Como solucionar problemas de conexão do ponto de extremidade do AD FS quando os usuários entrarem no Microsoft 365, Intune ou no Azure
Problema
Quando os usuários acessam um serviço de nuvem da Microsoft, como Microsoft 365, Microsoft Intune ou Microsoft Azure usando uma conta de usuário federada, a conexão com o serviço AD FS (Serviços de Federação do Active Directory (AD FS)) só falha quando os usuários tentam fazer o seguinte:
- Conectar-se a partir de um local remoto da Internet
- Usar conexões de email para entrar
Essa situação também faz com que os testes de SSO que o Analisador de Conectividade Remota conduz falhem.
Para obter mais informações sobre como executar o Analisador de Conectividade Remota para testar a autenticação SSO no Microsoft 365, confira os seguintes artigos na Base de Dados de Conhecimento da Microsoft:
- 2650717 Como usar o Analisador de Conectividade Remota para solucionar problemas de logon único para Microsoft 365, Azure ou Intune
- 2466333 usuários federados não podem se conectar a uma caixa de correio Exchange Online
Motivo
Essas falhas podem ocorrer se o serviço do AD FS não for exposto corretamente à Internet. Normalmente, o servidor proxy do AD FS é usado para essa finalidade e problemas com o servidor proxy do AD FS causarão esses sintomas. Os problemas comuns incluem o seguinte:
Certificado SSL expirado atribuído ao servidor proxy do AD FS
Com frequência, o mesmo certificado SSL é usado para ajudar a proteger a comunicação (HTTPS) tanto para o Serviço de Federação do AD FS quanto para o servidor proxy do AD FS. Quando esse certificado expirar e o certificado for renovado ou atualizado no farm do Serviço de Federação do AD FS, o certificado SSL também deve ser atualizado em todos os servidores proxy do AD FS. Se o certificado SSL do servidor proxy do AD FS não for atualizado nesse caso, as conexões de Internet com o serviço AD FS poderão falhar, mesmo que o Serviço de Federação do AD FS esteja íntegro.
Configuração incorreta de pontos de extremidade de autenticação do IIS
A função do servidor proxy do AD FS é receber a comunicação da Internet direcionada ao AD FS e retransmitir essa comunicação para o Serviço de Federação do AD FS. Portanto, é importante que a configuração de autenticação do IIS do Serviço de Federação do AD FS e do servidor proxy seja complementar. Quando as configurações de autenticação do IIS do servidor proxy do AD FS não estiverem definidas para complementar as configurações de autenticação do IIS do Serviço de Federação do AD FS, a entrada pode falhar ou gerar vários prompts inesperados.
Confiança quebrada entre o servidor proxy do AD FS e o Serviço de Federação do AD FS
O serviço proxy do AD FS foi projetado para ser instalado em um computador ingressado fora do domínio. Portanto, a comunicação entre o servidor proxy do AD FS e o Serviço de Federação do AD FS não pode ser baseada em uma confiança ou credenciais do Active Directory. Em vez disso, a comunicação entre essas duas funções de servidor é estabelecida usando um token emitido para o servidor proxy do AD FS pelo Serviço de Federação do AD FS e assinado pelo certificado de assinatura de token do AD FS. Quando essa confiança é expirada ou inválida, o Serviço de Proxy do AD FS não pode retransmitir solicitações do AD FS e a confiança deve ser reconstruída para restaurar a funcionalidade.
Solução
Para resolve esse problema, use um dos seguintes métodos, conforme apropriado para sua situação, em todos os servidores proxy do AD FS com defeito.
Método 1: corrigir problemas de certificado SSL do AD FS no servidor AD FS
Para fazer isso, siga estas etapas:
Solucionar problemas de certificado SSL no Serviço de Federação do AD FS (não no Serviço de Proxy) usando o seguinte artigo da Base de Dados de Conhecimento da Microsoft:
2523494 Você recebe um aviso de certificado do AD FS ao tentar entrar no Microsoft 365, Azure ou Intune
Se o certificado SSL do Serviço de Federação do AD FS estiver funcionando corretamente, atualize o certificado SSL no servidor proxy do AD FS usando as funções de exportação e importação de certificados. Para obter mais informações, confira o seguinte artigo da Base de Dados de Conhecimento da Microsoft:
179380 Como remover, importar e exportar certificados digitais
Método 2: redefinir as configurações de autenticação do IIS do servidor proxy do AD FS como padrão
Para fazer isso, siga as etapas descritas na Resolução 1 do seguinte artigo da Base de Dados de Conhecimento da Microsoft para o servidor proxy do AD FS:
2461628 Um usuário federado é solicitado repetidamente para obter credenciais durante a entrada no Microsoft 365, Azure ou Intune
Método 3: executar novamente o assistente de Configuração de Proxy do AD FS
Para fazer isso, execute novamente o Assistente de Configuração de Proxy do Servidor de Federação do AD FS na interface ferramentas administrativas de todos os servidores proxy do AD FS afetados.
Observação
É comum receber um aviso da etapa "Implantar o site de entrada do navegador" ao executar novamente o assistente de configuração. Isso não é uma indicação de que o assistente não recompilou a confiança entre o servidor proxy do AD FS e o Serviço de Federação do AD FS.
Mais informações
Para obter mais informações sobre como expor o serviço do AD FS à Internet usando um servidor proxy do AD FS, acesse o seguinte site da Microsoft:
Planejar e implantar o AD FS 2.0 para uso com logon único
Ainda precisa de ajuda? Acesse a Microsoft Community.
Comentários
Em breve: Ao longo de 2024, eliminaremos os problemas do GitHub como o mecanismo de comentários para conteúdo e o substituiremos por um novo sistema de comentários. Para obter mais informações, consulte https://aka.ms/ContentUserFeedback.
Enviar e exibir comentários de