Les utilisateurs fédérés ne peuvent pas se connecter à une boîte aux lettres Exchange Online

S’applique à : Exchange OnlineAzure Active Directory

PROBLÈME


Un utilisateur fédéré ne peut pas s'authentifier à Microsoft Outlook ou à Microsoft Exchange ActiveSync en utilisant un smartphone dans Exchange Online.

CAUSE


Ce problème peut se produire si l'une des conditions suivantes est vraie:
  • Le service de fédération 2.0 de la Fédération des annuaires actifs sur place (AD FS) n'est pas disponible sur Internet.
  • Le certificat Secure Sockets Layer (SSL) utilisé par le point de terminaison AD FS 2.0 est délivré par une autorité de certification qui n'est pas approuvée par le centre de données Exchange Online.
Le point de terminaison Exchange Online actuel pour Outlook utilise l'authentification de base ou l'authentification par procuration. Cela signifie que les clients Outlook s'authentififier au service Outlook.com en utilisant l'authentification de base. Si Outlook.com détermine que l'utilisateur est un utilisateur fédéré, il proxie l'authentification de base sur SSL au serveur AD FS 2.0 de l'utilisateur pour le compte du client. Cette action authentifise l'utilisateur localement et demande une réclamation ou un jeton d'accès à l'utilisateur pour l'utilisateur. Si un point de terminaison AD FS 2.0 disponible au public n'est pas disponible, le processus d'authentification n'est pas réussi et l'utilisateur se voit refuser l'accès au point de terminaison du service. Utilisez Microsoft Remote Connectivity Analyzer pour tester si le service de fédération AD FS 2.0 sur site cause des problèmes de logon Outlook pour les utilisateurs fédérés. Pour ce faire, suivez les étapes suivantes :
  1. Dans Internet Explorer, naviguez sur https://www.testconnectivity.microsoft.com/?testid=O365Ola.
  2. Tapez l'adresse e-mail et les informations d'identification, cliquez pour sélectionner la case de vérification près du bas de la page, tapez le code de vérification, puis cliquez sur Effectuer le test. Ce test doit être exécuté deux fois. Exécutez le test en utilisant chacune des informations d'identification suivantes :
    • Un compte fédéré qui a une boîte aux lettres dans Exchange Online
    • Un compte d'utilisateur standard qui dispose d'une boîte aux lettres dans Exchange OnlineScreen shot of the Microsoft Remote Connectivity Analyzer page
  3. Vérifiez les résultats des deux tests pour déterminer si AD FS 2.0 est à l'origine de la connexion Outlook issue.a. Percer jusqu'au nœud suivant de l'arbre Détails d'essai :
    Testing RPC/HTTP connectivity- ExRCA is attempting to test Autodiscover for john@contoso.com- Attempting each method of contacting the Autodiscover service- Attempting to contact the Autodiscover service using the HTTP redirect method- Attempting to send an Autodiscover POST request to potential Autodiscover URLs- ExRCA is attempting to retrieve and XML Autodiscover response from URL htts://autodiscover-s.outlook.com/Autodiscover/Autodiscover.xml for user  
    Screen shot of the SSO-enabled mailbox and the standard mailbox test results b. Vérifier si les deux conditions suivantes sont vraies :
    • Le compte fédéré ne peut pas accéder à Autodiscover et reçoit un message d'erreur " HTTP 401 réponse autorisée ".
    • Le compte utilisateur standard peut accéder à Autodiscover.
    Si les deux conditions sont vraies, vous avez confirmé que les défaillances SSO provoquent l'échec de l'authentification Outlook.

SOLUTION


Pour résoudre ce problème, utilisez l'une des méthodes suivantes, le cas échéant pour votre situation:

Méthode 1 : Exposer le service de fédération AD F.0 sur site à Internet

Configurez un proxy de serveur de fédération AD FS 2.0 pour l'environnement AD FS 2.0 sur site (ou configurez un pari pare-feu proxy inverse de l'AD FS 2.0 Federation Service) qui prend en charge SSO, puis publiez le proxy sur Internet.For plus d'informations sur l'AD FS 2.0 fédération serveur pr implémentation oxy, aller sur le site Web suivant Microsoft:

Méthode 2 : Problèmes de dépannage avec le serveur proxy AD FS 2.0

Pour plus d'informations sur la façon de dépanner AD FS 2.0 problèmes de serveur proxy, voir l'article suivant Microsoft Knowledge Base:
2712961 Comment dépanner les problèmes de connexion de point de terminaison AD FS lorsque les utilisateurs se connectent à Office 365, Intune ou Azure

RÉFÉRENCES


Vous avez encore besoin d'aide? Rendez-vous sur le site Web de Microsoft Community.