问题

联合用户无法使用在线交换中的智能手机向 Microsoft Outlook 或 Microsoft Exchange ActiveSync 进行身份验证。

原因

如果以下条件之一为 true,则可能发生此问题:

  • 本地活动目录联合服务 (AD FS) 2.0 联合身份验证服务不能从公共 Internet 获得。

  • AD FS 2.0 终结点使用的安全套接字层 (SSL) 证书由 Exchange 在线数据中心不信任的证书颁发机构颁发。

当前 Outlook 的 Exchange 联机终结点使用基本身份验证或代理身份验证。这意味着 Outlook 客户端使用基本身份验证对Outlook.com服务进行身份验证。如果Outlook.com确定用户是联合用户,则它代表客户端通过 SSL 将基本身份验证代理到用户的 AD FS 2.0 服务器。此操作在本地对用户进行身份验证,并为用户请求安全断言标记语言 (SAML) 声明或访问令牌。如果公开可用的 AD FS 2.0 终结点不可用,则身份验证过程不会成功,并且将拒绝用户访问服务终结点。使用 Microsoft 远程连接分析器测试本地 AD FS 2.0 联合服务是否导致联合用户的 Outlook 登录问题。为此,请按照以下步骤操作:

  1. 在 Internet 资源管理器中,浏览到https://www.testconnectivity.microsoft.com/?testid=O365Ola

  2. 键入电子邮件地址和凭据,单击以选择页面底部附近的确认复选框,键入验证码,然后单击"执行测试"。此测试应运行两次。使用以下每个凭据运行测试:

    • 在 Exchange 联机中具有邮箱的联合帐户

    • 在 Exchange 联机中具有邮箱的标准用户帐户 alternate text

  3. 检查两个测试的结果,以确定 AD FS 2.0 是否导致 Outlook 登录问题。向下钻取到测试详细信息树的以下节点:Testing RPC/HTTP connectivity- ExRCA is attempting to test Autodiscover for john@contoso.com- Attempting each method of contacting the Autodiscover service- Attempting to contact the Autodiscover service using the HTTP redirect method- Attempting to send an Autodiscover POST request to potential Autodiscover URLs- ExRCA is attempting to retrieve and XML Autodiscover response from URL htts://autodiscover-s.outlook.com/Autodiscover/Autodiscover.xml for user alternate textb. 检查以下两个条件是否为真:

    • 联合帐户无法访问自动发现并收到"HTTP 401 授权响应"错误消息。

    • 标准用户帐户可以访问自动发现。

    如果两个条件都为 true,则确认 SSO 失败导致 Outlook 身份验证失败。

解决 方案

要解决此问题,请使用以下方法之一,适合您的情况:

方法 1:将本地 AD FS 2.0 联合服务公开到 Internet

为支持 SSO 的本地 AD FS 2.0 联合服务器代理(或设置支持 SSO 的 AD FS 2.0 联合身份验证服务的防火墙反向代理)设置一个 AD FS 2.0 联合服务器代理,然后将代理发布到 Internet。氧实现,请访问以下微软网站:

规划和部署活动目录联合服务 2.0,以便与单一登录一起使用

方法 2:AD FS 2.0 代理服务器的疑难解答问题

有关如何解决 AD FS 2.0 代理服务器问题的详细信息,请参阅以下 Microsoft 知识库一文:

2712961当用户登录到 Office 365、Intune 或 Azure 时如何解决 AD FS 终结点连接问题

需要更多帮助?

扩展你的技能
了解培训
抢先获得新功能
加入 Microsoft 内部人员

此信息是否有帮助?

谢谢您的反馈意见!

×