Aanmelden bij Microsoft 365, Azure of Intune mislukt nadat u het federatieservice-eindpunt hebt gewijzigd

  • Artikel
  • Van toepassing op:
    Cloud Services (Web roles/Worker roles), Azure Active Directory, Microsoft Intune, Azure Backup, Microsoft 365

Probleem

Nadat u de instellingen voor Active Directory Federation Services (AD FS)-service-eindpunt in de AD FS-beheerconsole hebt gewijzigd, mislukt eenmalige aanmelding (SSO) in een Microsoft-cloudservice, zoals Microsoft 365, Microsoft Azure of Microsoft Intune, en ondervindt u een van de volgende symptomen:

  • Federatieve gebruikers kunnen zich niet aanmelden bij Microsoft 365, Azure of Intune met behulp van uitgebreide clienttoepassingen.
  • Browsertoepassingen vragen gebruikers herhaaldelijk om referenties wanneer ze proberen te verifiëren bij AD FS tijdens eenmalige aanmeldingsverificatie.

Oorzaak

Dit probleem kan optreden als aan een van de volgende voorwaarden wordt voldaan:

  • De AD FS-service-eindpunten zijn onjuist geconfigureerd.
  • Kerberos-verificatie op de AD FS-server is verbroken.

Oplossing

U kunt dit probleem oplossen door een van de volgende methoden te gebruiken, afhankelijk van uw situatie.

Oplossing 1: de standaardconfiguratie van het AD FS-service-eindpunt herstellen

Volg deze stappen op de primaire AD FS-server om de standaardinstellingen van het AD FS-service-eindpunt te herstellen:

  1. Open de AD FS-beheerconsole en blader in het linkernavigatiedeelvenster naar AD FS, vervolgens Service en vervolgens Eindpunten.

    Schermopname met stappen voor het controleren van de standaardinstellingen voor service-eindpunten.

  2. Bekijk de lijst met eindpunten en zorg ervoor dat de vermeldingen in deze lijst zijn ingeschakeld zoals aangegeven (minimaal):

    URL-pad Ingeschakeld Proxy ingeschakeld
    /adfs/ls/ Waar Waar
    /adfs/services/trust/2005/windowstransport Waar False
    /adfs/services/trust/2005/certificatemixed Waar Waar
    /adfs/services/trust/2005/certificatetransport Waar Waar
    /adfs/services/trust/2005/usernamemixed Waar Waar
    /adfs/services/trust/2005/kerberosmixed Waar False
    /adfs/services/trust/2005/issuedtokenmixedasymmetricbasic256 Waar Waar
    /adfs/services/trust/2005/issuedtokenmixedsymmetricbasic256 Waar Waar
    /adfs/services/trust/13/kerberosmixed Waar False
    /adfs/services/trust/13/certificatemixed Waar Waar
    /adfs/services/trust/13/usernamemixed Waar Waar
    /adfs/services/trust/13/issuedtokenmixedasymmetricbasic256 Waar Waar
    /adfs/services/trust/13/issuedtokenmixedsymmetricbasic256 Waar Waar
    /adfs/services/trusttcp/windows Waar False
    /adfs/services/trust/mex Waar Waar
    /FederationMetadata/2007-06/FederationMetadata.xml Waar Waar
    /adfs/ls/federationserverservice.asmx Waar False

  3. Als een item in de lijst niet overeenkomt met de standaardinstellingen in de vorige tabel, klikt u met de rechtermuisknop op de vermelding en selecteert u zo nodig Inschakelen of Inschakelen op proxy .

    Opmerking

    WS-Trust Windows-eindpunten (/adfs/services/trust/2005/windowstransport en /adfs/services/trust/13/windowstransport) zijn alleen bedoeld als intranetgerichte eindpunten die gebruikmaken van WIA-binding op HTTPS.

    Deze eindpunten moeten altijd uitgeschakeld blijven op de proxy (d.w.w. uitgeschakeld vanuit het extranet) om vergrendelingen van AD-accounts te beveiligen.

Oplossing 2: Problemen met Kerberos-verificatie oplossen

Zie het volgende Microsoft Knowledge Base-artikel voor meer informatie over het oplossen van problemen met Kerberos-verificatie:

2461628 Een federatieve gebruiker wordt herhaaldelijk om referenties gevraagd tijdens het aanmelden bij Microsoft 365, Azure of Intune

Meer informatie

Meer hulp nodig? Ga naar de Microsoft-community of de website Microsoft Entra Forums.