Inloggningen till Microsoft 365, Azure eller Intune misslyckas när du har ändrat federationstjänstens slutpunkt

  • Artikel
  • Gäller för:
    Cloud Services (Web roles/Worker roles), Azure Active Directory, Microsoft Intune, Azure Backup, Microsoft 365

Problem

När du har ändrat tjänstslutpunktsinställningarna för Active Directory Federation Services (AD FS) (AD FS) i AD FS-hanteringskonsolen misslyckas autentisering med enkel inloggning (SSO) till en Microsoft-molntjänst som Microsoft 365, Microsoft Azure eller Microsoft Intune, och du får något av följande symptom:

  • Federerade användare kan inte logga in på Microsoft 365, Azure eller Intune med hjälp av omfattande klientprogram.
  • Webbläsarprogram uppmanar upprepade gånger användarna att ange autentiseringsuppgifter när de försöker autentisera till AD FS under SSO-autentisering.

Orsak

Det här problemet kan inträffa om något av följande villkor är sant:

  • AD FS-tjänstslutpunkterna är felaktigt konfigurerade.
  • Kerberos-autentiseringen på AD FS-servern är bruten.

Lösning

Lös problemet genom att använda någon av följande metoder, beroende på vad som är lämpligt för din situation.

Lösning 1: Återställa standardkonfigurationen för AD FS-tjänstens slutpunkt

Följ dessa steg på den primära AD FS-servern om du vill återställa standardinställningarna för AD FS-tjänstens slutpunkt:

  1. Öppna AD FS-hanteringskonsolen och i det vänstra navigeringsfönstret bläddrar du till AD FS, sedan Tjänst och sedan Slutpunkter.

    Skärmbild som visar steg för att kontrollera standardinställningarna för A D F S-tjänstens slutpunkt.

  2. Granska listan över slutpunkter och kontrollera att posterna i den här listan är aktiverade enligt vad som anges (minst):

    URL-sökväg Aktiverad Proxy aktiverad
    /adfs/ls/ Sant Sant
    /adfs/services/trust/2005/windowstransport Sant Falskt
    /adfs/services/trust/2005/certificatemixed Sant Sant
    /adfs/services/trust/2005/certificatetransport Sant Sant
    /adfs/services/trust/2005/usernamemixed Sant Sant
    /adfs/services/trust/2005/kerberosmixed Sant Falskt
    /adfs/services/trust/2005/issuedtokenmixedasymmetricbasic256 Sant Sant
    /adfs/services/trust/2005/issuedtokenmixedsymmetricbasic256 Sant Sant
    /adfs/services/trust/13/kerberosmixed Sant Falskt
    /adfs/services/trust/13/certificatemixed Sant Sant
    /adfs/services/trust/13/usernamemixed Sant Sant
    /adfs/services/trust/13/issuedtokenmixedasymmetricbasic256 Sant Sant
    /adfs/services/trust/13/issuedtokenmixedsymmetricbasic256 Sant Sant
    /adfs/services/trusttcp/windows Sant Falskt
    /adfs/services/trust/mex Sant Sant
    /FederationMetadata/2007-06/FederationMetadata.xml Sant Sant
    /adfs/ls/federationserverservice.asmx Sant Falskt

  3. Om ett objekt i listan inte matchar standardinställningarna i föregående tabell högerklickar du på posten och väljer sedan Aktivera eller Aktivera på proxy efter behov.

    Obs!

    WS-Trust Windows-slutpunkter (/adfs/services/trust/2005/windowstransport och /adfs/services/trust/13/windowstransport) är endast avsedda att vara intranätinriktade slutpunkter som använder WIA-bindning på HTTPS.

    Dessa slutpunkter bör alltid vara inaktiverade på proxyn (dvs. inaktiverade från extranät) för att skydda AD-kontoutelåsningar.

Lösning 2: Felsöka problem med Kerberos-autentisering

Mer information om hur du felsöker Problem med Kerberos-autentisering finns i följande artikel i Microsoft Knowledge Base:

2461628 En federerad användare uppmanas upprepade gånger att ange autentiseringsuppgifter under inloggningen till Microsoft 365, Azure eller Intune

Mer information

Behöver du fortfarande hjälp? Gå till Microsoft Community eller webbplatsen för Microsoft Entra Forum.