Brukere i organisasjonsforbund kan ikke koble til en Exchange Online postboks

  • Artikkel
  • Gjelder for:
    Exchange Online, Exchange, Outlook, Azure Active Directory

Symptomer

En organisasjonsbasert bruker kan ikke godkjenne Microsoft Outlook eller Microsoft Exchange ActiveSync ved hjelp av en smarttelefon i Exchange Online.

Årsak

Dette problemet kan oppstå hvis én av følgende betingelser er sann:

  • Forbundstjenesten lokal Active Directory Federation Services (AD FS) 2.0 er ikke tilgjengelig fra offentlig Internett.
  • SSL-sertifikatet (Secure Sockets Layer) som brukes av AD FS 2.0-endepunktet, utstedes av en sertifiseringsinstans som ikke er klarert av Exchange Online datasenter.

Gjeldende Exchange Online endepunkt for Outlook bruker enkel godkjenning eller proxy-godkjenning. Dette betyr at Outlook-klienter godkjenner Outlook.com-tjenesten ved hjelp av enkel godkjenning. Hvis Outlook.com fastslår at brukeren er en organisasjonsbasert bruker, proxyerer den enkel godkjenning over SSL til brukerens AD FS 2.0-server på vegne av klienten. Denne handlingen godkjenner brukeren lokalt og ber om et SAML-krav (Security Assertion Markup Language) eller tilgangstoken for brukeren. Hvis et offentlig tilgjengelig AD FS 2.0-endepunkt ikke er tilgjengelig, er ikke godkjenningsprosessen vellykket, og brukeren blir nektet tilgang til tjenesteendepunktet.

Bruk Microsoft Remote Connectivity Analyzer til å teste om den lokale AD FS 2.0-forbundstjenesten forårsaker påloggingsproblemer i Outlook for brukere i forbund. Dette gjør du slik:

  1. Gå til Microsoft Remote Connectivity Analyzer i Internet Explorer.

  2. Skriv inn e-postadressen og legitimasjonen, merk av for bekreftelse nederst på siden, skriv inn bekreftelseskoden, og velg deretter Utfør test. Denne testen bør kjøres to ganger. Kjør testen ved å bruke hver av følgende legitimasjoner:

    • En organisasjonskonto som har en postboks i Exchange Online
    • En standard brukerkonto som har en postboks i Exchange Online

    Skjermbilde av siden Microsoft Remote Connectivity Analyzer.

  3. Kontroller resultatene av begge testene for å finne ut om AD FS 2.0 forårsaker påloggingsproblemet i Outlook.

    1. Drill ned til følgende node i testdetaljertreet :

      Testing av RPC/HTTP-tilkobling

      • ExRCA prøver å teste Autosøk for john@contoso.com

      • Prøver hver metode for å kontakte Autosøk-tjenesten

      • Prøver å kontakte Autosøk-tjenesten ved hjelp av HTTP-omadresseringsmetoden

      • Forsøk på å sende en Post-forespørsel for Autosøk til potensielle nettadresser for Autosøk

      • ExRCA prøver å hente og XML Autodiscover-svar fra URL-adressen https://autodiscover-s.outlook.com/Autodiscover/Autodiscover.xml for brukeren

        Skjermbilde av den SSO-aktiverte postboksen og standardresultatene for postbokstest.

    2. Kontroller om begge følgende betingelser er oppfylt:

      • Den organisasjonssamlede kontoen får ikke tilgang til Autosøk og mottar feilmeldingen HTTP 401-godkjent svar.
      • Standard brukerkonto kan få tilgang til Autosøk.

    Hvis begge betingelsene er oppfylt, har du bekreftet at SSO-feil forårsaker at Outlook-godkjenning mislykkes.

Løsning 1 – Vis den lokale AD FS 2.0-forbundstjenesten på Internett

Konfigurer en AD FS 2.0-forbundsserverproxy for det lokale AD FS 2.0-miljøet (eller konfigurer en brannmurrevert proxy for AD FS 2.0 Federation Service) som støtter SSO, og publiser deretter proxyen til Internett.

Løsning 2 – Feilsøke problemer med AD FS 2.0-proxyserveren

Hvis du vil ha mer informasjon om hvordan du feilsøker AD FS 2.0-proxyserverproblemer, kan du se Hvordan feilsøke tilkoblingsproblemer med AD FS-endepunktet når brukere logger seg på Microsoft 365, Intune eller Azure.

Trenger du fremdeles hjelp? Gå til nettstedet for Microsoft Community .