Comment résoudre les problèmes de connexion de point de terminaison AD FS lorsque les utilisateurs se connectent à Microsoft 365, Intune ou Azure
Problème
Lorsque des utilisateurs se connectent à un service cloud Microsoft tel que Microsoft 365, Microsoft Intune ou Microsoft Azure à l’aide d’un compte d’utilisateur fédéré, la connexion au service Services ADFS (AD FS) échoue uniquement lorsque les utilisateurs tentent d’effectuer les opérations suivantes :
- Se connecter à partir d’un emplacement Internet distant
- Utiliser des connexions de messagerie pour se connecter
Cette situation entraîne également l’échec des tests d’authentification unique effectués par l’analyseur de connectivité à distance.
Pour plus d’informations sur l’exécution de l’analyseur de connectivité à distance pour tester l’authentification unique dans Microsoft 365, consultez les articles suivants dans la Base de connaissances Microsoft :
- 2650717 Comment utiliser Remote Connectivity Analyzer pour résoudre les problèmes d’authentification unique pour Microsoft 365, Azure ou Intune
- 2466333 les utilisateurs fédérés ne peuvent pas se connecter à une boîte aux lettres Exchange Online
Cause
Ces échecs peuvent se produire si le service AD FS n’est pas correctement exposé à Internet. En règle générale, le serveur proxy AD FS est utilisé à cet effet, et les problèmes liés au serveur proxy AD FS entraînent ces symptômes. Les problèmes courants sont les suivants :
Certificat SSL expiré affecté au serveur proxy AD FS
Souvent, le même certificat SSL est utilisé pour sécuriser la communication (HTTPS) pour le service de fédération AD FS et le serveur proxy AD FS. Lorsque ce certificat arrive à expiration et que le certificat est renouvelé ou mis à jour sur la batterie de serveurs du service de fédération AD FS, le certificat SSL doit également être mis à jour sur tous les serveurs proxy AD FS. Si le certificat SSL du serveur proxy AD FS n’est pas mis à jour dans ce cas, les connexions Internet au service AD FS peuvent échouer, même si le service de fédération AD FS est sain.
Configuration incorrecte des points de terminaison d’authentification IIS
Le rôle du serveur proxy AD FS est de recevoir une communication Internet dirigée vers AD FS et de relayer cette communication au service de fédération AD FS. Par conséquent, il est important que le paramètre d’authentification IIS du service de fédération AD FS et du serveur proxy soit complémentaire. Lorsque les paramètres d’authentification IIS du serveur proxy AD FS ne sont pas définis pour compléter les paramètres d’authentification IIS du service de fédération AD FS, la connexion peut échouer ou générer plusieurs invites inattendues.
Confiance rompue entre le serveur proxy AD FS et le service de fédération AD FS
Le service proxy AD FS est conçu pour être installé sur un ordinateur non joint à un domaine. Par conséquent, la communication entre le serveur proxy AD FS et le service de fédération AD FS ne peut pas être basée sur une approbation Active Directory ou des informations d’identification. Au lieu de cela, la communication entre ces deux rôles de serveur est établie à l’aide d’un jeton qui est émis au serveur proxy AD FS par le service de fédération AD FS et signé par le certificat de signature de jeton AD FS. Lorsque cette approbation a expiré ou n’est pas valide, le service proxy AD FS ne peut pas relayer les requêtes AD FS, et l’approbation doit être reconstruite pour restaurer les fonctionnalités.
Solution
Pour résoudre ce problème, utilisez l’une des méthodes suivantes, en fonction de votre situation, sur tous les serveurs proxy AD FS défectueux.
Méthode 1 : Résoudre les problèmes de certificat SSL AD FS sur le serveur AD FS
Pour cela, procédez comme suit :
Résolvez les problèmes de certificat SSL sur le service de fédération AD FS (et non le service proxy) à l’aide de l’article suivant de la Base de connaissances Microsoft :
2523494 Vous recevez un avertissement de certificat d’AD FS lorsque vous essayez de vous connecter à Microsoft 365, Azure ou Intune
Si le certificat SSL du service de fédération AD FS fonctionne correctement, mettez à jour le certificat SSL sur le serveur proxy AD FS à l’aide des fonctions d’exportation et d’importation de certificat. Pour plus d’informations, consultez l’article suivant de la Base de connaissances Microsoft :
179380 Comment supprimer, importer et exporter des certificats numériques
Méthode 2 : Rétablir les paramètres d’authentification IIS du serveur proxy AD FS à la valeur par défaut
Pour ce faire, suivez les étapes décrites dans résolution 1 de l’article suivant de la Base de connaissances Microsoft pour le serveur proxy AD FS :
2461628 Un utilisateur fédéré est invité à entrer des informations d’identification à plusieurs reprises lors de la connexion à Microsoft 365, Azure ou Intune
Méthode 3 : Réexécuter l’Assistant Configuration du proxy AD FS
Pour ce faire, réexécutez l’Assistant Configuration du serveur proxy de fédération AD FS à partir de l’interface Outils d’administration de tous les serveurs proxy AD FS affectés.
Remarque
Il est courant de recevoir un avertissement de l’étape « Déployer le site web de connexion du navigateur » lorsque vous réexécutez l’Assistant Configuration. Cela n’indique pas que l’Assistant n’a pas reconstruit l’approbation entre le serveur proxy AD FS et le service de fédération AD FS.
Informations supplémentaires
Pour plus d’informations sur la façon d’exposer le service AD FS à Internet à l’aide d’un serveur proxy AD FS, accédez au site web Microsoft suivant :
Planifier et déployer AD FS 2.0 pour une utilisation avec l’authentification unique
Encore besoin d’aide ? Accédez à Microsoft Community.
Commentaires
Bientôt disponible : Tout au long de 2024, nous allons supprimer progressivement GitHub Issues comme mécanisme de commentaires pour le contenu et le remplacer par un nouveau système de commentaires. Pour plus d’informations, consultez https://aka.ms/ContentUserFeedback.
Envoyer et afficher des commentaires pour