Użytkownicy federacyjni nie mogą nawiązać połączenia ze skrzynką pocztową Exchange Online
Symptomy
Użytkownik federacyjny nie może uwierzytelnić się w programie Microsoft Outlook ani w usłudze Microsoft Exchange ActiveSync przy użyciu smartfona w Exchange Online.
Przyczyna
Ten problem może wystąpić, jeśli spełniony jest jeden z następujących warunków:
- Usługa federacyjna usług lokalna usługa Active Directory Federation Services (AD FS) 2.0 nie jest dostępna w publicznym Internecie.
- Certyfikat Secure Sockets Layer (SSL) używany przez punkt końcowy usług AD FS 2.0 jest wystawiany przez urząd certyfikacji, który nie jest zaufany przez centrum danych Exchange Online.
Bieżący punkt końcowy Exchange Online programu Outlook używa uwierzytelniania podstawowego lub uwierzytelniania serwera proxy. Oznacza to, że klienci programu Outlook uwierzytelniają się w usłudze Outlook.com przy użyciu uwierzytelniania podstawowego. Jeśli Outlook.com stwierdzi, że użytkownik jest użytkownikiem federacyjnym, serwer usługi AD FS 2.0 użytkownika jest zgodny z uwierzytelnianiem podstawowym za pośrednictwem protokołu SSL na serwerze usług AD FS 2.0 użytkownika w imieniu klienta. Ta akcja uwierzytelnia użytkownika lokalnie i żąda oświadczenia języka SAML (Security Assertion Markup Language) lub tokenu dostępu dla użytkownika. Jeśli publicznie dostępny punkt końcowy usług AD FS 2.0 nie jest dostępny, proces uwierzytelniania nie powiedzie się i użytkownikowi zostanie odmówiony dostęp do punktu końcowego usługi.
Użyj narzędzia Microsoft Remote Connectivity Analyzer, aby sprawdzić, czy lokalna usługa federacyjna usług AD FS 2.0 powoduje problemy z logowaniem do programu Outlook dla użytkowników federacyjnych. Aby to zrobić, wykonaj następujące kroki.
W programie Internet Explorer przejdź do obszaru Microsoft Remote Connectivity Analyzer.
Wpisz adres e-mail i poświadczenia, zaznacz pole wyboru potwierdzenie w dolnej części strony, wpisz kod weryfikacyjny, a następnie wybierz pozycję Wykonaj test. Ten test należy uruchomić dwa razy. Uruchom test przy użyciu każdego z następujących poświadczeń:
- Konto federacyjne, które ma skrzynkę pocztową w Exchange Online
- Standardowe konto użytkownika, które ma skrzynkę pocztową w Exchange Online
Sprawdź wyniki obu testów, aby ustalić, czy usługi AD FS 2.0 powodują problem z logowaniem do programu Outlook.
Przejdź do następującego węzła drzewa Szczegóły testu :
Testowanie łączności RPC/HTTP
ExRCA próbuje przetestować wykrywanie automatyczne
john@contoso.com
Próba skontaktowania się z usługą wykrywania automatycznego przy użyciu każdej metody
Próba skontaktowania się z usługą wykrywania automatycznego przy użyciu metody przekierowania HTTP
Próba wysłania żądania POST automatycznego wykrywania do potencjalnych adresów URL wykrywania automatycznego
Usługa ExRCA próbuje pobrać odpowiedź automatycznego wykrywania i XML z adresu URL
https://autodiscover-s.outlook.com/Autodiscover/Autodiscover.xml
dla użytkownika
Sprawdź, czy oba poniższe warunki są spełnione:
- Konto federacyjne nie może uzyskać dostępu do wykrywania automatycznego i otrzymuje komunikat o błędzie "Autoryzowana odpowiedź HTTP 401".
- Standardowe konto użytkownika może uzyskiwać dostęp do wykrywania automatycznego.
Jeśli oba warunki są spełnione, potwierdzono, że błędy logowania jednokrotnego powodują niepowodzenie uwierzytelniania programu Outlook.
Rozwiązanie 1 — uwidacznianie lokalnej usługi federacyjnej usług AD FS 2.0 w Internecie
Skonfiguruj serwer proxy serwera federacyjnego usług AD FS 2.0 dla lokalnego środowiska usług AD FS 2.0 (lub skonfiguruj zwrotny serwer proxy zapory usługi federacyjnej usług AD FS 2.0), który obsługuje logowanie jednokrotne, a następnie opublikuj serwer proxy w Internecie.
Rozwiązanie 2 — rozwiązywanie problemów z serwerem proxy usług AD FS 2.0
Aby uzyskać więcej informacji na temat rozwiązywania problemów z serwerem proxy usług AD FS 2.0, zobacz Jak rozwiązywać problemy z połączeniem z punktem końcowym usług AD FS, gdy użytkownicy logują się do platformy Microsoft 365, Intune lub platformy Azure.
Nadal potrzebujesz pomocy? Przejdź do witryny internetowej społeczności firmy Microsoft .
Opinia
https://aka.ms/ContentUserFeedback.
Dostępne już wkrótce: W 2024 r. będziemy stopniowo wycofywać zgłoszenia z serwisu GitHub jako mechanizm przesyłania opinii na temat zawartości i zastępować go nowym systemem opinii. Aby uzyskać więcej informacji, sprawdź:Prześlij i wyświetl opinię dla