更改联合身份验证服务终结点后,登录到 Microsoft 365、Azure 或 Intune失败
问题
在 AD FS 管理控制台中更改Active Directory 联合身份验证服务 (AD FS) 服务终结点设置后,单一登录 (SSO) Microsoft 云服务(如 Microsoft 365、Microsoft Azure 或 Microsoft Intune)的身份验证失败,并遇到以下症状之一:
- 联合用户无法使用丰富的客户端应用程序登录到 Microsoft 365、Azure 或 Intune。
- 浏览器应用程序在 SSO 身份验证期间尝试向 AD FS 进行身份验证时,会反复提示用户输入凭据。
原因
如果满足以下条件之一,则可能会出现此问题:
- AD FS 服务终结点配置不当。
- AD FS 服务器上的 Kerberos 身份验证已中断。
解决方案
若要解决此问题,请根据你的情况使用以下方法之一。
解决方法 1:还原默认 AD FS 服务终结点配置
若要还原 AD FS 默认服务终结点设置,请在主 AD FS 服务器上执行以下步骤:
打开 AD FS 管理控制台,在左侧导航窗格中,浏览到 “AD FS”、“ 服务”和“ 终结点”。
检查终结点列表,并确保已按指示启用此列表中的条目, (最低) :
URL 路径 已启用 代理已启用 /adfs/ls/ True True /adfs/services/trust/2005/windowstransport True False /adfs/services/trust/2005/certificatemixed True True /adfs/services/trust/2005/certificatetransport True True /adfs/services/trust/2005/usernamemixed True True /adfs/services/trust/2005/kerberosmixed True False /adfs/services/trust/2005/issuedtokenmixedasymmetricbasic256 True True /adfs/services/trust/2005/issuedtokenmixedsymmetricbasic256 True True /adfs/services/trust/13/kerberosmixed True False /adfs/services/trust/13/certificatemixed True True /adfs/services/trust/13/usernamemixed True True /adfs/services/trust/13/issuedtokenmixedasymmetricbasic256 True True /adfs/services/trust/13/issuedtokenmixedsymmetricbasic256 True True /adfs/services/trusttcp/windows True False /adfs/services/trust/mex True True /FederationMetadata/2007-06/FederationMetadata.xml True True /adfs/ls/federationserverservice.asmx True False 如果列表中的项与上表中的默认设置不匹配,请右键单击该条目,然后根据需要选择“ 启用 ”或“ 在代理上启用 ”。
注意
WS-Trust Windows 终结点 (/adfs/services/trust/2005/windowstransport 和 /adfs/services/trust/13/windowstransport) 仅面向 Intranet 且在 HTTPS 上使用 WIA 绑定的终结点。
应始终在代理上禁用这些终结点, (即从 Extranet) 禁用,以保护 AD 帐户锁定。
解决方法 2:排查 Kerberos 身份验证问题
有关如何排查 Kerberos 身份验证问题的详细信息,请参阅以下 Microsoft 知识库文章:
2461628在登录到 Microsoft 365、Azure 或 Intune 期间反复提示联合用户输入凭据
更多信息
仍然需要帮助? 转到 Microsoft 社区或Microsoft Entra论坛网站。
反馈
即将发布:在整个 2024 年,我们将逐步淘汰作为内容反馈机制的“GitHub 问题”,并将其取代为新的反馈系统。 有关详细信息,请参阅:https://aka.ms/ContentUserFeedback。
提交和查看相关反馈