PROBLEMA

Quando si prova ad accedere a un servizio cloud Microsoft, ad esempio Office 365, Microsoft Azure o Microsoft Intune tramite un client basato sul Web o un'applicazione client avanzata, tramite un account federato, l'autenticazione non riesce da un computer client specifico. Quando si usa un Web browser per accedere al portale del servizio cloud dallo stesso computer usando un account federato, è possibile che si verifichi uno dei sintomi seguenti:

  • Quando ci si connette all'endpoint del portale, viene visualizzato uno dei messaggi di errore seguenti:

    Internet Explorer non può visualizzare la pagina Web.

    pagina 403 non trovata

  • Quando ci si connette all'endpoint Active Directory Federation Services (ADFS), viene visualizzato uno dei messaggi di errore seguenti:

    Internet Explorer non può visualizzare la pagina Web

    pagina 403 non trovata

  • Viene visualizzato un avviso di certificato quando ci si connette all'endpoint di ADFS.

  • Quando ci si connette all'endpoint di ADFS mentre si effettua l'accesso al dominio aziendale, viene visualizzata una singola richiesta di credenziale. Questo prompt per le credenziali non usa l'autenticazione basata su moduli.

  • Quando ci si connette all'endpoint ADFS usando un Web browser di terze parti, si riceveranno le richieste di autenticazione a ciclo continuo. Queste richieste non usano l'autenticazione basata su moduli.

  • Quando ci si connette all'endpoint login.microsoftonline.com, viene visualizzato il messaggio di errore seguente:

    Accesso negato

CAUSA

In genere, questo problema si verifica in un computer client o in un gruppo di dispositivi client. Questo problema può verificarsi per tutti gli utenti e i computer client se Single Sign-on (SSO) non è completamente funzionante. SSO potrebbe non essere completamente funzionante se le impostazioni del client non sono state configurate correttamente. Le situazioni del dispositivo client seguenti possono causare il problema:

  • La connettività di rete può essere limitata.

  • Il dispositivo client riceve la risoluzione dei nomi non corretta per il servizio federativo ADFS dall'implementazione interna del DNS split-brain.

  • Se nel computer è configurato un server proxy Internet, il nome del servizio federativo ADFS non può essere aggiunto all'elenco di esclusione del proxy.

  • Il nome del servizio federativo ADFS non può essere aggiunto all'area di sicurezza Intranet locale nelle impostazioni delle opzioni Internet.

  • Il computer client non viene autenticato in servizi di dominio Active Directory.

  • Il Web browser di terze parti non supporta la protezione estesa per l'autenticazione per il servizio federativo ADFS.

  • L'endpoint di metadati federativi può essere hardcoded nel registro di sistema a causa di un'installazione precedente di Office 365 Beta dello strumento di gestione SSO.

  • L'endpoint del servizio ADFS necessario per un'applicazione client specifica è disabilitato.

Prima di continuare, verificare che le condizioni seguenti siano vere:

  • I problemi di accesso non si limitano alle applicazioni client ricche nel computer client. Se solo l'autenticazione rich client (anziché l'autenticazione basata su browser) non funziona, è più probabile che indichi un problema di autenticazione del client avanzato. Ad esempio, potrebbe trattarsi di un problema correlato ai prerequisiti o alla configurazione dell'applicazione rich-client. Per altre informazioni, vedere l'articolo della Microsoft Knowledge Base seguente:

    2637629  Come risolvere i problemi relativi alle app non browser che non riescono ad accedere a Office 365, Azure o Intune

  • L'autenticazione SSO non si guasta per tutti gli account utente abilitati per SSO. Se tutti gli utenti abilitati per SSO avvertono gli stessi sintomi, è più probabile che indichino un problema di Federazione. Per ulteriori informazioni, fare clic sul numero dell'articolo seguente per visualizzare l'articolo nella Microsoft Knowledge Base:

    2530569  Risolvere i problemi di configurazione Single Sign-on in Office 365, Intune o Azure

  • L'autenticazione SSO per l'account utente viene eseguita correttamente in altri computer client. Se l'account utente non riesce ad accedere a un client di servizi cloud, vedere le risoluzioni più avanti in questo articolo che coinvolgono il computer client. Inoltre, Esplora la possibilità che ci sia qualcosa di sbagliato con l'account utente e non con il computer client. Per ulteriori informazioni, fare clic sul numero dell'articolo seguente per visualizzare l'articolo nella Microsoft Knowledge Base:

    2530590  Risolvere i problemi relativi agli account per gli utenti federati in Office 365, Azure o Intune

  • La tastiera del computer client funziona correttamente e il nome utente e la password, dove è necessario, sono stati immessi correttamente.

SOLUZIONE

Per risolvere il problema, usare uno o più dei metodi seguenti, a seconda della causa del problema.

Risoluzione 1: non è possibile connettersi a Cloud Service Portal o ad ADFS 

Provare a passare a http://www.MSN.com. Se non funziona, risolvere i problemi di connettività di rete. A tal fine, attenersi alla seguente procedura:

  1. Al prompt dei comandi usare gli strumenti ipconfig e ping per risolvere i problemi di connettività IP. Per altre informazioni, vedere l'articolo della Microsoft Knowledge Base seguente:

    169790 Come risolvere i problemi TCP/IP di base.

  2. Al prompt dei comandi digitare nslookup www.MSN.com per determinare se DNS sta risolvendo i nomi di server Internet.

  3. Verificare che le impostazioni di proxy delle opzioni Internet riflettano il server proxy appropriato se un server proxy viene usato nella rete locale.

  4. Se un firewall Forefront Threat Management Gateway (TMG) viene installato al limite della rete e il firewall richiede l'autenticazione del client, potrebbe essere necessario installare un programma client Forefront TMG nel dispositivo client per l'accesso a Internet. Contattare l'amministratore del servizio cloud per assistenza.

Risoluzione 2: non è possibile connettersi a ADFS

Per risolvere il problema, procedere come segue:

  1. Eliminare i problemi di connettività IP usando la risoluzione 1.

  2. Al prompt dei comandi digitare nslookup <ad FS 2,0 FQDN>e quindi premere INVIO per determinare se DNS sta risolvendo correttamente il nome del servizio ADFS.Nota In questo comando <FQDN di ADFS> rappresenta il nome di dominio completo (FQDN) del nome del servizio ADFS. Non rappresenta il nome host di Windows del server ADFS.

    1. Se il client è collegato alla rete aziendale, verificare che l'indirizzo IP risolto sia un indirizzo IP privato. L'indirizzo IP deve corrispondere a uno dei modelli seguenti:

      • 10.x.x.x

      • 172.16.x.x

      • 192.168.x.x

    2. Se il client si trova all'esterno della rete aziendale, verificare che l'indirizzo IP risolto sia un indirizzo IP pubblico. Verificare che non corrisponda a uno dei modelli seguenti:

      • 10.x.x.x

      • 172.16.x.x

      • 192.168.x.x

    3. Se l'indirizzo IP risolto non è corretto in base al passaggio 1 e al passaggio 2 e altri computer client non avvertono lo stesso comportamento, eseguire le operazioni seguenti:

      1. Al prompt dei comandi digitare ipconfig/alle quindi verificare che la voce del server DNS principale sia appropriata per la rete a cui è associato il client.

      2. Aprire il file%windir%\system32\drivers\etc\hosts nel blocco note e quindi rimuovere eventuali voci per l'FQDN di ADFS. Salva quindi il file.

      3. Al prompt dei comandi digitare ipconfig/flushdns per cancellare la cache DNS.

    Nota Se i dispositivi client sono collegati solo alla rete aziendale, passare al passaggio 3.

  3. Aggiungere l'FQDN ADFS all'elenco di esclusione del proxy. A questo scopo, seguire la procedura descritta nell'articolo della Microsoft Knowledge Base seguente:

    262981 Internet Explorer usa il server proxy per l'indirizzo IP locale anche se l'opzione "Ignora il server proxy per gli indirizzi locali" è attivata

Risoluzione 3: avviso di certificato quando ci si connette all'endpoint di ADFS

Per risolvere il problema, risolvere i problemi relativi ai certificati SSL (Secure Sockets Layer) usando l'articolo seguente nella Microsoft Knowledge Base:

2523494 Viene visualizzato un avviso di certificato da ADFS quando si tenta di accedere a Office 365, Azure o Intune

Risoluzione 4: si riceve una singola richiesta di credenziale imprevista quando si accede da un computer client connesso alla rete aziendale

Per risolvere il problema, procedere come segue:

  1. Verificare che il computer client abbia eseguito l'accesso al dominio.

    1. Fare clic sul pulsante Start, scegliere Esegui, digitare %LOGONSERVER%\sysvole quindi fare clic su OK.

    2. Se viene visualizzata una richiesta di credenziale, disconnettersi e quindi rieseguire l'accesso usando le credenziali aziendali.

  2. Aggiungere l'FQDN ADFS all'area Intranet locale.

    1. Nella scheda sicurezza fare clic su Intranet localee quindi su siti.

    2. Fare clic su Avanzatee quindi esaminare l'elenco dei siti Web per il nome completo DNS dell'endpoint del servizio adfs, ad esempio STS.contoso.com. Nota In questa configurazione funzionerà anche un valore jolly, ad esempio "*. consoto.com".

  3. Aggiungere l'FQDN ADFS all'elenco di esclusione del proxy. A questo scopo, seguire la procedura descritta nell'articolo della Microsoft Knowledge Base seguente:

    262981 Internet Explorer usa il server proxy per l'indirizzo IP locale anche se l'opzione "Ignora il server proxy per gli indirizzi locali" è attivata

Risoluzione 5: il Web browser di terze parti non supporta la protezione estesa per l'autenticazione e viene visualizzata una richiesta di autenticazione a ciclo continuo

Per risolvere il problema, procedere come segue:

  1. Usare Windows Internet Explorer (Internet Explorer supporta la protezione estesa per l'autenticazione) anziché un Web browser di terze parti che non supporta la protezione estesa per l'autenticazione.

  2. Se l'uso di Internet Explorer non è un'opzione, usare l'articolo della Microsoft Knowledge Base seguente per configurare ADFS per accettare richieste da Web browser che non supportano la protezione estesa per l'autenticazione:

    2461628 A un utente federato viene richiesto ripetutamente di richiedere le credenziali durante l'accesso a Office 365, Azure o Intune

Risoluzione 6: messaggio di errore "accesso negato" quando si tenta di connettersi a login.microsoftonline.com

Importante Questa sezione contiene passaggi che spiegano come modificare il registro di sistema. L'errata modifica del Registro di sistema può causare seri problemi. Per questo motivo, occorre attenersi scrupolosamente alla procedura indicata. Per una maggiore sicurezza, eseguire una copia di backup del Registro di sistema prima di modificarlo. in modo da poterlo poi ripristinare in caso di problemi. Per ulteriori informazioni su come eseguire il backup e il ripristino del Registro di sistema, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito:

322756 Come eseguire il backup e il ripristino del Registro di sistema in WindowsI problemi possono verificarsi se l'endpoint per l'SSO di Azure Active Directory usato da ADFS non è valido. Verificare che l'endpoint federativo non sia hardcoded nel registro di sistema di ogni server della farm del servizio federativo ADFS. Per risolvere il problema, usare l'editor del registro di sistema per eliminare la sottochiave del registro di sistema seguente:

HKEY_LOCAL_MACHINE\Software\Microsoft\MOCHA\IdentityFederationADFS ritornerà all'endpoint corretto in base all'attendibilità del componente SSO.

Risoluzione 7: Reimposta l'impostazione dell'endpoint del servizio ADFS disabilitato alla configurazione predefinita

Per altre informazioni su come eseguire questa operazione, vedere l'articolo della Microsoft Knowledge Base seguente:

2712957 L'accesso a Office 365, Azure o Intune non riesce dopo la modifica dell'endpoint del servizio federativo 

Serve ancora aiuto? Accedere alla community Microsoft o al sito Web dei Forum di Azure Active Directory .

Serve aiuto?

Amplia le tue competenze
Esplora i corsi di formazione
Ottieni in anticipo le nuove caratteristiche
Partecipa a Microsoft Insider

Queste informazioni sono risultate utili?

Quanto ti soddisfa la qualità della traduzione?

Cosa ha influito sulla tua esperienza?

Altri commenti e suggerimenti? (Facoltativo)

Grazie per il feedback!

×