Přihlášení k Microsoftu 365, Azure nebo Intune po změně koncového bodu federační služby selže.

  • Článek
  • Platí pro:
    Cloud Services (Web roles/Worker roles), Azure Active Directory, Microsoft Intune, Azure Backup, Microsoft 365

Problém

Po změně nastavení koncového bodu služby Active Directory Federation Services (AD FS) (AD FS) v konzole pro správu služby AD FS se ověřování pomocí jednotného přihlašování (SSO) u cloudové služby Microsoftu, jako je Microsoft 365, Microsoft Azure nebo Microsoft Intune nezdaří a u vás dojde k jednomu z následujících příznaků:

  • Federovaný uživatel se nemůže přihlásit k Microsoftu 365, Azure nebo Intune pomocí bohatých klientských aplikací.
  • Aplikace prohlížeče opakovaně vyzývají uživatele k zadání přihlašovacích údajů při pokusu o ověření ve službě AD FS během ověřování pomocí jednotného přihlašování.

Příčina

K tomuto problému může dojít, pokud platí jedna z následujících podmínek:

  • Koncové body služby AD FS jsou nesprávně nakonfigurované.
  • Ověřování protokolem Kerberos na serveru SLUŽBY AD FS je přerušeno.

Řešení

Pokud chcete tento problém vyřešit, použijte jednu z následujících metod, která odpovídá vaší situaci.

Řešení 1: Obnovení výchozí konfigurace koncového bodu služby AD FS

Pokud chcete obnovit výchozí nastavení koncového bodu služby AD FS, na primárním serveru AD FS postupujte takto:

  1. Otevřete konzolu pro správu služby AD FS a v levém navigačním podokně přejděte na SLUŽBU AD FS, pak na Služba a koncové body.

    Snímek obrazovky ukazuje postup kontroly výchozího nastavení koncového bodu služby A D F S.

  2. Zkontrolujte seznam koncových bodů a ujistěte se, že jsou položky v tomto seznamu povolené tak, jak je uvedeno (minimálně):

    Cesta url Povoleno Proxy server je povolený
    /adfs/ls/ Pravda Pravda
    /adfs/services/trust/2005/windowstransport Pravda Nepravda
    /adfs/services/trust/2005/certificatemixed Pravda Pravda
    /adfs/services/trust/2005/certificatetransport Pravda Pravda
    /adfs/services/trust/2005/usernamemixed Pravda Pravda
    /adfs/services/trust/2005/kerberosmixed Pravda Nepravda
    /adfs/services/trust/2005/issuedtokenmixedasymmetricbasic256 Pravda Pravda
    /adfs/services/trust/2005/issuedtokenmixedsymmetricbasic256 Pravda Pravda
    /adfs/services/trust/13/kerberosmixed Pravda Nepravda
    /adfs/services/trust/13/certificatemixed Pravda Pravda
    /adfs/services/trust/13/usernamemixed Pravda Pravda
    /adfs/services/trust/13/issuedtokenmixedasymmetricbasic256 Pravda Pravda
    /adfs/services/trust/13/issuedtokenmixedsymmetricbasic256 Pravda Pravda
    /adfs/services/trusttcp/windows Pravda Nepravda
    /adfs/services/trust/mex Pravda Pravda
    /FederationMetadata/2007-06/FederationMetadata.xml Pravda Pravda
    /adfs/ls/federationserverservice.asmx Pravda Nepravda

  3. Pokud se položka v seznamu neshoduje s výchozím nastavením v předchozí tabulce, klikněte na ni pravým tlačítkem myši a pak podle potřeby vyberte Povolit nebo Povolit na proxy serveru.

    Poznámka

    WS-Trust koncové body Windows (/adfs/services/trust/2005/windowstransport a /adfs/services/trust/13/windowstransport) jsou určené jenom jako intranetové koncové body, které používají vazbu WIA na HTTPS.

    Tyto koncové body by měly být vždy zakázané na proxy serveru (tj. zakázané z extranetu) kvůli ochraně uzamčení účtů AD.

Řešení 2: Řešení potíží s ověřováním kerberos

Další informace o řešení potíží s ověřováním protokolem Kerberos naleznete v následujícím článku znalostní báze Microsoft Knowledge Base:

2461628 federovaného uživatele se při přihlašování k Microsoftu 365, Azure nebo Intune opakovaně zobrazuje výzva k zadání přihlašovacích údajů.

Další informace

Stále potřebujete pomoc? Přejděte na web Microsoft Community nebo Microsoft Entra Forums.