Entrar no Microsoft 365, Azure ou Intune falhar depois de alterar o ponto de extremidade do serviço de federação
Problema
Depois de alterar Serviços de Federação do Active Directory (AD FS) configurações de ponto de extremidade de serviço (AD FS) no Console de Gerenciamento do AD FS, a autenticação de SSO (logon único) para um serviço de nuvem da Microsoft, como Microsoft 365, Microsoft Azure ou Microsoft Intune falhar, e você experimentará um dos seguintes sintomas:
- Os usuários federados não podem entrar no Microsoft 365, Azure ou Intune usando aplicativos cliente avançados.
- Os aplicativos do navegador solicitam repetidamente aos usuários credenciais quando eles tentam se autenticar no AD FS durante a autenticação do SSO.
Motivo
Esse problema poderá ocorrer se uma das seguintes condições for verdadeira:
- Os pontos de extremidade de serviço do AD FS estão configurados de forma inadequada.
- A autenticação Kerberos no servidor do AD FS está quebrada.
Solução
Para resolver esse problema, use um dos seguintes métodos, conforme apropriado para sua situação.
Resolução 1: restaurar a configuração padrão do ponto de extremidade de serviço do AD FS
Para restaurar as configurações de ponto de extremidade de serviço padrão do AD FS, siga estas etapas no servidor AD FS primário:
Abra o Console de Gerenciamento do AD FS e, no painel de navegação esquerdo, navegue até AD FS, depois Serviço e pontos de extremidade.
Examine a lista de pontos de extremidade e verifique se as entradas nesta lista estão habilitadas conforme indicado (no mínimo):
Caminho da URL Habilitado Proxy habilitado /adfs/ls/ Verdadeiro Verdadeiro /adfs/services/trust/2005/windowstransport Verdadeiro Falso /adfs/services/trust/2005/certificatemixed Verdadeiro Verdadeiro /adfs/services/trust/2005/certificatetransport Verdadeiro Verdadeiro /adfs/services/trust/2005/usernamemixed Verdadeiro Verdadeiro /adfs/services/trust/2005/kerberosmixed Verdadeiro Falso /adfs/services/trust/2005/issuedtokenmixedasymmetricbasic256 Verdadeiro Verdadeiro /adfs/services/trust/2005/issuedtokenmixedsymmetricbasic256 Verdadeiro Verdadeiro /adfs/services/trust/13/kerberosmixed Verdadeiro Falso /adfs/services/trust/13/certificatemixed Verdadeiro Verdadeiro /adfs/services/trust/13/usernamemixed Verdadeiro Verdadeiro /adfs/services/trust/13/issuedtokenmixedasymmetricbasic256 Verdadeiro Verdadeiro /adfs/services/trust/13/issuedtokenmixedsymmetricbasic256 Verdadeiro Verdadeiro /adfs/services/trusttcp/windows Verdadeiro Falso /adfs/services/trust/mex Verdadeiro Verdadeiro /FederationMetadata/2007-06/FederationMetadata.xml Verdadeiro Verdadeiro /adfs/ls/federationserverservice.asmx Verdadeiro Falso Se um item na lista não corresponder às configurações padrão na tabela anterior, clique com o botão direito do mouse na entrada e selecione Habilitar ou Habilitar no Proxy conforme necessário.
Observação
WS-Trust os pontos de extremidade do Windows (/adfs/services/trust/2005/windowstransport e /adfs/services/trust/13/windowstransport) destinam-se apenas à intranet voltada para pontos de extremidade que usam a associação WIA no HTTPS.
Esses pontos de extremidade devem sempre ser mantidos desabilitados no proxy (ou seja, desabilitados da extranet) para proteger os bloqueios da conta do AD.
Resolução 2: solucionar problemas de autenticação kerberos
Para obter mais informações sobre como solucionar problemas de autenticação kerberos, confira o seguinte artigo da Base de Dados de Conhecimento da Microsoft:
2461628 Um usuário federado é solicitado repetidamente para obter credenciais durante a entrada no Microsoft 365, Azure ou Intune
Informações adicionais
Ainda precisa de ajuda? Acesse o site da Microsoft Community ou os fóruns do Microsoft Entra.
Comentários
Em breve: Ao longo de 2024, eliminaremos os problemas do GitHub como o mecanismo de comentários para conteúdo e o substituiremos por um novo sistema de comentários. Para obter mais informações, consulte https://aka.ms/ContentUserFeedback.
Enviar e exibir comentários de