Iniciar sesión en Office 365, Azure o Intune con el inicio de sesión único no funciona en algunos dispositivos

Se aplica a: Azure Active DirectoryMicrosoft IntuneAzure Backup

PROBLEMA


Al intentar obtener acceso a un servicio en la nube de Microsoft como Office 365, Microsoft Azure o Microsoft Intune a través de un cliente basado en web o una aplicación de cliente enriquecida mediante una cuenta federada, se produce un error de autenticación de un equipo cliente específico. Si usa un explorador Web para acceder al portal de servicio en la nube desde el mismo equipo mediante una cuenta federada, es posible que experimente uno de los siguientes síntomas:
  • Cuando se conecta al extremo del portal, recibe uno de los siguientes mensajes de error: 
    Internet Explorer no puede mostrar la Página Web.
    No se encontró la página de 403
  • Cuando se conecta al extremo de servicios de Federación de Active Directory (AD FS), recibe uno de los siguientes mensajes de error:
    Internet Explorer no puede mostrar la página web
    No se encontró la página de 403
  • Recibe una advertencia de certificado cuando se conecta al punto de conexión de AD FS.
  • Cuando se conecte al punto de conexión de AD FS mientras está conectado al dominio corporativo, recibirá una solicitud de credencial única. Este aviso para sus credenciales no usa autenticación basada en formularios.
  • Cuando se conecta al punto de conexión de AD FS mediante un explorador Web de terceros, recibe solicitudes de petición de autenticación de bucle. Estas preguntas no usan la autenticación basada en formularios.
  • Cuando se conecta al extremo login.microsoftonline.com, recibe el siguiente mensaje de error:
    Acceso denegado

CAUSA


Normalmente, este problema se produce en un equipo cliente o en un grupo de dispositivos cliente. Este problema puede ocurrir para todos los usuarios y equipos cliente si el inicio de sesión único (SSO) no funciona correctamente. Es posible que el SSO no sea completamente funcional si la configuración del cliente no se configuró correctamente. Las siguientes situaciones de dispositivos cliente pueden causar este problema:
  • Es posible que la conectividad de red esté limitada.
  • El dispositivo cliente recibe una resolución de nombres incorrecta para el servicio de Federación de AD FS de la implementación de DNS de horizonte dividido.
  • Si un servidor proxy de Internet está configurado en el equipo, el nombre del servicio de Federación de AD FS no se puede Agregar a la lista de omisión de proxy.
  • El nombre del servicio de Federación de AD FS no se puede Agregar a la zona de seguridad de Intranet local en la configuración de opciones de Internet.
  • El equipo cliente no está autenticado para los servicios de dominio de Active Directory.
  • El explorador Web de terceros no admite la protección extendida para la autenticación en el servicio de Federación de AD FS.
  • El extremo de metadatos de Federación se puede codificar en el registro debido a una instalación anterior de la versión beta de Office 365 de la herramienta de administración de SSO.
  • El punto de conexión de servicio de AD FS requerido para una aplicación cliente específica está deshabilitado.
Antes de continuar, asegúrese de que se cumplan las condiciones siguientes:
  • Los problemas de acceso no se limitan a aplicaciones cliente enriquecidas en el equipo cliente. Si solo la autenticación de cliente enriquecida (en lugar de la autenticación basada en el explorador) no funciona, lo más probable es que indique un problema de autenticación de cliente enriquecido. Por ejemplo, puede ser un problema relacionado con los requisitos previos o la configuración de la aplicación cliente enriquecida. Para obtener más información, consulte el siguiente artículo de Microsoft Knowledge Base:
    2637629   Cómo solucionar problemas de aplicaciones que no son navegadores que no pueden iniciar sesión en Office 365, Azure o Intune   
  • La autenticación de SSO no se produce para todas las cuentas de usuario habilitadas para SSO. Si todos los usuarios habilitados para SSO experimentan los mismos síntomas, lo más probable es que indique un problema de Federación. Si desea obtener más información, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
    2530569   Solucionar problemas de instalación de inicio de sesión único en Office 365, Intune o Azure  
  • La autenticación de SSO para la cuenta de usuario se realiza correctamente en otros equipos cliente. Si la cuenta de usuario no puede iniciar sesión en ningún cliente de servicios en la nube, consulte las soluciones más adelante en este artículo donde se incluye el equipo cliente. Además, explore la posibilidad de que haya algún problema con la cuenta de usuario y no con el equipo cliente. Si desea obtener más información, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:  
    2530590   Solucionar problemas de cuenta para usuarios federados en Office 365, Azure o Intune   
  • El teclado en el equipo cliente funciona correctamente y el nombre de usuario y la contraseña, cuando es necesario, se escribieron correctamente.

SOLUCIÓN


Para solucionar este problema, use uno o varios de los métodos siguientes, en función de la causa del problema.

Solución 1: no se puede conectar al portal de servicio en la nube o a AD FS 

Intenta ir a http://www.msn.com. Si esto no funciona, solucione problemas de conectividad de red. Para ello, siga estos pasos:
  1. En un símbolo del sistema, use las herramientas ipconfig y ping para solucionar problemas de conectividad IP. Para obtener más información, consulte el siguiente artículo de Microsoft Knowledge Base:
    169790 Cómo solucionar problemas básicos de TCP/IP.
  2. En el símbolo del sistema, escriba nslookup www.msn.com para determinar si DNS está resolviendo los nombres de los servidores de Internet.
  3. Asegúrese de que la configuración del proxy de opciones de Internet refleje el servidor proxy adecuado si se usa un servidor proxy en la red local.
  4. Si se instala un firewall de Forefront Threat Management Gateway (TMG) en el límite de la red y el Firewall requiere la autenticación del cliente, es posible que tenga que instalar un programa cliente de Forefront TMG en el dispositivo cliente para el acceso a Internet. Póngase en contacto con el administrador del servicio en la nube para obtener ayuda.

Solución 2: no se puede conectar a AD FS

Para resolver este problema, siga estos pasos:
  1. Elimine los problemas de conectividad IP mediante la solución 1.
  2. En el símbolo del sistema, escriba nslookup <FQDN de ad fs 2,0>y, a continuación, presione Entrar para determinar si DNS está resolviendo el nombre del servicio AD FS correctamente.Nota En este comando, <FQDN de AD FS> representa el nombre de dominio completo (FQDN) del nombre de servicio AD FS. No representa el nombre de host de Windows del servidor de AD FS.
    1. Si el cliente está conectado a la red corporativa, asegúrese de que la dirección IP que se resuelve es una dirección IP privada. La dirección IP debe coincidir con uno de los siguientes patrones:
      • 10.x.x.w.x.y.
      • 172.16.x.w.x.y.
      • 192.168.x.w.x.y.
    2. Si el cliente está fuera de la red corporativa, asegúrese de que la dirección IP que se resuelve es una dirección IP pública. Asegúrese de que no coincide con uno de los siguientes patrones:
      • 10.x.x.w.x.y.
      • 172.16.x.w.x.y.
      • 192.168.x.w.x.y.
    3. Si la dirección IP que se resuelve no es correcta en función del paso 1 y del paso 2, y otros equipos cliente no experimentan el mismo comportamiento, haga lo siguiente:
      1. En el símbolo del sistema, escriba ipconfig/ally, a continuación, compruebe que la entrada del servidor DNS principal es adecuada para la red a la que está conectado el cliente.
      2. Abra el archivo%windir%\system32\drivers\etc\hosts en el Bloc de notas y, a continuación, quite las entradas del FQDN de AD FS. Después, guarde el archivo.
      3. En el símbolo del sistema, escriba ipconfig/flushdns para borrar la caché DNS.
    Nota Si los dispositivos cliente solo se adjuntan a la red corporativa, vaya al paso 3.
  3. Agregue el FQDN de AD FS a la lista de omisión del proxy. Para ello, siga los pasos que se indican en el siguiente artículo de Microsoft Knowledge Base:
    262981 Internet Explorer usa el servidor proxy para la dirección IP local incluso si la opción "no usar servidor proxy para direcciones locales" está activada

Solución 3: ADVERTENCIA de certificado cuando se conecta al punto de conexión de AD FS

Para resolver este problema, solucione problemas de certificados de capa de sockets seguros (SSL) con el siguiente artículo de Microsoft Knowledge Base:
2523494  Recibe una advertencia de certificado de AD FS cuando intenta iniciar sesión en Office 365, Azure o Intune  

Solución 4: recibe un único mensaje de solicitud de credenciales inesperados cuando inicia sesión desde un equipo cliente que está conectado a la red corporativa

Para resolver este problema, siga estos pasos:
  1. Asegúrese de que el equipo cliente ha iniciado sesión correctamente en el dominio.
    1. Haga clic en Inicio, haga clic en Ejecutar, escriba %Logonserver%\sysvoly, a continuación, haga clic en Aceptar.
    2. Si aparece una solicitud de credenciales, cierre sesión y vuelva a iniciarla usando las credenciales de la empresa.
  2. Agregue el FQDN de AD FS a la zona de Intranet local.
    1. En la pestaña seguridad , haga clic en Intranet localy, a continuación, haga clic en sitios.
    2. Haga clic en avanzadasy, a continuación, examine la lista de sitios web para el nombre DNS completo del extremo de servicio de AD FS (por ejemplo, STS.contoso.com). Nota Un valor comodín, como "*. consoto.com", también funciona en esta configuración.
  3. Agregue el FQDN de AD FS a la lista de omisión del proxy. Para ello, siga los pasos que se indican en el siguiente artículo de Microsoft Knowledge Base:
    262981 Internet Explorer usa el servidor proxy para la dirección IP local incluso si la opción "no usar servidor proxy para direcciones locales" está activada

Solución 5: el explorador Web de terceros no admite la protección extendida para la autenticación y usted recibe solicitudes de autenticación de bucle

Para resolver este problema, siga estos pasos:
  1. Use Windows Internet Explorer (Internet Explorer admite la protección extendida para la autenticación) en lugar de un explorador Web de terceros que no admita la protección extendida para la autenticación.
  2. Si usar Internet Explorer no es una opción, use el siguiente artículo de Microsoft Knowledge base para configurar AD FS para que acepte solicitudes de exploradores Web que no son compatibles con la protección extendida para autenticación:
    2461628  Se solicitan varias veces las credenciales de un usuario federado durante el inicio de sesión en Office 365, Azure o Intune

Solución 6: mensaje de error "acceso denegado" al intentar conectarse a login.microsoftonline.com

Importante Esta sección contiene pasos que le indican cómo modificar el registro. Sin embargo, se pueden producir problemas graves si modifica el Registro incorrectamente. Por tanto, asegúrese de que sigue estos pasos cuidadosamente. Para mayor protección, realice una copia de seguridad del Registro antes de modificarlo. De esta manera podrá restaurar el Registro en caso de que se produzca un problema. Para obtener más información sobre cómo realizar una copia de seguridad y restaurar el Registro, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
322756 Cómo realizar una copia de seguridad y restaurar el Registro en Windows
Pueden surgir problemas si el punto de conexión para el SSO de Azure Active Directory usado por AD FS no es válido. Asegúrese de que el punto de conexión de Federación no esté codificado en el registro de cada servidor de la granja de servidores de servicio de Federación de AD FS. Para resolver este problema, use el editor del registro para eliminar la siguiente subclave del registro:
HKEY_LOCAL_MACHINE\Software\Microsoft\MOCHA\IdentityFederation
AD FS revertirá al punto de conexión correcto en función de la relación de confianza para usuario autenticado de SSO.

Resolución 7: restablecer la configuración de extremo de servicio de AD FS deshabilitada a la configuración predeterminada

Para obtener más información sobre cómo hacerlo, consulte el siguiente artículo de Microsoft Knowledge Base:
2712957  Iniciar sesión en Office 365, Azure o Intune se produce un error después de cambiar el extremo del servicio de Federación 
¿Aún necesita ayuda? Vaya a la comunidad de Microsoft o al sitio web de foros de Azure Active Directory .