Logg på Microsoft 365, Azure eller Intune mislykkes etter at du har endret endepunktet for forbundstjenesten

  • Artikkel
  • Gjelder for:
    Cloud Services (Web roles/Worker roles), Azure Active Directory, Microsoft Intune, Azure Backup, Microsoft 365

Problem

Når du har endret endepunktinnstillingene for Active Directory Federation Services (AD FS)-tjenesten i AD FS Management Console, mislykkes enkel pålogging (SSO) til en Microsoft-skytjeneste, for eksempel Microsoft 365, Microsoft Azure eller Microsoft Intune, og du opplever ett av følgende symptomer:

  • Brukere i organisasjonsforbund kan ikke logge på Microsoft 365, Azure eller Intune ved hjelp av rike klientprogrammer.
  • Nettleserprogrammer ber gjentatte ganger brukere om legitimasjon når de prøver å godkjenne til AD FS under SSO-godkjenning.

Årsak

Dette problemet kan oppstå hvis én av følgende betingelser er sann:

  • Endepunktene for AD FS-tjenesten er upassende konfigurert.
  • Kerberos-godkjenning på AD FS-serveren er brutt.

Løsning

Du kan løse dette problemet ved å bruke én av følgende metoder, avhengig av situasjonen.

Løsning 1: Gjenopprett standard konfigurasjon av endepunkt for AD FS-tjenesten

Følg disse trinnene på den primære AD FS-serveren for å gjenopprette standardinnstillingene for AD FS-tjenestens endepunkt:

  1. Åpne administrasjonskonsollen for AD FS, og bla til AD FS i venstre navigasjonsrute, og deretter tjeneste og deretter endepunkter.

    Skjermbilde som viser trinnene for å kontrollere standardinnstillingene for tjenesteendepunkt for A D F S.

  2. Undersøk endepunktlisten, og kontroller at oppføringene i denne listen er aktivert som angitt (som et minimum):

    URL-bane Aktivert Proxy aktivert
    /adfs/ls/ Sant Sant
    /adfs/services/trust/2005/windowstransport Sant Falsk
    /adfs/services/trust/2005/certificatemixed Sant Sant
    /adfs/services/trust/2005/certificatetransport Sant Sant
    /adfs/services/trust/2005/usernamemixed Sant Sant
    /adfs/services/trust/2005/kerberosmixed Sant Falsk
    /adfs/services/trust/2005/issuedtokenmixedasymmetricbasic256 Sant Sant
    /adfs/services/trust/2005/issuedtokenmixedsymmetricbasic256 Sant Sant
    /adfs/services/trust/13/kerberosmixed Sant Falsk
    /adfs/services/trust/13/certificatemixed Sant Sant
    /adfs/services/trust/13/usernamemixed Sant Sant
    /adfs/services/trust/13/issuedtokenmixedasymmetricbasic256 Sant Sant
    /adfs/services/trust/13/issuedtokenmixedsymmetricbasic256 Sant Sant
    /adfs/services/trusttcp/windows Sant Falsk
    /adfs/services/trust/mex Sant Sant
    /FederationMetadata/2007-06/FederationMetadata.xml Sant Sant
    /adfs/ls/federationserverservice.asmx Sant Falsk

  3. Hvis et element i listen ikke samsvarer med standardinnstillingene i den forrige tabellen, høyreklikker du oppføringen, og deretter velger du Aktiver eller Aktiver ved proxy etter behov.

    Obs!

    WS-Trust Windows-endepunkter (/adfs/services/trust/2005/windowstransport og /adfs/services/trust/13/windowstransport) er ment bare å være intranettvendte endepunkter som bruker WIA-binding på HTTPS.

    Disse endepunktene bør alltid beholdes deaktivert på proxyen (det vil eksempelvis deaktiveres fra ekstranett) for å beskytte utestenging av AD-konto.

Løsning 2: Feilsøke problemer med Kerberos-godkjenning

Hvis du vil ha mer informasjon om hvordan du feilsøker kerberos-godkjenningsproblemer, kan du se følgende Microsoft Knowledge Base-artikkel:

2461628 En organisasjonsbasert bruker blir gjentatte ganger bedt om legitimasjon under pålogging til Microsoft 365, Azure eller Intune

Mer informasjon

Trenger du fremdeles hjelp? Gå til Microsoft Community eller nettstedet Microsoft Entra Forums.