Федеративные пользователи не могут подключиться к почтовому ящику Exchange Online

Симптомы

Федеративный пользователь не может пройти проверку подлинности в Microsoft Outlook или Microsoft Exchange ActiveSync с помощью смартфона в Exchange Online.

Причина

Эта проблема может возникнуть, если выполняется одно из следующих условий:

• Служба федерации локальная служба Active Directory (AD FS) 2.0 недоступна из общедоступного Интернета.
• SSL-сертификат, используемый конечной точкой AD FS 2.0, выдается центром сертификации, который не является доверенным для центра обработки данных Exchange Online.

Текущая конечная точка Exchange Online для Outlook использует обычную проверку подлинности или проверку подлинности прокси-сервера. Это означает, что клиенты Outlook проходят проверку подлинности в службе Outlook.com с помощью обычной проверки подлинности. Если Outlook.com определяет, что пользователь является федеративным пользователем, он выполняет прокси-сервер обычной проверки подлинности по протоколу SSL на сервер AD FS 2.0 пользователя от имени клиента. Это действие выполняет локальную проверку подлинности пользователя и запрашивает утверждение saml или маркер доступа для пользователя. Если общедоступная конечная точка AD FS 2.0 недоступна, процесс проверки подлинности не будет успешным, и пользователю будет отказано в доступе к конечной точке службы.

Используйте анализатор удаленного подключения Майкрософт, чтобы проверить, вызывает ли локальная служба федерации AD FS 2.0 проблемы со входом в Outlook федеративных пользователей. Для этого выполните следующие действия:

1. В Обозреватель Интернета перейдите в Microsoft Remote Connectivity Analyzer.

2. Введите адрес электронной почты и учетные данные, выберите поле проверка подтверждения в нижней части страницы, введите код проверки и нажмите кнопку Выполнить тест. Этот тест следует выполнить два раза. Запустите тест, используя все следующие учетные данные:

   • Федеративная учетная запись с почтовым ящиком в Exchange Online
   • Учетная запись стандартного пользователя с почтовым ящиком в Exchange Online

   

3. Проверьте результаты обоих тестов, чтобы определить, вызывает ли AD FS 2.0 проблему со вхощением в Outlook.

   1. Выполните детализацию до следующего узла дерева сведений о тестировании :

      Тестирование подключения RPC/HTTP

      • ExRCA пытается проверить автообнаружение для john@contoso.com

      • Попытка каждого метода связи со службой автообнаружения

      • Попытка связаться со службой автообнаружения с помощью метода перенаправления HTTP

      • Попытка отправить запрос POST автообнаружения на потенциальные URL-адреса автообнаружения

      • ExRCA пытается получить ответ автообнаружения XML из URL-адреса https://autodiscover-s.outlook.com/Autodiscover/Autodiscover.xml пользователя

        

   2. Проверьте, выполняются ли оба следующих условия:

      • Федеративная учетная запись не может получить доступ к автообнаружитею и получает сообщение об ошибке "Авторизованный ответ HTTP 401".
      • Учетная запись стандартного пользователя может получить доступ к автообнаружение.

   Если выполняются оба условия, вы подтвердили, что сбои единого входа приводят к сбою проверки подлинности Outlook.

Решение 1. Предоставление локальной службы федерации AD FS 2.0 в Интернете

Настройте прокси-сервер федерации AD FS 2.0 для локальной среды AD FS 2.0 (или настройте обратный прокси-сервер брандмауэра службы федерации AD FS 2.0), поддерживающий единый вход, а затем опубликуйте прокси-сервер в Интернете.

Решение 2. Устранение неполадок с прокси-сервером AD FS 2.0

Дополнительные сведения об устранении неполадок с прокси-сервером AD FS 2.0 см. в статье Устранение неполадок с подключением к конечной точке AD FS при входе пользователей в Microsoft 365, Intune или Azure.

Требуется дополнительная помощь? Перейдите на веб-сайт сообщества Майкрософт .