Azure Active Directory와 Office 365 AD FS 문제 해결

Azure Active Directory 또는 Office 365 페더레이션된 사용자에 대 한 인증 문제에 대 한 문제 해결 워크플로 설명 합니다.

증상

  • 페더레이션된 사용자가 로그온 할 수 없습니다 Office 365 또는 Microsoft Azure domainxx.onmicrosoft.com UPN 접미사를 가진 관리 되는 클라우드 전용 사용자 문제 없이 로그온 할 수 있지만.
  • Active Directory 페더레이션 서비스 (ADFS)로 리디렉션 또는 STS 페더레이션된 사용자에 대 한 발생 하지 않습니다. 또는 "페이지를 표시할 수 없습니다." 오류는 발생 합니다.
  • AD FS를 인증 하려고 할 때 인증서 관련 경고 메시지가 브라우저에 나타납니다. 이러한 인증서 유효성 검사에 실패 또는 인증서가 신뢰할 수 있는지 설명 합니다.
  • "알 수 없는 인증 방법" 하나 이상의 오류 메시지가 AuthnContext는 지원 되지 않습니다. 리디렉션됩니다 Office 365에서 AD FS 또는 STS 수준에서 또한 오류.
  • AD FS는 "액세스 거부" 오류를 throw합니다.
  • AD FS; 사이트에 액세스 문제가 발생 했다는 오류를 throw 합니다. 참조 ID 번호를 포함합니다.
  • AD FS 수준에서 자격 증명을 묻는 계속 합니다.
  • 페더레이션된 사용자가 외부 네트워크에서 인증할 수 없습니다 또는 외부 네트워크 경로 (예: Outlook)를 사용 하는 응용 프로그램을 사용 합니다.
  • 페더레이션된 사용자가 AD FS에서 토큰 서명 인증서가 변경 후 로그온 수 없습니다.
  • 페더레이션된 사용자가 Microsoft Azure에서 Office 365에 로그인 하는 경우는 "Sorry, 하지만 우리가 문제가 있는 로그인" 오류가 트리거됩니다. 이 오류는 C 8004786, 80041034, 80041317, 80043431, 80048163, 80045C 06 같은 오류 코드 8004789A, 또는 잘못 된 요청

워크플로 문제 해결

  1. Https://login.microsoftonline.com액세스 및 페더레이션된 사용자의 로그인 이름을 입력 합니다 (누군가가@예제에서는. com). Tab 키를 눌러 로그인 상자에서 포커스를 제거 하려면 후 상태 페이지가 변경 되어 "리디렉션" 한 다음에 Active Directory 페더레이션 서비스 (ADFS) 로그인에 대 한 진단트리로 이동 여부를 확인 합니다.

    리디렉션이 발생 하는 경우 다음 페이지를 참조 합니다.

    The screen shot for step 1
    1. 없는 리디렉션이 발생 하는 경우 같은 페이지에 암호를 입력 하 라는 메시지가 나타나면 즉, Azure Active Directory (AD) 또는 Office 365 페더레이션 할 사용자 또는 사용자의 도메인이 없습니다 인식 못합니다. Azure 광고 간에 페더레이션 트러스트를 있는지 여부를 확인 하려면 AD FS 서버와 Office 365 AD PowerShell Azure에서에서 Get msoldomain cmdlet를 실행 하는 또는. 도메인의 연결을 인증 속성에는 다음 스크린 샷과 같이 "연합,"으로 표시 됩니다.

      Step about Federated domain
    2. 리디렉션이 발생 하는 경우 로그인에 대 한 AD FS 서버에 리디렉션되지 않습니다 확인 하는지 여부를 ADFS 서비스 이름을 올바른 IP 및 TCP 포트 443에서 IP에 연결할 수 있는지 여부를 확인 합니다.

      도메인 "연합"으로 표시 되 면 다음 명령을 실행 하 여 페더레이션 트러스트에 대 한 정보를 얻을.
      Get-MsolFederationProperty -DomainName <domain>
      Get-MsolDomainFederationSettings -DomainName <domain>
      URI, URL 및 Office 365 또는 Azure AD가 구성한 페더레이션 파트너의 인증서를 확인 합니다.
  2. AD FS 리디렉션됩니다 브라우저에 인증서 신뢰 관련 오류를 throw 될 수 있습니다 하 고 일부 클라이언트와 장치에 대 한 그 수 수 AD FS 사용 하 여 SSL 세션을 설정할 수 있습니다. 이 문제를 해결하려면, 다음과 같이 하십시오.
    1. 클라이언트에 게 표시 되는 ADFS 서비스 통신 인증서 같은 AD FS에 구성 되어 있는 확인 하십시오.

      The screen shot about step A

      이상적으로 ADFS 서비스를 사용 하 여 SSL 터널을 설정 하려고 하면 클라이언트에 표시 되는 SSL 인증서와 같은 AD FS 서비스 통신 인증서 있어야 합니다.

      AD FS 2.0에서

      • IIS에 인증서 바인딩 기본 첫번째 사이트->.
      • ADFS 스냅인을 사용 하 여 서비스 통신 인증서와 동일한 인증서를 추가 하려면.

      AD FS 2012 r 2.

      • ADFS 스냅인 또는 추가 adfscertificate 명령을 사용 하 여 서비스 통신 인증서를 추가 하려면.
      • 세트 adfssslcertificate 명령을 사용 하 여 동일한 인증서 SSL 바인딩을 설정 합니다.

    2. 클라이언트에서 ADFS 서비스 통신 인증서를 신뢰 해야 합니다.
    3. SNI-사용할 수 없는 클라이언트 2-12 r 2 AD FS 또는 WAP를 사용 하 여 SSL 세션을 설정 하려고 하는, 시도 실패할 수 있습니다. 이 경우, SNI를 지원 하지 않는 클라이언트를 지원 하도록 AD FS 또는 WAP 서버에서 대체 항목을 추가 하는 것이 좋습니다. 자세한 내용은 다음 블로그 게시물을 참조 하십시오.
  3. Office 365에서 리디렉션됩니다 때 AuthnContext AD FS 또는 STS 수준에서 지원 되지 않습니다 내용의 오류 또는 "알 수 없는 인증 방법" 오류가 발생할 수 있습니다. 가장 일반적인 경우 Azure 광고 및 Office 365 인증 방법을 적용 하는 매개 변수를 사용 하 여 AD FS 나 STS로 리디렉션합니다. 인증 방법을 적용 하려면 다음 방법 중 하나를 사용 합니다.
    • WS-페더레이션WAUTH 사용 쿼리 문자열을 강제로 기본 인증 방법입니다.
    • SAML2.0에 대 한다음 사용 합니다.
      <saml:AuthnContext><saml:AuthnContextClassRef>
      urn:oasis:names:tc:SAML:2.0:ac:classes:PasswordProtectedTransport
      </saml:AuthnContextClassRef>
      </saml:AuthnContext>
    강제 인증 방법이 잘못 된 값을 사용 하 여 전송 또는 AD FS 또는 STS에 해당 인증 방법을 지원 하지 않는 경우 인증 된 전에 오류 메시지가 나타납니다.

    다음 표에서 Uri는 WS-페더레이션 수동 인증에 Adfs에서 인식 된 인증 유형을 보여 줍니다.
    원하는 인증 방법wauth URI
    사용자 이름 및 암호 인증urn:oasis:names:tc:SAML:1.0:am:password
    SSL 클라이언트 인증urn:ietf:rfc:2246
    Windows 통합된 인증urn:federation:authentication:windows

    지원 되는 SAML 인증 컨텍스트 클래스

    인증 방법URI의 인증 컨텍스트 클래스
    사용자 이름 및 암호urn:oasis:names:tc:SAML:2.0:ac:classes:Password
    암호로 보호 된 전송urn:oasis:names:tc:SAML:2.0:ac:classes:PasswordProtectedTransport
    전송 계층 보안 (TLS) 클라이언트urn:oasis:names:tc:SAML:2.0:ac:classes:TLSClient
    X.509 인증서urn:oasis:names:tc:SAML:2.0:ac:classes:X509
    Windows 통합된 인증urn:federation:authentication:windows
    Kerberosurn:oasis:names:tc:SAML:2.0:ac:classes:Kerberos

    AD FS 수준 인증 메서드를 지원 하는지 확인 하려면 다음 사항을 확인 합니다.

    AD FS 2.0

    /Adfs/ls/web.config인증 형식에 대 한 항목이 존재 인지를 확인 합니다.

    <microsoft.identityServer.web>
    <localAuthenticationTypes>
    <add name="Forms" page="FormsSignIn.aspx" />
    < 이름 추가 "통합" 페이지 = = "auth/통합 /" / >
    < 이름 추가 페이지를 "TlsClient" = = "auth/sslclient /" / >
    < 이름 추가 "기본" 페이지 = = "auth/기본 /" / >
    </localAuthenticationTypes>

    AD FS 2.0: 로컬 인증 종류를 변경 하는 방법

    AD FS 2012 R2

    AD FS 관리ADFS 스냅인에서 인증 정책 을 클릭 합니다.

    기본 인증 섹션에서 전역 설정옆에 있는 편집 을 클릭 합니다. 인증 정책을 마우스 오른쪽 단추로 수 있으며 글로벌 기본 인증 편집을 선택 합니다. 또는 작업 창에서 글로벌 기본 인증 편집을 선택 합니다.

    글로벌 인증 정책 편집 창에서 탭의 기본 설정을 글로벌 인증 정책의 일부로 구성할 수 있습니다. 예를 들어, 기본 인증을 위한 엑스트라넷인트라넷에서 사용할 수 있는 인증 방법을 선택할 수 있습니다.

    * * 확인 필요한 인증 방법의 확인란을 선택 합니다.
  4. 에 AD FS를 하 고 자격 증명을 입력 했지만 인증할 수 없습니다 다음 사항을 확인 합니다.
    1. Active Directory 복제 문제

      AD 복제 끊어지면 도메인 컨트롤러에서 사용자 또는 그룹을 변경 동기화 되지 않을 수 있습니다. 도메인 컨트롤러 간에 암호, UPN, GroupMembership또는 Proxyaddress 불일치 (예: 인증 및 클레임)에 대 한 AD FS 응답에 영향을 주는 수 있습니다. AD FS와 같은 사이트에 도메인 컨트롤러에서 시작 해야 합니다. Repadmin /showrepsDCdiag /v 명령을 실행 하면 Adfs는 주로 연락 하는 도메인 컨트롤러에 문제가 있는지 여부를 표시 됩니다.

      광고 변경 모든 도메인 컨트롤러 간에 올바르게 복제 되 고 있는지 확인 하 여 AD 복제 요약을 수집할 수도 있습니다. repadmin /showrepl * /csv > showrepl.csv 출력 복제 상태를 확인 하는 데 도움이 됩니다. 자세한 내용은 문제 해결 Active Directory 복제 문제를 참조 하십시오.
    2. 계정 차단 또는 Active Directory에서 사용할 수 없습니다.

      Adfs를 통해 최종 사용자가 인증 될 때 자신이 받지 않습니다 계정 잠금 또는 사용할 수 없습니다 오류 메시지가. ADFS 로그온 감사에서 계정이 비활성화 되었거나 잠겨 있는지 여부를 잘못 된 암호로 인해 인증 실패 했는지 여부를 확인할 수와 같은 수 있습니다.

      AD FS 및 로그온 서버에서 AD FS에 대 한 감사를 사용 하려면 다음과이 같이 하십시오.
      1. 로컬 또는 도메인 정책을 사용 하 여 성공 및 실패 다음 정책에 대 한 사용.
        • 보안 setting\Local 정책 정책 \ 컴퓨터 구성에서 로그온 이벤트 감사 "
        • 보안 setting\Local 정책 정책 \ 컴퓨터 구성에 있는 개체 액세스 감사 "
        The screen shot about the policies
      2. 다음 정책을 사용 안 함:

        감사: 강제 감사 정책 하위 범주 설정 (Windows Vista 또는 그 이후의) 감사 정책 범주 설정 재정의

        이 정책은 컴퓨터 구성 보안 setting\Local 정책 \ 보안 옵션에에서 있습니다.

        The screen shot about policy

        감사 하 여이 구성할 경우 사용 하 여 고급을 클릭 여기.
      3. 감사에 대해 AD FS를 구성 합니다.
        1. 열기는 AD FS 2.0 관리 스냅인.
        2. 작업 창에서 페더레이션 서비스 속성 편집을 클릭 합니다.
        3. 페더레이션 서비스 속성 대화 상자에서 이벤트 탭을 클릭 합니다.
        4. 성공 감사 실패 감사 확인란을 선택 합니다.

          The sceenshot about enable AD FS auditing
        5. 서버에서 GPupdate /force 를 실행 합니다.
    3. 서비스 사용자 이름 (SPN)이 올바르게 등록

      중복 Spn 또는 AD FS 서비스 계정 이외의 계정에서 등록 된 SPN을 수 있습니다. AD FS 팜 설치의 경우 ADFS 서비스를 실행 중인 서비스 계정 호스트/AD FSservicename SPN 추가 되는지 확인 하십시오. 위치 서비스가 네트워크 서비스에서 실행 되는 AD FS 독립 실행형 설치에 대 한 SPN Adfs를 호스팅하는 서버 컴퓨터 계정 이어야 합니다.

      The screen shot for AD FS service name

      Adfs를 사용 하 여 일시적인 인증 오류가 발생할 수 있습니다 ADFS 서비스에 대 한 중복 Spn 되지 않았는지 입력 되어 있는지 확인 합니다. Spn을 나열 하려면 SETSPN – L < ServiceAccount >을 실행 합니다.

      The screen shot about list SPN

      실행 SETSPN – A 호스트/a D FSservicename ServiceAccount SPN을 추가 합니다.

      실행 SETSPN – X-F 중복 된 Spn을 확인할 수 있습니다.
    4. Active Directory에 중복 된 Upn

      사용자 수 때 SAMAccountName 을 사용 중인 경우 Adfs를 통해 인증할 수 있지만 UPN을 사용 하 여 인증할 수 없습니다. 이 시나리오에서는 Active Directory 두 사용자가 동일한 UPN을 포함할 수 있습니다. 사용자를 추가 하 고 수정 하는 경우 동일한 UPN을 가진 두 명의 사용자가 될 수 있습니다 (예: ADSIedit) 스크립팅을 통해.

      UPN 인증이 시나리오를 사용 하면 중복 된 사용자에 대해 사용자가 인증 됩니다. 따라서 제공 된 자격 증명 유효성이 검사 되지 않습니다.

      특성 값이 같은 광고에 여러 개체가 있는지 여부를 확인 하려면 다음과 같은 쿼리를 사용할 수 있습니다.
      Dsquery * forestroot -filter UserPrincipalName=problemuser_UPN

      UPN 사용 하 여 인증 요청이 올바른 개체에 대 한 유효성을 검사할 수 있도록 중복 된 사용자의 UPN 이름이 변경 되었는지 확인 합니다.
    5. 시나리오에서 Office 365에 로그인 ID와 이메일 주소를 사용 하 고 있는 AD FS 인증을 위해 리디렉션되기 때 동일한 전자 메일 주소를 입력 하면, 인증 감사 로그에 "NO_SUCH_USER" 오류와 함께 실패할 수 있습니다. 다른 로그인 ID를 지원 하도록 AD FS AD FS 인증 이외의 UPN 또는 SAMaccountname 특성을 사용 하 여 사용자를 찾을 수 있도록 구성 해야 자세한 내용은 구성 다른 로그인 ID를 참조 하십시오.

      AD FS 2012 R2에서

      1. 2919355 업데이트를 설치 합니다.
      2. 팜에 페더레이션 서버에서 다음 PowerShell cmdlet를 실행 하 여 AD FS 구성 업데이트 (WID 팜에서이 명령을 실행 해야이 팜의 기본 AD FS 서버에):

        "AD 권한" 설정-AdfsClaimsProviderTrust-TargetIdentifier-AlternateLoginID < 속성 >-LookupForests < 포리스트 도메인 >

        참고: AlternateLoginID 에 로그인 하는 데 사용할 수 있는 특성의 LDAP 이름을입니다. 및 LookupForests 포리스트 DNS 항목에 사용자가 속해 있는 목록입니다.

        다른 로그인 ID 기능을 사용 하려면 null을 유효한 값으로는 AlternateLoginIDLookupForests 매개 변수를 구성 해야 합니다.

    6. 인증서의 개인 키에 서명 하는 AD FS 토큰에 ADFS 서비스 계정에 대 한 읽기 없는. 이 권한을 추가 하려면 다음과이 같이 하십시오.
      1. 새 토큰 서명 인증서를 추가 하면 다음과 같은 경고가 나타납니다: "선택한 인증서의 개인 키를 팜의 각 서버에서이 페더레이션 서비스에 대 한 서비스 계정에 액세스할 수 있는지 확인 합니다."
      2. 시작을 클릭 실행 mmc.exe입력 한 다음 Enter 키를 누릅니다.
      3. 파일을 클릭 한 다음 스냅인 추가/제거를클릭 합니다.
      4. 인증서를 두 번 클릭 합니다.
      5. 컴퓨터 계정, 선택한 후 다음을 클릭 합니다.
      6. 로컬 컴퓨터를 선택 하 고 마침을 클릭 합니다.
      7. 인증서 (로컬 컴퓨터)를확장 하 고 가상기계를 확장 한 다음 인증서선택.
      8. 새 토큰 서명 인증서를 마우스 오른쪽 단추로 클릭 하 고 모든 작업을 선택한 개인 키 관리를 선택 합니다.

        The sceenshot about step 8
      9. AD FS 2.0 서비스 계정에 읽기 권한을 추가 하 고 확인을 클릭 합니다.
      10. 인증서 MMC를 닫습니다.
    7. LS 또는 ADFS 가상 디렉터리에 대해 Windows 인증을 위한 확장 된 보호 옵션이 활성화 됩니다. 특정 브라우저에서 문제가 발생할 수 있습니다이. 경우에 따라 AD FS 자격 증명을 반복적으로 확인 메시지 표시 될 수 있습니다 및 AD FS에 대 한 Windows 인증 또는 LS 응용 프로그램이 IIS에서 사용할 수 있는 확장 된 보호 설정 관련 수 있습니다.

      The sceenshot about step 8
      인증을 위해 확장 된 보호 사용 하는 경우 인증 요청 모두는 서비스 사용자 이름 (Spn) 클라이언트가 연결을 시도 하 고 Windows 통합 인증이 수행 되는 외부 전송 계층 보안 (TLS) 채널 서버에 바인딩됩니다. 확장된 보호 인증 릴레이 나 "중간자" 공격을 완화 하기 위해 기존의 Windows 인증 기능을 향상 시킵니다. 그러나 일부 브라우저 확장 된 보호 설정을; 작동 하지 않습니다. 대신은 반복적으로 자격 증명을 액세스를 거부 합니다. 확장 된 보호 를 사용 하면이이 시나리오는 작업이 있습니다.

      자세한 내용은 AD FS 2.0: Fiddler 웹 디버거를 사용 하는 동안 자격 증명을 묻는 메시지가 지속적으로.

      AD FS 2012 r 2에 대 한

      Extendedprotection를 사용 하지 않도록 설정 하려면 다음 cmdlet를 실행 합니다.

      세트-ADFSProperties-ExtendedProtectionTokenCheck 없음

    8. 신뢰 당사자 (RP) 신뢰에서 하는 발급 권한 부여 규칙은 사용자에 게 액세스를 거부할 수 있습니다. AD FS의 신뢰 당사자 트러스트에 여부 인증된 된 사용자 해야 발급 토큰을 신뢰 당사자에 대 한 제어 하는 발급 권한 부여 규칙을 구성할 수 있습니다. 관리자가 발급 하는 클레임으로 가져옵니다 그룹의 구성원 인 사용자에 게 액세스를 거부할 것인지 결정 하는 클레임을 사용할 수 있습니다.

      특정 페더레이션된 사용자가 Adfs를 통해 인증할 수 없습니다, 경우 Office 365 RP에 대 한 발급 권한 부여 규칙을 확인 하 고 모든 사용자에 게 액세스 허용 규칙이 구성 되어 있는지 여부를 확인 하는 것이 좋습니다.

      The screen shot about rules
      이 규칙은 구성 되어 있지 않으면 규칙에서 조건이 "true" 영향을 받는 사용자에 대 한 여부를 확인 하려면 사용자 지정 권한 부여 규칙을 살펴보고. 자세한 내용은 다음 리소스를 참조 합니다.
      AD FS 서버에 직접 액세스 하면 되지만 AD FS를 AD FS 프록시를 통해 액세스할 때 인증할 수 없고 인트라넷에서 인증, 다음 사항을 확인 합니다.
      • AD FS 프록시 및 ADFS 서버 시간 동기화 문제

        ADFS 서버와 프록시에 대 한 시간 동기화 되어 있는지 확인 하십시오. ADFS 서버에서 시간 도메인 컨트롤러의 시간과에서 5 분 이상 꺼져 있을 때는 인증 오류가 발생 합니다. AD FS 프록시에 AD FS를 사용 하 여 동기화 되지, 프록시 트러스트의 영향을 받는 고 깨진. 따라서 AD FS 프록시를 통해 제공 되는 요청이 실패 합니다.
      • AD FS 프록시 트러스트 ADFS 서비스를 사용 하 여 제대로 작동 하는지 확인 합니다. 프록시 트러스트가 손상 된 것 같으면 프록시 구성을 다시 실행 하십시오.
  5. 에 AD FS 토큰, Azure 광고를 발행 하거나 Office 365에서 오류를 throw 합니다. 이 경우 다음 사항을 확인 합니다.
    • AD FS 토큰에서 발급 되는 클레임 Azure AD에서 사용자의 해당 특성 이름과 같아야 합니다. Azure 광고 토큰 Office 365 다음 클레임 해야 하거나.

      WSFED:
      : UPN이이 클레임의 값 Azure 광고에 사용자의 UPN을 일치 해야 합니다.
      ImmutableID:이 클레임의 값 일치 해야 sourceAnchor 또는 ImmutableID 사용자의 Azure 광고에.

      Azure AD의 사용자 특성 값을 가져오려면, 다음 명령줄 실행: Get MsolUser-파티션에서 < UPN >

      SAML 2.0:
      IDPEmail:이 클레임의 값 Azure 광고에 사용자의 사용자 계정 이름을 일치 해야 합니다.
      NAMEID:이 클레임의 값 일치 해야 sourceAnchor 또는 ImmutableID 사용자의 Azure 광고에.

      자세한 내용은 SAML 2.0 id 공급자를 사용 하 여 단일 로그온을 구현 합니다.

      Examples:
      이 문제는 온라인 디렉터리 업데이트 하지 않고 AD에서 동기화 된 사용자의 UPN 변경 될 때 발생할 수 있습니다. 이 시나리오에서는 중 하나를 수정할 수 있습니다 사용자의 UPN (관련된 사용자의 로그온 이름을 맞게) 광고에 온라인 디렉토리에 관련 된 사용자의 로그온 이름을 변경 하려면 다음 cmdlet를 실행 하는 또는:

      NewUserPrincipalName-파티션에서 [ExistingUPN] [DomainUPN AD] 세트 MsolUserPrincipalName

      또한 UPN으로 메일SourceAnchor로 EMPID하지만 신뢰 당사자 클레임 규칙 AD FS 수준에서 UPN으로 메일EMPID ImmutableID로업데이트 되지 않은 동기화 하려면 AADsync를 사용 하 고 있는지 수 있습니다.
    • 토큰 서명 인증서가 일치 하지 Adfs와 Office 365 간에 있습니다.

      가장 일반적인 문제 중 하나입니다. Adfs는 사용자 또는 응용 프로그램에 전송 되는 토큰에 서명 하려면 토큰 서명 인증서를 사용 합니다. Adfs와 Office 365 간에 트러스트가 토큰 서명 인증서를 기반으로 하는 페더레이션된 트러스트를 (예를 들어, Office 365 수신 하는 토큰은 서명 확인 트러스트 하는 클레임 공급자 [AD FS 서비스]의 토큰 서명 인증서를 사용 하 여).

      그러나에의 인증서는 토큰 서명 AD FS 변경 인해 자동 인증서 롤오버 또는 관리자의 간섭으로 (후 또는 인증서 만료 될 때까지), 페더레이션된 도메인에 대 한 Office 365 테 넌 트에 새 인증서의 세부 정보를 업데이트 해야 합니다. 이 자동으로 발생 하지 않을 수 있습니다. 관리자의 개입이 필요한. 기본 토큰 서명 인증서는 AD FS에서 Office 365 파악과 다른 경우 AD FS에서 발급 하는 토큰 Office 365에 의해 신뢰 되지 않습니다. 따라서 페더레이션된 사용자는 로그온 할 수 없습니다.

      Office 365 또는 Azure 광고 하려고 합니다 ADFS 서비스에 게 연락 서비스는 공용 네트워크를 통해 연결할 수 있는 가정. ADFS 페더레이션 메타 데이터 끌어 주로 토큰 서명 인증서 정보를 AD FS 구성 변경을 정기적으로 폴링하여 보십시오. 이 프로세스가 작동 하지 않는 경우 전역 관리자 Office 365 포털을 업데이트 하는 데 필요한 작업에 대 한 토큰 서명 인증서 만료 경고를 메시지가 나타납니다.

      AD FS 및 Office 365 페더레이션 속성을 덤프 하려면 Get MsolFederationProperty-도메인 이름 < 도메인 > 를 사용할 수 있습니다. 여기 TokenSigningCertificate 지문이 페더레이션된 도메인 Office 365 테 넌 트 구성 AD FS 동기화 되는지 확인 하려면 비교할 수 있습니다. 토큰 서명 인증서 구성에서 불일치가 있으면 업데이트 하려면 다음 명령을 실행 합니다.
      Update-MsolFederatedDomain -DomainName <domain> -SupportMultipleDomain
      토큰 서명 인증서와 업데이트 Office 365 자동으로 테 넌 트의 인증서 자동 롤오버에 대 한 모니터링은 AD FS 서버에 작업을 예약 하려면 다음 도구를 실행할 수 있습니다.

      Microsoft Office 365 페더레이션 메타 데이터 업데이트 자동화 설치 도구

      확인 하 고 단일 사인온 AD FS를 사용 하 여 관리 합니다.
    • Office 365 RP에 대 한 발급 변환 클레임 규칙을 올바르게 구성 되지 않습니다.

      여러 Tld (최상위 레벨 도메인)가 있는 경우 Supportmultipledomain 스위치는 RP 신뢰 만들고 업데이트 하는 경우 사용 되지 않은 경우 로그온 문제가 있을 수 있습니다. 자세한 내용은 여기.
    • 토큰 암호화 되었는지 확인 토큰이 발생 Azure 광고 또는 Office 365 AD FS 나 STS에서 사용 중입니다 .
  6. Windows 자격 증명 관리자가 오래 된 캐시 된 자격 증명입니다.

    가끔 로그인 하는 동안에 워크스테이션에서 포털 등의 Outlook을 사용 하는 경우 사용자 자격 증명을 확인 하는 경우, Windows 자격 증명 관리자 (Panel\User Accounts\Credential 제어 관리자)에서 대상 (Office 365 또는 AD FS 서비스)에 대 한 자격 증명을 저장할 수 있습니다. 이렇게 하면 일정 시간 동안 자격 증명 프롬프트를 방지할 수 있지만 사용자 암호가 변경 하 고 자격 증명 관리자 업데이트 되지 않는 문제가 발생할 수 있습니다. 그러한 ADFS 서비스 오래 된 자격 증명이 전달 되 고 따라서 인증이 실패 합니다. 제거 또는 Windows 자격 증명 관리자에서 캐시 된 자격 증명을 업데이트 하십시오.
  7. Office 365에 대 한 의존 하지 파티 신뢰에 구성 되어 있는 보안 해시 알고리즘은 s h a 1로 설정 되어 있는지 확인 하십시오.

    SAML 2.0 프로토콜을 사용 하는 ADFS STS와 Azure 광고/Office 365 간에 신뢰 하는 경우 인증서에 대해 구성 된 보안 해시 알고리즘 SHA1 이어야 합니다.
  8. 해당 상황에 적용 되는 이전 원인을 옵션이 microsoft 지원 사례를 만들고 사용자 계정에서 Office 365 테 일관 되 게 표시 되는지 여부를 확인 하도록 요청 합니다. 자세한 내용은 다음 리소스를 참조 합니다.

    AD FS 2.0 페더레이션된 사용자 경우 Office 365 로그인에서 오류 메시지: "사이트에 액세스 문제가 발생 했습니다."

    페더레이션된 사용자는 반복적으로 자격 증명 확인가 Office 365 로그인 하는 동안 AD FS 2.0 서비스 끝점에 연결 하는 경우
  9. 액세스 하려는 (Azure AD 통합) 클라우드 서비스는 AD FS에 전송 된 인증 요청을 달라질 수 있습니다. 예: 특정 요청 Wauth 또는 Wfresh같은 추가 매개 변수가 포함 될 수 있습니다 및 이러한 매개 변수에는 AD FS 수준에서 다른 동작이 발생할 수 있습니다.

    AD FS 바이너리 항상 유지 하는 것으로 알려진된 문제에 대 한 수정 프로그램이 포함 되어 업데이트 하는 것이 좋습니다. 최신 업데이트에 대 한 자세한 내용은 다음 표를 참조 하십시오.

속성

문서 ID: 3079872 - 마지막 검토: 2017. 2. 6. - 수정: 1

Windows Server 2008 Datacenter, Windows Server 2008 Enterprise, Windows Server 2008 Foundation, Windows Server 2008 Standard, Windows Server 2008 R2 Datacenter, Windows Server 2008 R2 Enterprise, Windows Server 2008 R2 Foundation, Windows Server 2008 R2 Standard, Windows Server 2012 Foundation, Windows Server 2012 Foundation, Windows Server 2012 Foundation, Windows Server 2012 Foundation, Windows Server 2012 Essentials, Windows Server 2012 Datacenter, Windows Server 2012 Datacenter, Windows Server 2012 Datacenter, Windows Server 2012 Datacenter, Windows Server 2012 Standard, Windows Server 2012 Standard, Windows Server 2012 Standard, Windows Server 2012 Standard, Windows Server 2012 R2 Datacenter, Windows Server 2012 R2 Essentials, Windows Server 2012 R2 Foundation, Windows Server 2012 R2 Standard

피드백