Użytkownicy federacyjni nie mogą nawiązać połączenia ze skrzynką pocztową Exchange Online

  • Artykuł
  • Dotyczy:
    Exchange Online, Exchange, Outlook, Azure Active Directory

Symptomy

Użytkownik federacyjny nie może uwierzytelnić się w programie Microsoft Outlook ani w usłudze Microsoft Exchange ActiveSync przy użyciu smartfona w Exchange Online.

Przyczyna

Ten problem może wystąpić, jeśli spełniony jest jeden z następujących warunków:

  • Usługa federacyjna usług lokalna usługa Active Directory Federation Services (AD FS) 2.0 nie jest dostępna w publicznym Internecie.
  • Certyfikat Secure Sockets Layer (SSL) używany przez punkt końcowy usług AD FS 2.0 jest wystawiany przez urząd certyfikacji, który nie jest zaufany przez centrum danych Exchange Online.

Bieżący punkt końcowy Exchange Online programu Outlook używa uwierzytelniania podstawowego lub uwierzytelniania serwera proxy. Oznacza to, że klienci programu Outlook uwierzytelniają się w usłudze Outlook.com przy użyciu uwierzytelniania podstawowego. Jeśli Outlook.com stwierdzi, że użytkownik jest użytkownikiem federacyjnym, serwer usługi AD FS 2.0 użytkownika jest zgodny z uwierzytelnianiem podstawowym za pośrednictwem protokołu SSL na serwerze usług AD FS 2.0 użytkownika w imieniu klienta. Ta akcja uwierzytelnia użytkownika lokalnie i żąda oświadczenia języka SAML (Security Assertion Markup Language) lub tokenu dostępu dla użytkownika. Jeśli publicznie dostępny punkt końcowy usług AD FS 2.0 nie jest dostępny, proces uwierzytelniania nie powiedzie się i użytkownikowi zostanie odmówiony dostęp do punktu końcowego usługi.

Użyj narzędzia Microsoft Remote Connectivity Analyzer, aby sprawdzić, czy lokalna usługa federacyjna usług AD FS 2.0 powoduje problemy z logowaniem do programu Outlook dla użytkowników federacyjnych. Aby to zrobić, wykonaj następujące kroki.

  1. W programie Internet Explorer przejdź do obszaru Microsoft Remote Connectivity Analyzer.

  2. Wpisz adres e-mail i poświadczenia, zaznacz pole wyboru potwierdzenie w dolnej części strony, wpisz kod weryfikacyjny, a następnie wybierz pozycję Wykonaj test. Ten test należy uruchomić dwa razy. Uruchom test przy użyciu każdego z następujących poświadczeń:

    • Konto federacyjne, które ma skrzynkę pocztową w Exchange Online
    • Standardowe konto użytkownika, które ma skrzynkę pocztową w Exchange Online

    Zrzut ekranu przedstawiający stronę Analizatora łączności zdalnej firmy Microsoft.

  3. Sprawdź wyniki obu testów, aby ustalić, czy usługi AD FS 2.0 powodują problem z logowaniem do programu Outlook.

    1. Przejdź do następującego węzła drzewa Szczegóły testu :

      Testowanie łączności RPC/HTTP

      • ExRCA próbuje przetestować wykrywanie automatyczne john@contoso.com

      • Próba skontaktowania się z usługą wykrywania automatycznego przy użyciu każdej metody

      • Próba skontaktowania się z usługą wykrywania automatycznego przy użyciu metody przekierowania HTTP

      • Próba wysłania żądania POST automatycznego wykrywania do potencjalnych adresów URL wykrywania automatycznego

      • Usługa ExRCA próbuje pobrać odpowiedź automatycznego wykrywania i XML z adresu URL https://autodiscover-s.outlook.com/Autodiscover/Autodiscover.xml dla użytkownika

        Zrzut ekranu przedstawiający skrzynkę pocztową z obsługą logowania jednokrotnego i standardowe wyniki testu skrzynki pocztowej.

    2. Sprawdź, czy oba poniższe warunki są spełnione:

      • Konto federacyjne nie może uzyskać dostępu do wykrywania automatycznego i otrzymuje komunikat o błędzie "Autoryzowana odpowiedź HTTP 401".
      • Standardowe konto użytkownika może uzyskiwać dostęp do wykrywania automatycznego.

    Jeśli oba warunki są spełnione, potwierdzono, że błędy logowania jednokrotnego powodują niepowodzenie uwierzytelniania programu Outlook.

Rozwiązanie 1 — uwidacznianie lokalnej usługi federacyjnej usług AD FS 2.0 w Internecie

Skonfiguruj serwer proxy serwera federacyjnego usług AD FS 2.0 dla lokalnego środowiska usług AD FS 2.0 (lub skonfiguruj zwrotny serwer proxy zapory usługi federacyjnej usług AD FS 2.0), który obsługuje logowanie jednokrotne, a następnie opublikuj serwer proxy w Internecie.

Rozwiązanie 2 — rozwiązywanie problemów z serwerem proxy usług AD FS 2.0

Aby uzyskać więcej informacji na temat rozwiązywania problemów z serwerem proxy usług AD FS 2.0, zobacz Jak rozwiązywać problemy z połączeniem z punktem końcowym usług AD FS, gdy użytkownicy logują się do platformy Microsoft 365, Intune lub platformy Azure.

Nadal potrzebujesz pomocy? Przejdź do witryny internetowej społeczności firmy Microsoft .