Come risolvere i problemi di connessione dell'endpoint AD FS quando gli utenti accedono a Microsoft 365, Intune o Azure

Problema

Quando gli utenti accedono a un servizio cloud Microsoft, ad esempio Microsoft 365, Microsoft Intune o Microsoft Azure usando un account utente federato, la connessione al servizio Active Directory Federation Services (AD FS) ha esito negativo solo quando gli utenti tentano di eseguire le operazioni seguenti:

  • Connettersi da una posizione Internet remota
  • Usare le connessioni di posta elettronica per accedere

Questa situazione causa anche l'esito negativo dei test SSO eseguiti dall'analizzatore connettività remota.

Per altre informazioni su come eseguire Remote Connectivity Analyzer per testare l'autenticazione SSO in Microsoft 365, vedere gli articoli seguenti nella Microsoft Knowledge Base:

  • 2650717 Come usare Remote Connectivity Analyzer per risolvere i problemi di Single Sign-On per Microsoft 365, Azure o Intune
  • 2466333 gli utenti federati non possono connettersi a una cassetta postale di Exchange Online

Causa

Questi errori possono verificarsi se il servizio AD FS non è esposto correttamente a Internet. In genere, il server proxy AD FS viene usato a questo scopo e i problemi con il server proxy AD FS causeranno questi sintomi. I problemi comuni includono i seguenti:

  • Certificato SSL scaduto assegnato al server proxy AD FS

    Spesso, lo stesso certificato SSL viene usato per proteggere la comunicazione (HTTPS) sia per il servizio federativo AD FS che per il server proxy AD FS. Quando questo certificato diventa scaduto e il certificato viene rinnovato o aggiornato nella farm del servizio federativo AD FS, il certificato SSL deve essere aggiornato anche in tutti i server proxy AD FS. Se il certificato SSL del server proxy AD FS non viene aggiornato in questo caso, le connessioni Internet al servizio AD FS potrebbero non riuscire, anche se il servizio federativo AD FS è integro.

  • Configurazione errata degli endpoint di autenticazione IIS

    Il ruolo del server proxy AD FS è quello di ricevere comunicazioni Internet indirizzate ad AD FS e di inoltrare tale comunicazione al servizio federativo AD FS. Di conseguenza, è importante che l'impostazione di autenticazione IIS del servizio federativo AD FS e del server proxy sia complementare. Quando le impostazioni di autenticazione IIS del server proxy AD FS non sono impostate per integrare le impostazioni di autenticazione IIS del servizio federativo AD FS, l'accesso potrebbe non riuscire o generare più richieste impreviste.

  • Attendibilità interrotta tra il server proxy AD FS e il servizio federativo AD FS

    Il servizio proxy AD FS è progettato per essere installato in un computer non appartenente a un dominio. Pertanto, la comunicazione tra il server proxy AD FS e il servizio federativo AD FS non può essere basata su un trust o credenziali di Active Directory. La comunicazione tra questi due ruoli server viene invece stabilita usando un token emesso al server proxy AD FS dal servizio federativo AD FS e firmato dal certificato di firma del token AD FS. Quando questo trust è scaduto o non valido, il servizio proxy AD FS non può inoltrare le richieste AD FS e il trust deve essere ricompilati per ripristinare la funzionalità.

Soluzione

Per risolvere questo problema, usare uno dei metodi seguenti, a seconda della situazione, in tutti i server proxy AD FS non funzionanti.

Metodo 1: Risolvere i problemi relativi ai certificati SSL di AD FS nel server AD FS

A tal fine, attenersi alla seguente procedura:

  1. Risolvere i problemi relativi ai certificati SSL nel servizio federativo AD FS (non nel servizio proxy) usando l'articolo della Microsoft Knowledge Base seguente:

    2523494 Viene visualizzato un avviso di certificato da AD FS quando si tenta di accedere a Microsoft 365, Azure o Intune

  2. Se il certificato SSL del servizio federativo AD FS funziona correttamente, aggiornare il certificato SSL nel server proxy AD FS usando le funzioni di esportazione e importazione del certificato. Per altre informazioni, vedere l'articolo della Microsoft Knowledge Base seguente:
    179380 Come rimuovere, importare ed esportare certificati digitali

Metodo 2: Reimpostare le impostazioni di autenticazione IIS del server proxy AD FS su default

A tale scopo, seguire i passaggi descritti nella risoluzione 1 dell'articolo della Microsoft Knowledge Base seguente per il server proxy AD FS:

2461628 viene ripetutamente richiesto a un utente federato le credenziali durante l'accesso a Microsoft 365, Azure o Intune

Metodo 3: Eseguire di nuovo la configurazione guidata del proxy AD FS

A tale scopo, eseguire di nuovo la Configurazione guidata proxy server federativo AD FS dall'interfaccia strumenti di amministrazione di tutti i server proxy AD FS interessati.

Nota

È normale ricevere un avviso dal passaggio "Distribuire il sito Web di accesso al browser" quando si esegue di nuovo la configurazione guidata. Questa non è un'indicazione del fatto che la procedura guidata non ha ricompilo l'attendibilità tra il server proxy AD FS e il servizio federativo AD FS.

Ulteriori informazioni

Per altre informazioni su come esporre il servizio AD FS a Internet usando un server proxy AD FS, visitare il sito Web Microsoft seguente:

Pianificare e distribuire AD FS 2.0 per l'uso con Single Sign-On

Ulteriore assistenza Visitare la community Microsoft.