Federovali uživatelé se nemůžou připojit k poštovní schránce Exchange Online

  • Článek
  • Platí pro:
    Exchange Online, Exchange, Outlook, Azure Active Directory

Příznaky

Federovaný uživatel se nemůže ověřit v Aplikaci Microsoft Outlook nebo microsoft protokol Exchange ActiveSync pomocí smartphonu v Exchange Online.

Příčina

K tomuto problému může dojít, pokud platí jedna z následujících podmínek:

  • Federační služba místní Active Directory Federation Services (AD FS) 2.0 není dostupná z veřejného internetu.
  • Certifikát SSL (Secure Sockets Layer), který používá koncový bod služby AD FS 2.0, je vystaven certifikační autoritou, která není důvěryhodná pro Exchange Online datacentrum.

Aktuální koncový bod Exchange Online pro Outlook používá základní ověřování nebo ověřování proxy. To znamená, že klienti Aplikace Outlook se ověřují ve službě Outlook.com pomocí základního ověřování. Pokud Outlook.com určí, že uživatel je federovaný uživatel, prodá za klienta na server služby AD FS 2.0 uživatele proxy základní ověřování přes PROTOKOL SSL. Tato akce ověří uživatele místně a vyžádá si pro uživatele deklaraci identity nebo přístupový token SAML (Security Assertion Markup Language). Pokud veřejně dostupný koncový bod služby AD FS 2.0 není dostupný, proces ověřování nebude úspěšný a uživateli se odepře přístup ke koncovému bodu služby.

Pomocí nástroje Microsoft Remote Connectivity Analyzer otestujte, jestli místní federační služba AD FS 2.0 způsobuje problémy s přihlášením federovaných uživatelů k Outlooku. Postupujte takto:

  1. V Internet Exploreru přejděte na Microsoft Remote Connectivity Analyzer.

  2. Zadejte e-mailovou adresu a přihlašovací údaje, zaškrtněte políčko potvrzení v dolní části stránky, zadejte ověřovací kód a pak vyberte Provést test. Tento test by se měl spustit dvakrát. Spusťte test pomocí každého z následujících přihlašovacích údajů:

    • Federovaný účet, který má poštovní schránku v Exchange Online
    • Standardní uživatelský účet, který má poštovní schránku v Exchange Online

    Snímek obrazovky se stránkou Microsoft Remote Connectivity Analyzer

  3. Zkontrolujte výsledky obou testů a zjistěte, jestli problém s přihlášením k Outlooku způsobuje služba AD FS 2.0.

    1. Přejděte k následujícímu uzlu stromu Podrobnosti testu :

      Testování připojení RPC/HTTP

      • ExRCA se pokouší otestovat automatickou konfiguraci pro john@contoso.com

      • Pokus o každou metodu kontaktování služby Automatická konfigurace

      • Pokus o kontaktování služby Automatická konfigurace pomocí metody http redirect

      • Pokus o odeslání požadavku POST automatické konfigurace na potenciální adresy URL automatické konfigurace

      • ExRCA se pokouší načíst odpověď a automatická konfigurace XML z adresy URL https://autodiscover-s.outlook.com/Autodiscover/Autodiscover.xml pro uživatele

        Snímek obrazovky s poštovní schránkou s povoleným jednotným přihlašováním a výsledky standardního testu poštovní schránky

    2. Zkontrolujte, jestli jsou splněné obě následující podmínky:

      • Federovaný účet nemá přístup k automatické konfiguraci a obdrží chybovou zprávu "Http 401 authorized response" (Autorizovaná odpověď HTTP 401).
      • Standardní uživatelský účet má přístup k automatické konfiguraci.

    Pokud jsou splněné obě podmínky, potvrdili jste, že selhání jednotného přihlašování způsobuje selhání ověřování Outlooku.

Řešení 1 – Zveřejnění místní federační služby AD FS 2.0 na internetu

Nastavte proxy federačního serveru SLUŽBY AD FS 2.0 pro místní prostředí SLUŽBY AD FS 2.0 (nebo reverzní proxy bránu firewall služby AD FS 2.0 Federation Service), který podporuje jednotné přihlašování, a pak proxy server publikujte na internetu.

Řešení 2 – Řešení potíží s proxy serverem služby AD FS 2.0

Další informace o řešení potíží s proxy serverem služby AD FS 2.0 najdete v tématu Řešení potíží s připojením koncového bodu služby AD FS, když se uživatelé přihlašují k Microsoftu 365, Intune nebo Azure.

Stále potřebujete pomoc? Přejděte na web Microsoft Community .