Los usuarios federados no pueden conectarse a un buzón de Exchange Online

Se aplica a: Exchange OnlineAzure Active Directory

PROBLEMA


Un usuario federado no puede autenticarse en Microsoft Outlook o en Microsoft Exchange ActiveSync mediante un smartphone en Exchange Online.

CAUSA


Este problema puede producirse si se cumple una de las condiciones siguientes:
  • El servicio de federación de Servicios de federación de Active Directory (AD FS) 2.0 local no está disponible en Internet público.
  • El certificado SSL (Secure Sockets Layer) que usa el extremo de AD FS 2.0 lo emite una entidad de certificación que no es de confianza para el centro de datos de Exchange Online.
El extremo actual de Exchange Online para Outlook usa autenticación básica o autenticación de proxy. Esto significa que los clientes de Outlook se autentican en el servicio Outlook.com mediante la autenticación básica. Si Outlook.com determina que el usuario es un usuario federado, envía la autenticación básica a través de SSL al servidor de AD FS 2.0 del usuario en nombre del cliente. Esta acción autentica al usuario localmente y solicita una notificación de lenguaje de marcado de aserción de seguridad (SAML) o un token de acceso para el usuario. Si un punto de conexión de AD FS 2.0 disponible públicamente no está disponible, el proceso de autenticación no se realiza correctamente y se deniega al usuario el acceso al punto de conexión de servicio. Use el Analizador de conectividad remota de Microsoft para probar si el servicio de federación de AD FS 2.0 local está causando problemas de inicio de sesión de Outlook para los usuarios federados. Para ello, siga estos pasos:
  1. En Internet Explorer, vaya a https://www.testconnectivity.microsoft.com/?testid=O365Ola.
  2. Escriba la dirección de correo electrónico y las credenciales, haga clic para activar la casilla de verificación de confirmación situada en la parte inferior de la página, escriba el código de verificación y, a continuación, haga clic en Realizar prueba. Esta prueba debe ejecutarse dos veces. Ejecute la prueba con cada una de las siguientes credenciales:
    • Una cuenta federada que tiene un buzón en Exchange Online
    • Una cuenta de usuario estándar que tiene un buzón en Exchange OnlineScreen shot of the Microsoft Remote Connectivity Analyzer page
  3. Compruebe los resultados de ambas pruebas para determinar si AD FS 2.0 está causando el issue.a de inicio de sesión de Outlook. Profundice en el siguiente nodo del árbol Detalles de prueba:
    Testing RPC/HTTP connectivity- ExRCA is attempting to test Autodiscover for john@contoso.com- Attempting each method of contacting the Autodiscover service- Attempting to contact the Autodiscover service using the HTTP redirect method- Attempting to send an Autodiscover POST request to potential Autodiscover URLs- ExRCA is attempting to retrieve and XML Autodiscover response from URL htts://autodiscover-s.outlook.com/Autodiscover/Autodiscover.xml for user  
    Screen shot of the SSO-enabled mailbox and the standard mailbox test results b. Compruebe si se cumplen las dos condiciones siguientes:
    • La cuenta federada no puede acceder a Detección automática y recibe un mensaje de error "Respuesta autorizada HTTP 401".
    • La cuenta de usuario estándar puede acceder a Detección automática.
    Si ambas condiciones son verdaderas, ha confirmado que los errores de SSO están causando un error en la autenticación de Outlook.

SOLUCIÓN


Para solucionar este problema, utilice uno de los métodos siguientes, según corresponda a su situación:

Método 1: Exponer el servicio de federación de AD FS 2.0 local a Internet

Configurar un proxy de servidor de federación de AD FS 2.0 para el entorno local de AD FS 2.0 (o configurar un proxy inverso de firewall del servicio de federación de AD FS 2.0) que admite SSO y, a continuación, publicar el proxy a Internet.Para obtener más información sobre el servidor de federación de AD FS 2.0 pr implementación de oxi, vaya al siguiente sitio web de Microsoft:

Método 2: Solucionar problemas con el servidor proxy de AD FS 2.0

Para obtener más información acerca de cómo solucionar problemas del servidor proxy de AD FS 2.0, consulta el siguiente artículo de Microsoft Knowledge Base:
2712961 Cómo solucionar problemas de conexión de punto de conexión de AD FS cuando los usuarios inician sesión en Office 365, Intune o Azure

REFERENCIAS


¿Aún necesitas ayuda? Vaya al sitio web de Microsoft Community.