При входе федеративного пользователя в Microsoft 365, Azure или Intune

  • Статья
  • Применяется к:
    Cloud Services (Web roles/Worker roles), Azure Active Directory, Azure Backup, Microsoft Intune, Microsoft 365

Проблема

Когда федеративный пользователь пытается войти в облачную службу Майкрософт, например Microsoft 365, Microsoft Azure или Microsoft Intune, пользователь получает следующее сообщение об ошибке от службы федерации Active Directory (AD FS) (AD FS):

There was a problem accessing the site. Try to browse to the site again.
If the problem persists, contact the administrator of this site and provide the reference number to identify the problem.
Reference number: <GUID>

При возникновении этой ошибки адресная строка веб-браузера указывает на локальную конечную точку AD FS по адресу, который выглядит следующим образом:

"https://sts.domain.com/adfs/ls/?cbcxt=& vv=&username=username%40domain.com&mkt=&lc=1033&wa=wsignin1.0&wtrealm=urn:federation:MicrosoftOnline&wctx=MEST%3D0%26LoginOptions%3D2%26wa%3Dwsignin1.0%26rpsnv%3D2%26ct%3D1299115248%26rver%3D6.1.6206.0%26wp%3DMCMBI%26wreply%3Dhttps:%252F%252Fportal.office.com%252FDefault.aspx%26lc%3D1033%26id%3D271346%26bk%3D1299115248"

Причина

Эта проблема может возникнуть по одной из следующих причин:

  • Настройка единого входа (SSO) через AD FS не завершена.
  • Срок действия сертификата подписи маркера AD FS истек.
  • Утверждения политики доступа клиента AD FS настроены неправильно.
  • Доверие проверяющей стороны с Microsoft Entra ID отсутствует или настроено неправильно.
  • Прокси-сервер федерации AD FS настроен неправильно или предоставляется неправильно.
  • Учетная запись AD FS IUSR не имеет разрешения пользователя "Олицетворить клиента после проверки подлинности".

Решение

Чтобы устранить эту проблему, используйте метод, подходящий для вашей ситуации.

Сценарий 1. Истек срок действия сертификата подписи маркера AD FS

Проверьте, истек ли срок действия сертификата для подписи маркеров.

Чтобы проверка, истек ли срок действия сертификата подписи маркеров, выполните следующие действия.

  1. Нажмите кнопку Пуск, выберите Все программы, а затем — Администрирование, а затем — УПРАВЛЕНИЕ AD FS (2.0).
  2. В консоль управления AD FS щелкните Служба, сертификаты, а затем проверьте даты вступления в силу и окончания срока действия сертификата подписи маркера AD FS.

Если срок действия сертификата истек, его необходимо обновить, чтобы восстановить функцию проверки подлинности единого входа.

Продление сертификата подписи маркера (если срок действия сертификата истек)

Чтобы обновить сертификат подписи маркеров на основном сервере AD FS с помощью самозаверяющего сертификата, выполните следующие действия.

  1. В том же консоль управления AD FS щелкните Служба, сертификаты, а затем в разделе **Сертификации **в области Действия щелкните Добавить сертификат Token-Signing.
  2. Если появится предупреждение "Сертификаты не могут быть изменены, пока включена функция автоматического смены сертификатов AD FS", перейдите к шагу 3. В противном случае проверка даты вступления в силу и окончания срока действия сертификата. Если сертификат успешно обновлен, вам не нужно выполнять шаги 3 и 4.
  3. Если сертификат не продлен, нажмите кнопку Пуск, выберите пункт Все программы, выберите стандартные, щелкните папку Windows PowerShell, щелкните правой кнопкой мыши Windows PowerShell и выберите команду Запуск от имени администратора.
  4. В командной строке Windows PowerShell введите следующие команды. Нажмите клавишу ВВОД после ввода каждой команды:
    • Add-PSSnapin Microsoft.Adfs.Powershell
    • Update-ADFSCertificate -CertificateType: Token-Signing

Чтобы обновить сертификат подписи маркеров на основном сервере AD FS с помощью сертификата, подписанного центром сертификации (ЦС), выполните следующие действия.

  1. Создайте файл WebServerTemplate.inf. Для этого выполните следующие действия:

    1. Запустите Блокнот и откройте новый пустой документ.

    2. Вставьте в файл следующее:

      [Version] Signature=$Windows NT$[NewRequest] ;EncipherOnly=False Exportable=True KeyLength=2048 KeySpec=1 KeyUsage=0xa0MachineKeySet=True ProviderName="Microsoft RSA SChannel Cryptographic Provider"
ProviderType=12 RequestType=CMC subject="CN=adfs.contoso.com"[EnhancedKeyUsageExtension] OID=1.3.6.1.5.5.7.3.1 [RequestAttributes]

    3. В файле измените subject="CN=adfs.contoso.com" на следующее:

      subject="CN=your-federation-service-name"

    4. В меню Файл выберите команду Сохранить как.

    5. В диалоговом окне "Сохранить как " щелкните Все файлы (.) ** в поле Тип файла .

    6. Введите WebServerTemplate.inf в поле Имя файла и нажмите кнопку Сохранить.

  2. Скопируйте файл WebServerTemplate.inf на один из серверов федерации AD FS.

  3. На сервере AD FS откройте окно административной командной строки.

  4. С помощью команды cd(change directory) перейдите в каталог, в который вы скопировали INF-файл.

  5. Введите следующую команду и нажмите клавишу ВВОД:

    CertReq.exe -New WebServerTemplate.inf AdfsSSL.req

  6. Отправьте выходной файл AdfsSSL.req в ЦС для подписи.

  7. ЦС вернет часть подписанного открытого ключа в формате .p7b или .cer. Скопируйте этот файл на сервер AD FS, где был создан запрос.

  8. На сервере AD FS откройте окно административной командной строки.

  9. Используйте команду cd(change directory) для перехода в каталог, в который вы скопировали P7B-файл или .cer файл.

  10. Введите следующую команду и нажмите клавишу ВВОД:

    CertReq.exe -Accept "file-from-your-CA-p7b-or-cer"

Завершение восстановления функций единого входа

Независимо от того, используется ли самозаверяющий сертификат или сертификат, подписанный ЦС, необходимо завершить восстановление функциональности проверки подлинности единого входа. Для этого выполните следующие действия:

  1. Добавьте доступ на чтение к закрытому ключу для учетной записи службы AD FS на основном сервере AD FS. Для этого выполните следующие действия:
    1. Нажмите кнопку Пуск, нажмите кнопку Выполнить, введите mmc.exe, а затем нажмите клавишу ВВОД.
    2. В меню Файл щелкните Добавить или удалить оснастку.
    3. Дважды щелкните Сертификаты, выберите Учетная запись компьютера и нажмите кнопку Далее.
    4. Выберите Локальный компьютер, нажмите кнопку Готово, а затем нажмите кнопку ОК.
    5. Последовательно разверните узлы Сертификаты (локальный компьютер), Личные и Сертификаты.
    6. Щелкните правой кнопкой мыши новый сертификат для подписи маркеров, наведите указатель на пункт Все задачи и выберите пункт Управление закрытыми ключами.
    7. Добавьте доступ на чтение к учетной записи службы AD FS и нажмите кнопку ОК.
    8. Закройте оснастку "Сертификаты".
  2. Обновите отпечаток нового сертификата и дату доверия проверяющей стороны с помощью Microsoft Entra ID. Для этого см. раздел "Обновление конфигурации федеративного домена Microsoft 365" статьи Обновление или исправление параметров федеративного домена в Microsoft 365, Azure или Intune.
  3. Повторно создайте конфигурацию доверия прокси-сервера AD FS. Для этого выполните следующие действия:
    1. Перезапустите службу Windows AD FS на основном сервере AD FS.
    2. Подождите 10 минут, пока сертификат реплицируется на всех членов фермы серверов федерации, а затем перезапустите службу Windows AD FS на остальных серверах AD FS.
    3. Повторно запустите мастер настройки прокси-сервера AD FS на каждом прокси-сервере AD FS. Дополнительные сведения см. в разделе Настройка компьютера для роли прокси-сервера федерации.

Сценарий 2. Вы недавно обновили политику клиентского доступа с помощью утверждений, и теперь вход не работает

Проверьте, применена ли политика клиентского доступа правильно. Дополнительные сведения см. в статье Ограничение доступа к службам Microsoft 365 на основе расположения клиента.

Сценарий 3. Конечная точка метаданных федерации или доверие проверяющей стороны могут быть отключены

Включите конечную точку метаданных федерации и доверие проверяющей стороны с помощью Microsoft Entra ID на основном сервере AD FS. Для этого выполните следующие действия:

  1. Откройте консоль управления AD FS 2.0.
  2. Убедитесь, что конечная точка метаданных федерации включена. Для этого выполните следующие действия:
    1. В области навигации слева перейдите к AD FS (2.0), Служба, Конечные точки.
    2. В центральной области щелкните правой кнопкой мыши запись /Federation Metadata/2007-06/FederationMetadata.xml , а затем выберите включить и включить на прокси-сервере.
  3. Убедитесь, что доверие проверяющей стороны с Microsoft Entra ID включено. Для этого выполните следующие действия:
    1. В области навигации слева перейдите к AD FS (2.0), затем Отношения доверия, а затем — Отношения доверия проверяющей стороны.
    2. Если Microsoft Office 365 платформа удостоверений присутствует, щелкните правой кнопкой мыши эту запись и выберите пункт Включить.
  4. Восстановите доверие проверяющей стороны с помощью Microsoft Entra ID, см. раздел "Обновление свойств доверия" статьи Проверка единого входа и управление ими в AD FS.

Сценарий 4. Доверие проверяющей стороны может отсутствовать или повреждено

Удалите и повторно добавьте доверие проверяющей стороны. Для этого выполните следующие действия:

  1. Войдите на основной сервер AD FS.
  2. Нажмите кнопку Пуск, наведите указатель мыши на пункт Все программы, выберите Администрирование, а затем — УПРАВЛЕНИЕ AD FS (2.0).
  3. В консоль управления разверните узел AD FS (2.0), разверните узел Отношения доверия, а затем разверните узел Отношения доверия с проверяющей стороной.
  4. Если Microsoft Office 365 платформа удостоверений присутствует, щелкните правой кнопкой мыши эту запись и выберите команду Удалить.
  5. Повторно добавьте доверие проверяющей стороны, см. раздел "Обновление свойств доверия" статьи Проверка единого входа и управление ими в AD FS.

Сценарий 5. Учетная запись службы AD FS не имеет разрешения пользователя "Олицетворить клиент после проверки подлинности"

Сведения о том, как предоставить пользователю разрешение "Олицетворить клиент после проверки подлинности" учетной записи службы AD FS IUSR, см. в разделе Событие с идентификатором 128 — Windows NT конфигурации приложения на основе маркеров.

Ссылки

Дополнительные сведения об устранении проблем со входом федеративных пользователей см. в следующих статьях базы знаний Майкрософт:

  • 2530569 устранение неполадок при настройке единого входа в Microsoft 365, Intune или Azure
  • 2712961 Устранение неполадок с подключением к конечной точке AD FS при входе пользователей в Microsoft 365, Intune или Azure

Требуется дополнительная помощь? Перейдите на веб-сайт Сообщества Майкрософт или на веб-сайт форумов Microsoft Entra.