Сбой входа в Microsoft 365, Azure или Intune после изменения конечной точки службы федерации

  • Статья
  • Применяется к:
    Cloud Services (Web roles/Worker roles), Azure Active Directory, Microsoft Intune, Azure Backup, Microsoft 365

Проблема

После изменения параметров конечной точки службы службы федерации Active Directory (AD FS) (AD FS) в консоли управления AD FS сбой проверки подлинности единого входа в облачную службу Майкрософт, например Microsoft 365, Microsoft Azure или Microsoft Intune, и у вас возникает один из следующих симптомов:

  • Федеративные пользователи не могут войти в Microsoft 365, Azure или Intune с помощью многофункциональных клиентских приложений.
  • Браузерные приложения неоднократно запрашивают у пользователей учетные данные при попытке пройти проверку подлинности в AD FS во время проверки подлинности единого входа.

Причина

Эта проблема может возникнуть, если выполняется одно из следующих условий:

  • Конечные точки службы AD FS настроены неправильно.
  • Проверка подлинности Kerberos на сервере AD FS нарушена.

Решение

Чтобы устранить эту проблему, используйте один из следующих методов в соответствии с вашей ситуацией.

Решение 1. Восстановление конфигурации конечной точки службы AD FS по умолчанию

Чтобы восстановить параметры конечной точки службы AD FS по умолчанию, выполните следующие действия на основном сервере AD FS:

  1. Откройте консоль управления AD FS и в области навигации слева перейдите к разделу AD FS, затем Служба, а затем Конечные точки.

    Снимок экрана: шаги по проверка параметров конечной точки службы по умолчанию A D F S.

  2. Изучите список конечных точек и убедитесь, что записи в этом списке включены как указано (как минимум):

    URL-путь Включено Включен прокси-сервер
    /adfs/ls/ Да Да
    /adfs/services/trust/2005/windowstransport Верно. Неверно.
    /adfs/services/trust/2005/certificatemixed Да Да
    /adfs/services/trust/2005/certificatetransport Да Да
    /adfs/services/trust/2005/usernamemixed Да Да
    /adfs/services/trust/2005/kerberosmixed Верно. Неверно.
    /adfs/services/trust/2005/issuedtokenmixededasymmetricbasic256 Да Да
    /adfs/services/trust/2005/issuedtokenmixedsymmetricbasic256 Да Да
    /adfs/services/trust/13/kerberosmixed Верно. Неверно.
    /adfs/services/trust/13/certificatemixed Да Да
    /adfs/services/trust/13/usernamemixed Да Да
    /adfs/services/trust/13/issuedtokenmixededasymmetricbasic256 Да Да
    /adfs/services/trust/13/issuedtokenmixedsymmetricbasic256 Да Да
    /adfs/services/trusttcp/windows Верно. Неверно.
    /adfs/services/trust/mex Да Да
    /FederationMetadata/2007-06/FederationMetadata.xml Да Да
    /adfs/ls/federationserverservice.asmx Верно. Неверно.

  3. Если элемент в списке не соответствует параметрам по умолчанию в предыдущей таблице, щелкните запись правой кнопкой мыши и при необходимости выберите Включить или Включить на прокси-сервере .

    Примечание.

    WS-Trust конечные точки Windows (/adfs/services/trust/2005/windowstransport и /adfs/services/trust/13/windowstransport) предназначены только для конечных точек, для которых используется привязка WIA для HTTPS.

    Эти конечные точки всегда должны быть отключены на прокси-сервере (т. е. отключены из экстрасети) для защиты блокировки учетных записей AD.

Решение 2. Устранение неполадок с проверкой подлинности Kerberos

Дополнительные сведения об устранении неполадок с проверкой подлинности Kerberos см. в следующей статье базы знаний Майкрософт:

2461628 Федеративный пользователь неоднократно запрашивает учетные данные при входе в Microsoft 365, Azure или Intune

Дополнительные сведения

Требуется дополнительная помощь? Перейдите на веб-сайт Сообщества Майкрософт или на веб-сайт форумов Microsoft Entra.