Federerade användare kan inte ansluta till en Exchange Online postlåda
Symptom
En federerad användare kan inte autentisera till Microsoft Outlook eller Microsoft Exchange ActiveSync med hjälp av en smartphone i Exchange Online.
Orsak
Det här problemet kan inträffa om något av följande villkor är sant:
- Federationstjänsten lokal Active Directory Federation Services (AD FS) 2.0 är inte tillgänglig från det offentliga Internet.
- SSL-certifikatet (Secure Sockets Layer) som används av AD FS 2.0-slutpunkten utfärdas av en certifikatutfärdare som inte är betrodd av Exchange Online datacenter.
Den aktuella Exchange Online slutpunkten för Outlook använder grundläggande autentisering eller proxyautentisering. Det innebär att Outlook-klienter autentiserar till Outlook.com-tjänsten med hjälp av grundläggande autentisering. Om Outlook.com fastställer att användaren är en federerad användare, proxyservrar den grundläggande autentiseringen över SSL till användarens AD FS 2.0-server för klientens räkning. Den här åtgärden autentiserar användaren lokalt och begär ett SAML-anspråk (Security Assertion Markup Language) eller en åtkomsttoken för användaren. Om en offentligt tillgänglig AD FS 2.0-slutpunkt inte är tillgänglig lyckas inte autentiseringsprocessen och användaren nekas åtkomst till tjänstslutpunkten.
Använd Microsoft Remote Connectivity Analyzer för att testa om den lokala AD FS 2.0-federationstjänsten orsakar outlook-inloggningsproblem för federerade användare. Gör så här:
I Internet Explorer går du till Microsoft Remote Connectivity Analyzer.
Skriv e-postadressen och autentiseringsuppgifterna, markera kryssrutan bekräftelse längst ned på sidan, skriv verifieringskoden och välj sedan Utför test. Det här testet ska köras två gånger. Kör testet med var och en av följande autentiseringsuppgifter:
- Ett federerat konto som har en postlåda i Exchange Online
- Ett standardanvändarkonto som har en postlåda i Exchange Online
Kontrollera resultatet av båda testerna för att avgöra om AD FS 2.0 orsakar inloggningsproblemet i Outlook.
Öka detaljnivån till följande nod i testinformationsträdet :
Testa RPC/HTTP-anslutning
ExRCA försöker testa automatisk upptäckt för
john@contoso.com
Försök med varje metod för att kontakta tjänsten för automatisk upptäckt
Försöker kontakta tjänsten för automatisk upptäckt med hjälp av HTTP-omdirigeringsmetoden
Försöker skicka en POST-begäran för automatisk upptäckt till potentiella URL:er för automatisk upptäckt
ExRCA försöker hämta och XML-autodiscover-svar från URL:en
https://autodiscover-s.outlook.com/Autodiscover/Autodiscover.xml
för användaren
Kontrollera om båda följande villkor är uppfyllda:
- Det federerade kontot kan inte komma åt automatisk upptäckt och får felmeddelandet "HTTP 401 authorized response".
- Standardanvändarkontot kan komma åt automatisk upptäckt.
Om båda villkoren är uppfyllda har du bekräftat att SSO-fel gör att Outlook-autentiseringen misslyckas.
Lösning 1 – Exponera den lokala AD FS 2.0-federationstjänsten för Internet
Konfigurera en AD FS 2.0-federationsserverproxy för den lokala AD FS 2.0-miljön (eller konfigurera en omvänd brandväggsproxy för AD FS 2.0 Federation Service) som stöder enkel inloggning och publicera sedan proxyn till Internet.
Lösning 2 – Felsöka problem med AD FS 2.0-proxyservern
Mer information om hur du felsöker problem med AD FS 2.0-proxyservern finns i Felsöka problem med AD FS-slutpunktsanslutning när användare loggar in på Microsoft 365, Intune eller Azure.
Behöver du fortfarande hjälp? Gå till Webbplatsen för Microsoft Community .
Feedback
https://aka.ms/ContentUserFeedback.
Kommer snart: Under hela 2024 kommer vi att fasa ut GitHub-problem som feedbackmekanism för innehåll och ersätta det med ett nytt feedbacksystem. Mer information finns i:Skicka och visa feedback för