.0 no local à Internet

Configure um proxy de servidor de federação do AD FS 2.0 para o ambiente do AD FS 2.0 no local (ou configure um proxy inverso de firewall do Serviço de Federação do AD FS 2.0) que suporte o SSO e, em seguida, publique o proxy na Internet.

Resolução 2 – Resolver problemas com o servidor proxy do AD FS 2.0

Para obter mais informações sobre como resolver problemas do servidor proxy do AD FS 2.0, veja Como resolver problemas de ligação do ponto final do AD FS quando os utilizadores iniciam sessão no Microsoft 365, Intune ou no Azure.

Ainda necessita de ajuda? Aceda ao site da Comunidade Microsoft .