Los usuarios federados no pueden conectarse a un buzón de Exchange Online

  • Artículo
  • Se aplica a:
    Exchange Online, Exchange, Outlook, Azure Active Directory

Síntomas

Un usuario federado no puede autenticarse en Microsoft Outlook ni en Microsoft Exchange ActiveSync mediante un smartphone en Exchange Online.

Causa

Este problema puede producirse si se cumple una de las condiciones siguientes:

  • El servicio de federación de Active Directory local Federation Services (AD FS) 2.0 no está disponible en la red pública de Internet.
  • El certificado de capa de sockets seguros (SSL) que usa el punto de conexión de AD FS 2.0 lo emite una entidad de certificación que no es de confianza para el centro de datos Exchange Online.

El punto de conexión de Exchange Online actual para Outlook usa autenticación básica o autenticación de proxy. Esto significa que los clientes de Outlook se autentican en el servicio Outlook.com mediante la autenticación básica. Si Outlook.com determina que el usuario es un usuario federado, envía la autenticación básica a través de SSL al servidor de AD FS 2.0 del usuario en nombre del cliente. Esta acción autentica al usuario localmente y solicita una notificación de lenguaje de marcado de aserción de seguridad (SAML) o un token de acceso para el usuario. Si un punto de conexión de AD FS 2.0 disponible públicamente no está disponible, el proceso de autenticación no se realiza correctamente y se deniega al usuario el acceso al punto de conexión de servicio.

Use el Analizador de conectividad remota de Microsoft para probar si el servicio de federación de AD FS 2.0 local está causando problemas de inicio de sesión de Outlook para los usuarios federados. Para ello, siga estos pasos:

  1. En Internet Explorer, vaya a Analizador de conectividad remota de Microsoft.

  2. Escriba la dirección de correo electrónico y las credenciales, active la casilla de confirmación situada cerca de la parte inferior de la página, escriba el código de verificación y, a continuación, seleccione Realizar prueba. Esta prueba debe ejecutarse dos veces. Ejecute la prueba con cada una de las credenciales siguientes:

    • Una cuenta federada que tiene un buzón en Exchange Online
    • Una cuenta de usuario estándar que tiene un buzón de correo en Exchange Online

    Captura de pantalla de la página Analizador de conectividad remota de Microsoft.

  3. Compruebe los resultados de ambas pruebas para determinar si AD FS 2.0 está causando el problema de inicio de sesión de Outlook.

    1. Explore en profundidad el nodo siguiente del árbol Detalles de prueba:

      Prueba de la conectividad RPC/HTTP

      • ExRCA está intentando probar la detección automática para john@contoso.com

      • Intentar cada método de ponerse en contacto con el servicio de detección automática

      • Intentar ponerse en contacto con el servicio de detección automática mediante el método de redireccionamiento HTTP

      • Intento de enviar una solicitud POST de detección automática a posibles direcciones URL de detección automática

      • ExRCA está intentando recuperar y la respuesta de detección automática DE XML de la dirección URL https://autodiscover-s.outlook.com/Autodiscover/Autodiscover.xml para el usuario

        Captura de pantalla del buzón habilitado para SSO y los resultados de prueba del buzón estándar.

    2. Compruebe si se cumplen las dos condiciones siguientes:

      • La cuenta federada no puede acceder a la detección automática y recibe un mensaje de error "Respuesta autorizada HTTP 401".
      • La cuenta de usuario estándar puede acceder a detección automática.

    Si ambas condiciones son verdaderas, ha confirmado que los errores de SSO provocan un error en la autenticación de Outlook.

Resolución 1: exponer el servicio de federación de AD FS 2.0 local a Internet

Configure un proxy de servidor de federación de AD FS 2.0 para el entorno local de AD FS 2.0 (o configure un proxy inverso de firewall del servicio de federación de AD FS 2.0) que admita el inicio de sesión único y, a continuación, publique el proxy en Internet.

Resolución 2: Solución de problemas con el servidor proxy de AD FS 2.0

Para obtener más información sobre cómo solucionar problemas del servidor proxy de AD FS 2.0, consulte Solución de problemas de conexión de punto de conexión de AD FS cuando los usuarios inician sesión en Microsoft 365, Intune o Azure.

¿Aún necesita ayuda? Vaya al sitio web de Microsoft Community .