联合用户无法连接到Exchange Online邮箱

症状

联合用户无法在 Exchange Online 中使用智能手机向 Microsoft Outlook 或 Microsoft Exchange ActiveSync进行身份验证。

原因

如果满足以下条件之一，则可能会出现此问题：

• 本地 Active Directory联合身份验证服务 (AD FS) 2.0 联合身份验证服务从公共 Internet 不可用。
• AD FS 2.0 终结点使用的安全套接字层 (SSL) 证书由Exchange Online数据中心不信任的证书颁发机构颁发。

Outlook 的当前Exchange Online终结点使用基本身份验证或代理身份验证。 这意味着 Outlook 客户端使用基本身份验证向 Outlook.com 服务进行身份验证。 如果 Outlook.com 确定用户是联合用户，则会代表客户端通过 SSL 将基本身份验证代理到用户的 AD FS 2.0 服务器。 此操作在本地对用户进行身份验证，并为用户请求安全断言标记语言 (SAML) 声明或访问令牌。 如果公开可用的 AD FS 2.0 终结点不可用，则身份验证过程不成功，并且用户被拒绝访问服务终结点。

使用 Microsoft 远程连接分析器测试本地 AD FS 2.0 联合身份验证服务是否导致联合用户的 Outlook 登录问题。 为此，请按照下列步骤操作：

1. 在 Internet Explorer 中，转到 Microsoft 远程连接分析器。

2. 键入电子邮件地址和凭据，选择页面底部附近的“确认检查”框，键入验证码，然后选择“执行测试”。 此测试应运行两次。 使用以下每个凭据运行测试：

   • 在 Exchange Online 中具有邮箱的联合帐户
   • 在 Exchange Online 中具有邮箱的标准用户帐户

   

3. 检查这两个测试的结果以确定 AD FS 2.0 是否导致了 Outlook 登录问题。

   1. 向下钻取到 “测试详细信息” 树的以下节点：

      测试 RPC/HTTP 连接

      • ExRCA 正在尝试测试自动发现 john@contoso.com

      • 尝试联系自动发现服务的每个方法

      • 尝试使用 HTTP 重定向方法联系自动发现服务

      • 尝试将自动发现 POST 请求发送到潜在的自动发现 URL

      • ExRCA 正在尝试从用户的 URL https://autodiscover-s.outlook.com/Autodiscover/Autodiscover.xml 检索和 XML 自动发现响应

        

   2. 检查以下两个条件是否均成立：

      • 联合帐户无法访问自动发现，并收到“HTTP 401 授权响应”错误消息。
      • 标准用户帐户可以访问自动发现。

   如果这两个条件都为 true，则你已确认 SSO 失败导致 Outlook 身份验证失败。

解决方法 1 - 向 Internet 公开本地 AD FS 2.0 联合身份验证服务

为本地 AD FS 2.0 环境设置 AD FS 2.0 联合服务器代理 (或设置支持 SSO 的 AD FS 2.0 联合身份验证服务) 的防火墙反向代理，然后将代理发布到 Internet。

解决方法 2 - 排查 AD FS 2.0 代理服务器的问题

有关如何排查 AD FS 2.0 代理服务器问题的详细信息，请参阅如何在用户登录到 Microsoft 365、Intune 或 Azure 时排查 AD FS 终结点连接问题。

仍然需要帮助？ 转到 Microsoft 社区 网站。