Federerade användare kan inte ansluta till en Exchange Online postlåda

  • Artikel
  • Gäller för:
    Exchange Online, Exchange, Outlook, Azure Active Directory

Symptom

En federerad användare kan inte autentisera till Microsoft Outlook eller Microsoft Exchange ActiveSync med hjälp av en smartphone i Exchange Online.

Orsak

Det här problemet kan inträffa om något av följande villkor är sant:

  • Federationstjänsten lokal Active Directory Federation Services (AD FS) 2.0 är inte tillgänglig från det offentliga Internet.
  • SSL-certifikatet (Secure Sockets Layer) som används av AD FS 2.0-slutpunkten utfärdas av en certifikatutfärdare som inte är betrodd av Exchange Online datacenter.

Den aktuella Exchange Online slutpunkten för Outlook använder grundläggande autentisering eller proxyautentisering. Det innebär att Outlook-klienter autentiserar till Outlook.com-tjänsten med hjälp av grundläggande autentisering. Om Outlook.com fastställer att användaren är en federerad användare, proxyservrar den grundläggande autentiseringen över SSL till användarens AD FS 2.0-server för klientens räkning. Den här åtgärden autentiserar användaren lokalt och begär ett SAML-anspråk (Security Assertion Markup Language) eller en åtkomsttoken för användaren. Om en offentligt tillgänglig AD FS 2.0-slutpunkt inte är tillgänglig lyckas inte autentiseringsprocessen och användaren nekas åtkomst till tjänstslutpunkten.

Använd Microsoft Remote Connectivity Analyzer för att testa om den lokala AD FS 2.0-federationstjänsten orsakar outlook-inloggningsproblem för federerade användare. Gör så här:

  1. I Internet Explorer går du till Microsoft Remote Connectivity Analyzer.

  2. Skriv e-postadressen och autentiseringsuppgifterna, markera kryssrutan bekräftelse längst ned på sidan, skriv verifieringskoden och välj sedan Utför test. Det här testet ska köras två gånger. Kör testet med var och en av följande autentiseringsuppgifter:

    • Ett federerat konto som har en postlåda i Exchange Online
    • Ett standardanvändarkonto som har en postlåda i Exchange Online

    Skärmbild av sidan Microsoft Remote Connectivity Analyzer.

  3. Kontrollera resultatet av båda testerna för att avgöra om AD FS 2.0 orsakar inloggningsproblemet i Outlook.

    1. Öka detaljnivån till följande nod i testinformationsträdet :

      Testa RPC/HTTP-anslutning

      • ExRCA försöker testa automatisk upptäckt för john@contoso.com

      • Försök med varje metod för att kontakta tjänsten för automatisk upptäckt

      • Försöker kontakta tjänsten för automatisk upptäckt med hjälp av HTTP-omdirigeringsmetoden

      • Försöker skicka en POST-begäran för automatisk upptäckt till potentiella URL:er för automatisk upptäckt

      • ExRCA försöker hämta och XML-autodiscover-svar från URL:en https://autodiscover-s.outlook.com/Autodiscover/Autodiscover.xml för användaren

        Skärmbild av den SSO-aktiverade postlådan och testresultatet för standardpostlådan.

    2. Kontrollera om båda följande villkor är uppfyllda:

      • Det federerade kontot kan inte komma åt automatisk upptäckt och får felmeddelandet "HTTP 401 authorized response".
      • Standardanvändarkontot kan komma åt automatisk upptäckt.

    Om båda villkoren är uppfyllda har du bekräftat att SSO-fel gör att Outlook-autentiseringen misslyckas.

Lösning 1 – Exponera den lokala AD FS 2.0-federationstjänsten för Internet

Konfigurera en AD FS 2.0-federationsserverproxy för den lokala AD FS 2.0-miljön (eller konfigurera en omvänd brandväggsproxy för AD FS 2.0 Federation Service) som stöder enkel inloggning och publicera sedan proxyn till Internet.

Lösning 2 – Felsöka problem med AD FS 2.0-proxyservern

Mer information om hur du felsöker problem med AD FS 2.0-proxyservern finns i Felsöka problem med AD FS-slutpunktsanslutning när användare loggar in på Microsoft 365, Intune eller Azure.

Behöver du fortfarande hjälp? Gå till Webbplatsen för Microsoft Community .