Inloggningen till Microsoft 365, Azure eller Intune misslyckas när du har ändrat federationstjänstens slutpunkt
Problem
När du har ändrat tjänstslutpunktsinställningarna för Active Directory Federation Services (AD FS) (AD FS) i AD FS-hanteringskonsolen misslyckas autentisering med enkel inloggning (SSO) till en Microsoft-molntjänst som Microsoft 365, Microsoft Azure eller Microsoft Intune, och du får något av följande symptom:
- Federerade användare kan inte logga in på Microsoft 365, Azure eller Intune med hjälp av omfattande klientprogram.
- Webbläsarprogram uppmanar upprepade gånger användarna att ange autentiseringsuppgifter när de försöker autentisera till AD FS under SSO-autentisering.
Orsak
Det här problemet kan inträffa om något av följande villkor är sant:
- AD FS-tjänstslutpunkterna är felaktigt konfigurerade.
- Kerberos-autentiseringen på AD FS-servern är bruten.
Lösning
Lös problemet genom att använda någon av följande metoder, beroende på vad som är lämpligt för din situation.
Lösning 1: Återställa standardkonfigurationen för AD FS-tjänstens slutpunkt
Följ dessa steg på den primära AD FS-servern om du vill återställa standardinställningarna för AD FS-tjänstens slutpunkt:
Öppna AD FS-hanteringskonsolen och i det vänstra navigeringsfönstret bläddrar du till AD FS, sedan Tjänst och sedan Slutpunkter.
Granska listan över slutpunkter och kontrollera att posterna i den här listan är aktiverade enligt vad som anges (minst):
URL-sökväg Aktiverad Proxy aktiverad /adfs/ls/ Sant Sant /adfs/services/trust/2005/windowstransport Sant Falskt /adfs/services/trust/2005/certificatemixed Sant Sant /adfs/services/trust/2005/certificatetransport Sant Sant /adfs/services/trust/2005/usernamemixed Sant Sant /adfs/services/trust/2005/kerberosmixed Sant Falskt /adfs/services/trust/2005/issuedtokenmixedasymmetricbasic256 Sant Sant /adfs/services/trust/2005/issuedtokenmixedsymmetricbasic256 Sant Sant /adfs/services/trust/13/kerberosmixed Sant Falskt /adfs/services/trust/13/certificatemixed Sant Sant /adfs/services/trust/13/usernamemixed Sant Sant /adfs/services/trust/13/issuedtokenmixedasymmetricbasic256 Sant Sant /adfs/services/trust/13/issuedtokenmixedsymmetricbasic256 Sant Sant /adfs/services/trusttcp/windows Sant Falskt /adfs/services/trust/mex Sant Sant /FederationMetadata/2007-06/FederationMetadata.xml Sant Sant /adfs/ls/federationserverservice.asmx Sant Falskt Om ett objekt i listan inte matchar standardinställningarna i föregående tabell högerklickar du på posten och väljer sedan Aktivera eller Aktivera på proxy efter behov.
Obs!
WS-Trust Windows-slutpunkter (/adfs/services/trust/2005/windowstransport och /adfs/services/trust/13/windowstransport) är endast avsedda att vara intranätinriktade slutpunkter som använder WIA-bindning på HTTPS.
Dessa slutpunkter bör alltid vara inaktiverade på proxyn (dvs. inaktiverade från extranät) för att skydda AD-kontoutelåsningar.
Lösning 2: Felsöka problem med Kerberos-autentisering
Mer information om hur du felsöker Problem med Kerberos-autentisering finns i följande artikel i Microsoft Knowledge Base:
2461628 En federerad användare uppmanas upprepade gånger att ange autentiseringsuppgifter under inloggningen till Microsoft 365, Azure eller Intune
Mer information
Behöver du fortfarande hjälp? Gå till Microsoft Community eller webbplatsen för Microsoft Entra Forum.
Feedback
https://aka.ms/ContentUserFeedback.
Kommer snart: Under hela 2024 kommer vi att fasa ut GitHub-problem som feedbackmekanism för innehåll och ersätta det med ett nytt feedbacksystem. Mer information finns i:Skicka och visa feedback för