Устранение неполадок с подключением к конечной точке AD FS при входе пользователей в Microsoft 365, Intune или Azure

Проблема

Когда пользователи входят в облачную службу Майкрософт, например Microsoft 365, Microsoft Intune или Microsoft Azure, используя федеративную учетную запись пользователя, подключение к службе службы федерации Active Directory (AD FS) (AD FS) завершается сбоем только в том случае, если пользователи пытаются выполнить следующие действия.

  • Подключение из удаленного расположения в Интернете
  • Использование подключений по электронной почте для входа

Эта ситуация также приводит к сбою тестирования единого входа, которое выполняет анализатор удаленного подключения.

Дополнительные сведения о запуске анализатора удаленного подключения для проверки проверки подлинности единого входа в Microsoft 365 см. в следующих статьях базы знаний Майкрософт:

  • 2650717 Как использовать анализатор удаленного подключения для устранения проблем с единым входом в Microsoft 365, Azure или Intune
  • 2466333 федеративным пользователям не удается подключиться к почтовому ящику Exchange Online

Причина

Эти сбои могут возникать, если служба AD FS не предоставлена в Интернете должным образом. Обычно для этой цели используется прокси-сервер AD FS, и проблемы с прокси-сервером AD FS вызывают эти симптомы. Ниже перечислены распространенные проблемы.

  • SSL-сертификат с истекшим сроком действия, назначенный прокси-серверу AD FS

    Часто один и тот же SSL-сертификат используется для защиты обмена данными (HTTPS) как для службы федерации AD FS, так и для прокси-сервера AD FS. Когда срок действия этого сертификата истек, а сертификат обновляется или обновляется на ферме служб федерации AD FS, SSL-сертификат также необходимо обновить на всех прокси-серверах AD FS. Если SSL-сертификат прокси-сервера AD FS в этом случае не обновляется, подключение к Интернету к службе AD FS может завершиться ошибкой, даже если служба федерации AD FS работоспособна.

  • Неправильная конфигурация конечных точек проверки подлинности IIS

    Роль прокси-сервера AD FS заключается в получении обмена данными через Интернет, направленных на AD FS, и для передачи этого сообщения в службу федерации AD FS. Поэтому важно, чтобы параметры проверки подлинности IIS службы федерации AD FS и прокси-сервера были взаимодополняющими. Если параметры проверки подлинности iis прокси-сервера AD FS не заданы в дополнение к параметрам проверки подлинности СЛУЖБЫ федерации AD FS, вход может завершиться ошибкой или вызвать несколько непредвиденных запросов.

  • Нарушено доверие между прокси-сервером AD FS и службой федерации AD FS

    Служба прокси-сервера AD FS предназначена для установки на компьютере, не присоединенном к домену. Таким образом, обмен данными между прокси-сервером AD FS и службой федерации AD FS не может быть основан на доверии Active Directory или учетных данных. Вместо этого связь между этими двумя ролями сервера устанавливается с помощью маркера, который выдается прокси-серверу AD FS службой федерации AD FS и подписывается сертификатом подписи маркеров AD FS. Если срок действия этого доверия истек или недопустим, служба прокси-сервера AD FS не может ретранслировать запросы AD FS, и доверие необходимо перестроить для восстановления функциональных возможностей.

Решение

Чтобы устранить эту проблему, используйте один из следующих методов на всех неисправных прокси-серверах AD FS.

Способ 1. Устранение проблем с SSL-сертификатом AD FS на сервере AD FS

Для этого выполните следующие действия:

  1. Устранение проблем с SSL-сертификатами в службе федерации AD FS (не в прокси-службе) с помощью следующей статьи базы знаний Майкрософт:

    2523494 при попытке входа в Microsoft 365, Azure или Intune вы получаете предупреждение о сертификате от AD FS.

  2. Если SSL-сертификат службы федерации AD FS работает правильно, обновите SSL-сертификат на прокси-сервере AD FS с помощью функций экспорта и импорта сертификатов. Дополнительные сведения см. в следующей статье базы знаний Майкрософт:
    179380 Удаление, импорт и экспорт цифровых сертификатов

Способ 2. Сброс параметров проверки подлинности iis прокси-сервера AD FS до значения по умолчанию

Для этого выполните действия, описанные в решении 1 следующей статьи базы знаний Майкрософт для прокси-сервера AD FS:

2461628 Федеративный пользователь неоднократно запрашивает учетные данные при входе в Microsoft 365, Azure или Intune

Способ 3. Повторное запуск мастера настройки прокси-сервера AD FS

Для этого повторно запустите мастер настройки прокси-сервера федерации AD FS из интерфейса администрирования всех затронутых прокси-серверов AD FS.

Примечание.

Обычно при повторном запуске мастера настройки появляется предупреждение от шага "Развертывание веб-сайта для входа в браузер". Это не означает, что мастер не перестроил доверие между прокси-сервером AD FS и службой федерации AD FS.

Дополнительная информация

Дополнительные сведения о том, как предоставить службу AD FS в Интернете с помощью прокси-сервера AD FS, перейдите на следующий веб-сайт Майкрософт:

Планирование и развертывание AD FS 2.0 для использования с единым вхоздом

Требуется дополнительная помощь? Зайдите на сайт сообщества Майкрософт.