La connexion à Office 365, Azure ou Intune en utilisant l’authentification unique ne fonctionne pas sur certains appareils

S’applique à : Azure Active DirectoryMicrosoft IntuneAzure Backup

PROBLÈME


Lorsque vous essayez d’accéder à un service de Cloud Computing Microsoft tel qu’Office 365, Microsoft Azure ou Microsoft Intune par le biais d’un client Web ou d’une application cliente riche à l’aide d’un compte fédéré, l’authentification échoue à partir d’un ordinateur client spécifique. Lorsque vous utilisez un navigateur Web pour accéder au portail de services Cloud à partir du même ordinateur à l’aide d’un compte fédéré, vous pouvez voir l’un des problèmes suivants :
  • Lorsque vous vous connectez au point de terminaison du portail, l’un des messages d’erreur suivants s’affiche : 
    Internet Explorer ne peut pas afficher la page Web.
    Page 403 introuvable
  • Lorsque vous vous connectez au point de terminaison AD FS (Active Directory Federation Services), vous recevez l’un des messages d’erreur suivants :
    Internet Explorer ne peut pas afficher la page Web
    Page 403 introuvable
  • Vous recevez un avertissement de certificat lorsque vous vous connectez au point de terminaison AD FS.
  • Lorsque vous vous connectez au point de terminaison AD FS alors que vous êtes connecté au domaine d’entreprise, vous recevez une demande d’identification unique. Ce message d’information d’identification n’utilise pas l’authentification basée sur les formulaires.
  • Lorsque vous vous connectez au point de terminaison AD FS à l’aide d’un navigateur Web tiers, vous recevez des invites d’authentification par boucle. Ces invites n’utilisent pas l’authentification basée sur les formulaires.
  • Lorsque vous vous connectez au point de terminaison login.microsoftonline.com, vous recevez le message d’erreur suivant :
    Accès refusé

CAUSE


En règle générale, ce problème se produit sur un ordinateur client ou un groupe d’appareils clients. Ce problème est susceptible de se produire pour tous les utilisateurs et ordinateurs clients si l’authentification unique ne fonctionne pas correctement. L’authentification unique peut ne pas être entièrement fonctionnelle si les paramètres du client n’ont pas été correctement configurés. Les situations suivantes de l’appareil client peuvent être à l’origine du problème :
  • La connectivité réseau est limitée.
  • La résolution de nom de l’appareil client est incorrecte pour le service de fédération AD FS à partir de l’implémentation DNS de Split-Brain interne.
  • Si un serveur proxy Internet est configuré sur l’ordinateur, le nom du service de fédération AD FS ne peut pas être ajouté à la liste de contournement du proxy.
  • Le nom du service de fédération AD FS ne doit pas être ajouté à la zone de sécurité Intranet local dans les paramètres Options Internet.
  • L’ordinateur client n’est pas authentifié par les services de domaine Active Directory (AD FS).
  • Le navigateur Web tiers ne prend pas en charge la protection étendue de l’authentification auprès du service de fédération AD FS.
  • Le point de terminaison des métadonnées de Fédération doit être codé en dur dans le registre en raison d’une installation antérieure d’Office 365 bêta de l’outil de gestion de l’authentification unique.
  • Le point de terminaison du service AD FS requis requis pour une application cliente spécifique est désactivé.
Avant de continuer, assurez-vous que les conditions suivantes sont remplies :
  • Les problèmes d’accès ne sont pas limités aux applications clientes enrichies sur l’ordinateur client. S’il n’y a pas d’authentification client riche (par opposition à l’authentification basée sur le navigateur), il est plus probable qu’il s’agit d’un problème d’authentification de client complet. Par exemple, il peut s’agir d’un problème lié aux éléments requis ou à la configuration de l’application client riche. Pour plus d’informations, consultez l’article suivant de la Base de connaissances Microsoft :
    2637629   Comment résoudre les problèmes liés aux applications sans navigateur qui ne peuvent pas se connecter à Office 365, Azure ou Intune   
  • L’authentification unique ne fonctionne pas pour tous les comptes d’utilisateurs compatibles avec l’authentification unique. Si tous les utilisateurs dotés de l’authentification unique peuvent avoir le même symptôme, il est plus probable qu’un problème de Fédération se produit. Pour plus d'informations, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft :
    2530569   Résoudre les problèmes de configuration de l’authentification unique dans Office 365, Intune ou Azure  
  • L’authentification unique pour le compte d’utilisateur réussit sur d’autres ordinateurs client. Si le compte d’utilisateur ne peut pas se connecter à un client de services Cloud, consultez les résolutions suivantes qui concernent l’ordinateur client. Par ailleurs, il est possible qu’il y ait un problème au niveau du compte d’utilisateur et non de l’ordinateur client. Pour plus d'informations, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft :  
    2530590   Résoudre les problèmes de compte pour les utilisateurs fédérés dans Office 365, Azure ou Intune   
  • Le clavier de l’ordinateur client fonctionne correctement, et le nom d’utilisateur et le mot de passe, le cas échéant, ont été saisis correctement.

SOLUTION


Pour résoudre ce problème, utilisez une ou plusieurs des méthodes suivantes, en fonction de la cause du problème.

Résolution 1 : impossible de se connecter au portail de services Cloud ou à AD FS 

Essayez d’accéder à http://www.msn.com. Si cela ne fonctionne pas, résolvez les problèmes de connectivité réseau. Pour cela, procédez comme suit :
  1. À l’invite de commandes, utilisez les outils ipconfig et ping pour résoudre les problèmes de connectivité IP. Pour plus d’informations, consultez l’article suivant de la Base de connaissances Microsoft :
    169790 Comment résoudre les problèmes de base liés au protocole TCP/IP.
  2. À l’invite de commandes, tapez nslookup www.msn.com pour déterminer si le DNS corrige les noms de serveurs Internet.
  3. Vérifiez que les paramètres du proxy options Internet reflètent le serveur proxy approprié si un serveur proxy est utilisé dans le réseau local.
  4. Si un pare-feu Microsoft Threat Management Gateway (TMG) est installé sur la limite du réseau, et si le pare-feu nécessite une authentification du client, vous devrez peut-être installer un programme client Forefront TMG sur l’appareil client pour l’accès à Internet. Pour obtenir de l’aide, contactez votre administrateur de service Cloud.

Résolution 2 : impossible de se connecter à AD FS

Pour résoudre ce problème, procédez comme suit :
  1. Résoudre les problèmes de connectivité IP à l’aide de la résolution 1.
  2. À l’invite de commandes, tapez nslookup <>FQDN d’AD fs 2,0 , puis appuyez sur entrée pour déterminer si le service DNS doit résoudre correctement le nom du service AD FS.Remarque Dans cette commande, <nom de domaine complet AD FS> représente le nom de domaine complet (FQDN) du nom du service AD FS. Le nom d’hôte Windows du serveur AD FS n’est pas représenté.
    1. Si le client est attaché au réseau d’entreprise, assurez-vous que l’adresse IP résolu est une adresse IP privée. L’adresse IP doit correspondre à l’un des modèles suivants :
      • 10.x.x.x.x.x.
      • 172.16.x.x.x.x.
      • 192.168.x.x.x.x.
    2. Si le client se trouve en dehors du réseau d’entreprise, assurez-vous que l’adresse IP résolu est une adresse IP publique. Assurez-vous qu’elle ne correspond à aucune des méthodes suivantes :
      • 10.x.x.x.x.x.
      • 172.16.x.x.x.x.
      • 192.168.x.x.x.x.
    3. Si l’adresse IP résolue est incorrecte selon les étapes 1 et 2, et que d’autres ordinateurs client ne connaissent pas le même comportement, procédez comme suit :
      1. À l’invite de commandes, tapez ipconfig/all, puis vérifiez que l’entrée Primary DNS Server est appropriée pour le réseau auquel le client est attaché.
      2. Ouvrez le fichier%windir%\system32\drivers\etc\hosts dans le bloc-notes, puis supprimez les entrées du nom de domaine complet AD FS. Ensuite, enregistrez le fichier.
      3. À l’invite de commandes, tapez ipconfig/flushdns pour vider le cache DNS.
    Remarque Si les appareils clients sont uniquement liés au réseau d’entreprise, passez à l’étape 3.
  3. Ajoutez le nom de domaine complet AD FS à la liste de contournement du proxy. Pour cela, suivez les étapes décrites dans l’article suivant de la base de connaissances Microsoft :
    262981 Internet Explorer utilise un serveur proxy pour l’adresse IP locale même si l’option « ignorer le serveur proxy pour les adresses locales » est activée.

Résolution 3 : avertissement de certificat lorsque vous vous connectez au point de terminaison AD FS

Pour résoudre ce problème, procédez aux problèmes de certificat SSL (Secure Sockets Layer) en utilisant l’article suivant de la base de connaissances Microsoft :
2523494  Vous recevez un avertissement de certificat d’AD FS lorsque vous tentez de vous connecter à Office 365, Azure ou Intune  

Résolution 4 : vous recevez une invitation d’identification unique inattendue lors de la connexion à partir d’un ordinateur client connecté au réseau d’entreprise

Pour résoudre ce problème, procédez comme suit :
  1. Assurez-vous que l’ordinateur client se connecte correctement au domaine.
    1. Cliquez sur Démarrer, sur exécuter, tapez %LogonServer%\Sysvol, puis cliquez sur OK.
    2. Si une invite d’informations d’identification s’affiche, déconnectez-vous, puis reconnectez-vous en utilisant les informations d’identification d’entreprise.
  2. Ajoutez le nom de domaine complet AD FS à la zone Intranet local.
    1. Dans l’onglet sécurité , cliquez sur Intranet local, puis sur sites.
    2. Cliquez sur avancé, puis examinez la liste des sites Web correspondant au nom DNS complet du point de terminaison du service AD FS (par exemple, STS.contoso.com). Remarque Une valeur générique, telle que « *. consoto.com », sera également compatible avec cette configuration.
  3. Ajoutez le nom de domaine complet AD FS à la liste de contournement du proxy. Pour cela, suivez les étapes décrites dans l’article suivant de la base de connaissances Microsoft :
    262981 Internet Explorer utilise un serveur proxy pour l’adresse IP locale même si l’option « ignorer le serveur proxy pour les adresses locales » est activée.

Résolution 5 : le navigateur Web tiers ne prend pas en charge la protection étendue de l’authentification et vous recevez des invites d’authentification par boucle

Pour résoudre ce problème, procédez comme suit :
  1. Utilisez Windows Internet Explorer (Internet Explorer prend en charge la protection étendue de l’authentification) au lieu d’un navigateur Web tiers qui ne prend pas en charge la protection étendue de l’authentification.
  2. Si vous utilisez Internet Explorer n’est pas disponible, utilisez l’article de la base de connaissances Microsoft suivant pour configurer AD FS de manière à ce qu’il accepte les demandes de navigateurs Web qui ne prennent pas en charge la protection étendue de l’authentification.
    2461628  Un utilisateur fédéré est invité de manière répétée à entrer les informations d’identification lors de la connexion à Office 365, Azure ou Intune

Résolution 6 : message d’erreur « Accès refusé » lorsque vous tentez de vous connecter à login.microsoftonline.com

Important Cette section contient des étapes qui vous indiquent comment modifier le registre. Toutefois, des problèmes graves peuvent se produire si vous modifiez le Registre de façon incorrecte. Par conséquent, veillez à suivre ces étapes scrupuleusement. Pour plus de protection, effectuez une sauvegarde du Registre avant de le modifier. Vous serez alors en mesure de le restaurer en cas de problème. Pour plus d'informations sur la procédure de sauvegarde et de restauration du Registre, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft :
322756 Comment sauvegarder et restaurer le Registre dans Windows
Des problèmes peuvent se produire si le point de terminaison d’Azure Active Directory SSO utilisé par AD FS n’est pas valide. Assurez-vous que le point de terminaison de Fédération n’est pas codé en dur dans le registre de chaque serveur dans la batterie de serveurs de services de fédération AD FS. Pour résoudre ce problème, utilisez l’éditeur du Registre pour supprimer les sous-clés de Registre suivantes :
HKEY_LOCAL_MACHINE\Software\Microsoft\MOCHA\IdentityFederation
AD FS va revenir au point de terminaison correct en fonction de l’approbation de la partie de confiance de l’authentification unique.

Résolution 7 : réinitialisation du paramètre de point de terminaison du service AD FS désactivé par défaut

Pour plus d’informations sur la façon de procéder, consultez l’article suivant de la base de connaissances Microsoft :
2712957  Échec de la connexion à Office 365, Azure ou Intune après le changement du point de terminaison du service de Fédération 
Encore besoin d’aide ? Accédez à la communauté Microsoft ou au site Web des Forums Azure Active Directory .