Die Anmeldung bei Microsoft 365, Azure oder Intune schlägt fehl, nachdem Sie den Verbunddienstendpunkt geändert haben.

  • Artikel
  • Gilt für::
    Cloud Services (Web roles/Worker roles), Azure Active Directory, Microsoft Intune, Azure Backup, Microsoft 365

Problem

Nachdem Sie Active Directory-Verbunddienste (AD FS) -Dienstendpunkteinstellungen (AD FS) in der AD FS-Verwaltungskonsole geändert haben, schlägt die einmalige Anmeldung (Single Sign-On, SSO) bei einem Microsoft-Clouddienst wie Microsoft 365, Microsoft Azure oder Microsoft Intune fehl, und eines der folgenden Symptome tritt auf:

  • Verbundbenutzer können sich nicht mithilfe von Rich-Client-Anwendungen bei Microsoft 365, Azure oder Intune anmelden.
  • Browseranwendungen fordern Benutzer wiederholt zur Eingabe von Anmeldeinformationen auf, wenn sie versuchen, sich während der SSO-Authentifizierung bei AD FS zu authentifizieren.

Ursache

Dieses Problem kann auftreten, wenn eine der folgenden Bedingungen erfüllt ist:

  • Die AD FS-Dienstendpunkte sind unangemessen konfiguriert.
  • Die Kerberos-Authentifizierung auf dem AD FS-Server ist unterbrochen.

Lösung

Wenden Sie Ihrer spezifischen Situation entsprechend eine der folgenden Methoden an, um dieses Problem zu beheben.

Lösung 1: Wiederherstellen der Standardkonfiguration des AD FS-Dienstendpunkts

Führen Sie die folgenden Schritte auf dem primären AD FS-Server aus, um die Ad FS-Standardendpunkteinstellungen wiederherzustellen:

  1. Öffnen Sie die AD FS-Verwaltungskonsole, und navigieren Sie im linken Navigationsbereich zu AD FS, dann zu Dienst und dann zu Endpunkten.

    Screenshot: Schritte zum Überprüfen der Standardeinstellungen für den Ad FS-Dienstendpunkt.

  2. Überprüfen Sie die Endpunktliste, und stellen Sie sicher, dass die Einträge in dieser Liste wie angegeben (mindestens) aktiviert sind:

    URL-Pfad Aktiviert Proxy aktiviert
    /adfs/ls/ True True
    /adfs/services/trust/2005/windowstransport True Falsch
    /adfs/services/trust/2005/certificatemixed True True
    /adfs/services/trust/2005/certificatetransport True True
    /adfs/services/trust/2005/usernamemixed True True
    /adfs/services/trust/2005/kerberosmixed True Falsch
    /adfs/services/trust/2005/issuedtokenmixedasymmetricbasic256 True True
    /adfs/services/trust/2005/issuedtokenmixedsymmetricbasic256 True True
    /adfs/services/trust/13/kerberosmixed True Falsch
    /adfs/services/trust/13/certificatemixed True True
    /adfs/services/trust/13/usernamemixed True True
    /adfs/services/trust/13/issuedtokenmixedasymmetricbasic256 True True
    /adfs/services/trust/13/issuedtokenmixedsymmetricbasic256 True True
    /adfs/services/trusttcp/windows True Falsch
    /adfs/services/trust/mex True True
    /FederationMetadata/2007-06/FederationMetadata.xml True True
    /adfs/ls/federationserverservice.asmx True Falsch

  3. Wenn ein Element in der Liste nicht mit den Standardeinstellungen in der vorherigen Tabelle übereinstimmt, klicken Sie mit der rechten Maustaste auf den Eintrag, und wählen Sie dann bei Bedarf Aktivieren oder Aktivieren für Proxy aus.

    Hinweis

    WS-Trust Windows-Endpunkte (/adfs/services/trust/2005/windowstransport und /adfs/services/trust/13/windowstransport) sind nur als Intranetendpunkte vorgesehen, die DIE WIA-Bindung unter HTTPS verwenden.

    Diese Endpunkte sollten immer auf dem Proxy deaktiviert bleiben (d. h. im Extranet deaktiviert), um AD-Kontosperren zu schützen.

Lösung 2: Behandeln von Problemen mit der Kerberos-Authentifizierung

Weitere Informationen zur Behandlung von Kerberos-Authentifizierungsproblemen finden Sie im folgenden Microsoft Knowledge Base-Artikel:

2461628 Ein Verbundbenutzer wird während der Anmeldung bei Microsoft 365, Azure oder Intune wiederholt zur Eingabe von Anmeldeinformationen aufgefordert.

Weitere Informationen

Benötigen Sie weitere Hilfe? Wechseln Sie zur Microsoft Community oder zur Website Microsoft Entra Foren.