La connexion à Microsoft 365, Azure ou Intune échoue après avoir modifié le point de terminaison du service de fédération

  • Article
  • S’applique à:
    Cloud Services (Web roles/Worker roles), Azure Active Directory, Microsoft Intune, Azure Backup, Microsoft 365

Problème

Après avoir modifié les paramètres de point de terminaison de service Services ADFS (AD FS) dans la console de gestion AD FS, l’authentification unique (SSO) vers un service cloud Microsoft tel que Microsoft 365, Microsoft Azure ou Microsoft Intune échoue et vous rencontrez l’un des symptômes suivants :

  • Les utilisateurs fédérés ne peuvent pas se connecter à Microsoft 365, Azure ou Intune à l’aide d’applications clientes enrichies.
  • Les applications de navigateur invitent à plusieurs reprises les utilisateurs à entrer des informations d’identification lorsqu’ils tentent de s’authentifier auprès d’AD FS pendant l’authentification unique.

Cause

Ce problème peut se produire lorsque lʼune des conditions suivantes est remplie :

  • Les points de terminaison de service AD FS sont configurés de manière inappropriée.
  • L’authentification Kerberos sur le serveur AD FS est interrompue.

Solution

Pour résoudre ce problème, utilisez l’une des méthodes suivantes, en fonction de votre situation.

Résolution 1 : Restaurer la configuration par défaut du point de terminaison de service AD FS

Pour restaurer les paramètres de point de terminaison de service par défaut AD FS, procédez comme suit sur le serveur AD FS principal :

  1. Ouvrez la console de gestion AD FS et, dans le volet de navigation gauche, accédez à AD FS, puis Service, puis Points de terminaison.

    Capture d’écran montrant les étapes à suivre pour case activée les paramètres de point de terminaison de service par défaut D FS.

  2. Examinez la liste des points de terminaison et vérifiez que les entrées de cette liste sont activées comme indiqué (au minimum) :

    Chemin d’URL Activé Proxy activé
    /adfs/ls/ True True
    /adfs/services/trust/2005/windowstransport Vrai Faux
    /adfs/services/trust/2005/certificatemixed True True
    /adfs/services/trust/2005/certificatetransport True True
    /adfs/services/trust/2005/usernamemixed True True
    /adfs/services/trust/2005/kerberosmixed Vrai Faux
    /adfs/services/trust/2005/issuedtokenmixedasymmetricbasic256 True True
    /adfs/services/trust/2005/issuedtokenmixedsymmetricbasic256 True True
    /adfs/services/trust/13/kerberosmixed Vrai Faux
    /adfs/services/trust/13/certificatemixed True True
    /adfs/services/trust/13/usernamemixed True True
    /adfs/services/trust/13/issuedtokenmixedasymmetricbasic256 True True
    /adfs/services/trust/13/issuedtokenmixedsymmetricbasic256 True True
    /adfs/services/trusttcp/windows Vrai Faux
    /adfs/services/trust/mex True True
    /FederationMetadata/2007-06/FederationMetadata.xml True True
    /adfs/ls/federationserverservice.asmx Vrai Faux

  3. Si un élément de la liste ne correspond pas aux paramètres par défaut du tableau précédent, cliquez avec le bouton droit sur l’entrée, puis sélectionnez Activer ou Activer sur le proxy si nécessaire.

    Remarque

    WS-Trust points de terminaison Windows (/adfs/services/trust/2005/windowstransport et /adfs/services/trust/13/windowstransport) sont destinés uniquement aux points de terminaison intranet qui utilisent la liaison WIA sur HTTPS.

    Ces points de terminaison doivent toujours être désactivés sur le proxy (c’est-à-dire désactivés à partir de l’extranet) pour protéger les verrouillages de compte AD.

Résolution 2 : Résoudre les problèmes d’authentification Kerberos

Pour plus d’informations sur la résolution des problèmes d’authentification Kerberos, consultez l’article suivant de la Base de connaissances Microsoft :

2461628 Un utilisateur fédéré est invité à entrer des informations d’identification à plusieurs reprises lors de la connexion à Microsoft 365, Azure ou Intune

Informations supplémentaires

Encore besoin d’aide ? Rejoignez la Communauté Microsoft ou accédez au site web Forums Microsoft Entra.