O início de sessão no Microsoft 365, no Azure ou no Intune falha após alterar o ponto final de serviço de federação

  • Artigo
  • Aplica-se a:
    Cloud Services (Web roles/Worker roles), Azure Active Directory, Microsoft Intune, Azure Backup, Microsoft 365

Problema

Depois de alterar as definições do ponto final de serviço do Serviços de Federação do Active Directory (AD FS) (AD FS) na Consola de Gestão do AD FS, a autenticação de início de sessão único (SSO) num serviço cloud da Microsoft, como o Microsoft 365, o Microsoft Azure ou Microsoft Intune falha, e ocorre um dos seguintes sintomas:

  • Os utilizadores federados não podem iniciar sessão no Microsoft 365, no Azure ou no Intune com aplicações cliente avançadas.
  • As aplicações de browser pedem repetidamente credenciais aos utilizadores quando tentam autenticar-se no AD FS durante a autenticação do SSO.

Causa

Este problema pode ocorrer se uma das seguintes condições for verdadeira:

  • Os pontos finais de serviço do AD FS estão configurados de forma inadequada.
  • A autenticação Kerberos no servidor do AD FS está danificada.

Solução

Para resolver este problema, utilize um dos seguintes métodos, conforme adequado para a sua situação.

Resolução 1: Restaurar a configuração predefinida do ponto final de serviço do AD FS

Para restaurar as definições de ponto final de serviço predefinido do AD FS, siga estes passos no servidor principal do AD FS:

  1. Abra a Consola de Gestão do AD FS e, no painel de navegação esquerdo, navegue até AD FS, Serviço e, em seguida, Pontos finais.

    Captura de ecrã a mostrar os passos para verificar as definições de ponto final de serviço predefinido do A D F S.

  2. Examine a lista de pontos finais e certifique-se de que as entradas nesta lista estão ativadas conforme indicado (no mínimo):

    Caminho do URL Ativado Proxy ativado
    /adfs/ls/ Verdadeiro Verdadeiro
    /adfs/services/trust/2005/windowstransport Verdadeiro Falso
    /adfs/services/trust/2005/certificatemixed Verdadeiro Verdadeiro
    /adfs/services/trust/2005/certificatetransport Verdadeiro Verdadeiro
    /adfs/services/trust/2005/usernamemixed Verdadeiro Verdadeiro
    /adfs/services/trust/2005/kerberosmixed Verdadeiro Falso
    /adfs/services/trust/2005/issuedtokenmixedasymmetricbasic256 Verdadeiro Verdadeiro
    /adfs/services/trust/2005/issuedtokenmixedsymmetricbasic256 Verdadeiro Verdadeiro
    /adfs/services/trust/13/kerberosmixed Verdadeiro Falso
    /adfs/services/trust/13/certificatemixed Verdadeiro Verdadeiro
    /adfs/services/trust/13/usernamemixed Verdadeiro Verdadeiro
    /adfs/services/trust/13/issuedtokenmixedasymmetricbasic256 Verdadeiro Verdadeiro
    /adfs/services/trust/13/issuedtokenmixedsymmetricbasic256 Verdadeiro Verdadeiro
    /adfs/services/trusttcp/windows Verdadeiro Falso
    /adfs/services/trust/mex Verdadeiro Verdadeiro
    /FederationMetadata/2007-06/FederationMetadata.xml Verdadeiro Verdadeiro
    /adfs/ls/federationserverservice.asmx Verdadeiro Falso

  3. Se um item na lista não corresponder às predefinições na tabela anterior, clique com o botão direito do rato na entrada e, em seguida, selecione Ativar ou Ativar no Proxy conforme necessário.

    Nota

    WS-Trust pontos finais do Windows (/adfs/services/trust/2005/windowstransport e /adfs/services/trust/13/windowstransport) destinam-se apenas a pontos finais com acesso à intranet que utilizam enlace WIA em HTTPS.

    Estes pontos finais devem ser sempre mantidos desativados no proxy (ou seja, desativados da extranet) para proteger os bloqueios da conta do AD.

Resolução 2: Resolver problemas de autenticação Kerberos

Para obter mais informações sobre como resolver problemas de autenticação Kerberos, consulte o seguinte artigo da Base de Dados de Conhecimento Microsoft:

2461628 é pedido repetidamente a um utilizador federado credenciais durante o início de sessão no Microsoft 365, no Azure ou no Intune

Mais Informações

Ainda necessita de ajuda? Aceda ao site Microsoft Community ou Microsoft Entra Forums.