Федеративные пользователи не могут подключиться к почтовому ящику Exchange Online
Симптомы
Федеративный пользователь не может пройти проверку подлинности в Microsoft Outlook или Microsoft Exchange ActiveSync с помощью смартфона в Exchange Online.
Причина
Эта проблема может возникнуть, если выполняется одно из следующих условий:
- Служба федерации локальная служба Active Directory (AD FS) 2.0 недоступна из общедоступного Интернета.
- SSL-сертификат, используемый конечной точкой AD FS 2.0, выдается центром сертификации, который не является доверенным для центра обработки данных Exchange Online.
Текущая конечная точка Exchange Online для Outlook использует обычную проверку подлинности или проверку подлинности прокси-сервера. Это означает, что клиенты Outlook проходят проверку подлинности в службе Outlook.com с помощью обычной проверки подлинности. Если Outlook.com определяет, что пользователь является федеративным пользователем, он выполняет прокси-сервер обычной проверки подлинности по протоколу SSL на сервер AD FS 2.0 пользователя от имени клиента. Это действие выполняет локальную проверку подлинности пользователя и запрашивает утверждение saml или маркер доступа для пользователя. Если общедоступная конечная точка AD FS 2.0 недоступна, процесс проверки подлинности не будет успешным, и пользователю будет отказано в доступе к конечной точке службы.
Используйте анализатор удаленного подключения Майкрософт, чтобы проверить, вызывает ли локальная служба федерации AD FS 2.0 проблемы со входом в Outlook федеративных пользователей. Для этого выполните следующие действия:
В Обозреватель Интернета перейдите в Microsoft Remote Connectivity Analyzer.
Введите адрес электронной почты и учетные данные, выберите поле проверка подтверждения в нижней части страницы, введите код проверки и нажмите кнопку Выполнить тест. Этот тест следует выполнить два раза. Запустите тест, используя все следующие учетные данные:
- Федеративная учетная запись с почтовым ящиком в Exchange Online
- Учетная запись стандартного пользователя с почтовым ящиком в Exchange Online
Проверьте результаты обоих тестов, чтобы определить, вызывает ли AD FS 2.0 проблему со вхощением в Outlook.
Выполните детализацию до следующего узла дерева сведений о тестировании :
Тестирование подключения RPC/HTTP
ExRCA пытается проверить автообнаружение для
john@contoso.com
Попытка каждого метода связи со службой автообнаружения
Попытка связаться со службой автообнаружения с помощью метода перенаправления HTTP
Попытка отправить запрос POST автообнаружения на потенциальные URL-адреса автообнаружения
ExRCA пытается получить ответ автообнаружения XML из URL-адреса
https://autodiscover-s.outlook.com/Autodiscover/Autodiscover.xml
пользователя
Проверьте, выполняются ли оба следующих условия:
- Федеративная учетная запись не может получить доступ к автообнаружитею и получает сообщение об ошибке "Авторизованный ответ HTTP 401".
- Учетная запись стандартного пользователя может получить доступ к автообнаружение.
Если выполняются оба условия, вы подтвердили, что сбои единого входа приводят к сбою проверки подлинности Outlook.
Решение 1. Предоставление локальной службы федерации AD FS 2.0 в Интернете
Настройте прокси-сервер федерации AD FS 2.0 для локальной среды AD FS 2.0 (или настройте обратный прокси-сервер брандмауэра службы федерации AD FS 2.0), поддерживающий единый вход, а затем опубликуйте прокси-сервер в Интернете.
Решение 2. Устранение неполадок с прокси-сервером AD FS 2.0
Дополнительные сведения об устранении неполадок с прокси-сервером AD FS 2.0 см. в статье Устранение неполадок с подключением к конечной точке AD FS при входе пользователей в Microsoft 365, Intune или Azure.
Требуется дополнительная помощь? Перейдите на веб-сайт сообщества Майкрософт .
Обратная связь
https://aka.ms/ContentUserFeedback.
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделеОтправить и просмотреть отзыв по