Logowanie się do platformy Microsoft 365, platformy Azure lub Intune kończy się niepowodzeniem po zmianie punktu końcowego usługi federacyjnej

  • Artykuł
  • Dotyczy:
    Cloud Services (Web roles/Worker roles), Azure Active Directory, Microsoft Intune, Azure Backup, Microsoft 365

Problem

Po zmianie ustawień punktu końcowego usługi Active Directory Federation Services (AD FS) w konsoli zarządzania usługami AD FS uwierzytelnianie logowania jednokrotnego (SSO) w usłudze w chmurze firmy Microsoft, takiej jak Microsoft 365, Microsoft Azure lub Microsoft Intune, kończy się niepowodzeniem i wystąpi jeden z następujących objawów:

  • Użytkownicy federacyjni nie mogą logować się do platformy Microsoft 365, platformy Azure ani Intune przy użyciu zaawansowanych aplikacji klienckich.
  • Aplikacje przeglądarki wielokrotnie monitują użytkowników o poświadczenia podczas próby uwierzytelnienia w usługach AD FS podczas uwierzytelniania logowania jednokrotnego.

Przyczyna

Ten problem może wystąpić, jeśli spełniony jest jeden z następujących warunków:

  • Punkty końcowe usługi AD FS są niewłaściwie skonfigurowane.
  • Uwierzytelnianie kerberos na serwerze usług AD FS jest przerwane.

Rozwiązanie

Aby rozwiązać ten problem, użyj jednej z następujących metod, stosownie do twojej sytuacji.

Rozwiązanie 1. Przywracanie domyślnej konfiguracji punktu końcowego usługi AD FS

Aby przywrócić domyślne ustawienia punktu końcowego usługi AD FS, wykonaj następujące kroki na podstawowym serwerze usług AD FS:

  1. Otwórz konsolę zarządzania usług AD FS, a następnie w okienku nawigacji po lewej stronie przejdź do usług AD FS, service, a następnie endpoints.

    Zrzut ekranu przedstawia kroki sprawdzania domyślnych ustawień punktu końcowego usługi AD F S.

  2. Sprawdź listę punktów końcowych i upewnij się, że wpisy na tej liście są włączone zgodnie z instrukcjami (co najmniej):

    Ścieżka adresu URL Włączone Włączony serwer proxy
    /adfs/ls/ True True
    /adfs/services/trust/2005/windowstransport True False
    /adfs/services/trust/2005/certificatemixed True True
    /adfs/services/trust/2005/certificatetransport True True
    /adfs/services/trust/2005/usernamemixed True True
    /adfs/services/trust/2005/kerberosmixed True False
    /adfs/services/trust/2005/issuedtokenmixedasymmetricbasic256 True True
    /adfs/services/trust/2005/issuedtokenmixedsymmetricbasic256 True True
    /adfs/services/trust/13/kerberosmixed True False
    /adfs/services/trust/13/certificatemixed True True
    /adfs/services/trust/13/usernamemixed True True
    /adfs/services/trust/13/issuedtokenmixedasymmetricbasic256 True True
    /adfs/services/trust/13/issuedtokenmixedsymmetricbasic256 True True
    /adfs/services/trusttcp/windows True False
    /adfs/services/trust/mex True True
    /FederationMetadata/2007-06/FederationMetadata.xml True True
    /adfs/ls/federationserverservice.asmx True False

  3. Jeśli element na liście nie jest zgodny z ustawieniami domyślnymi w poprzedniej tabeli, kliknij prawym przyciskiem myszy wpis, a następnie w razie potrzeby wybierz pozycję Włącz lub Włącz na serwerze proxy .

    Uwaga

    WS-Trust punkty końcowe systemu Windows (/adfs/services/trust/2005/windowstransport i /adfs/services/trust/13/windowstransport) są przeznaczone tylko do intranetowych punktów końcowych korzystających z powiązania WIA na https.

    Te punkty końcowe powinny być zawsze wyłączone na serwerze proxy (tj. wyłączone z ekstranetu), aby chronić blokady konta usługi AD.

Rozwiązanie 2. Rozwiązywanie problemów z uwierzytelnianiem Kerberos

Aby uzyskać więcej informacji na temat rozwiązywania problemów z uwierzytelnianiem Kerberos, zobacz następujący artykuł z bazy wiedzy Microsoft Knowledge Base:

2461628 Użytkownik federacyjny jest wielokrotnie monitowany o poświadczenia podczas logowania do platformy Microsoft 365, platformy Azure lub Intune

Więcej informacji

Nadal potrzebujesz pomocy? Przejdź do witryny microsoft community lub witryny internetowej forów Microsoft Entra.