同盟用戶無法連線到 Exchange Online 信箱

徵狀

同盟用戶無法使用 Exchange Online 中的智慧型手機向 Microsoft Outlook 或 Microsoft Exchange ActiveSync 進行驗證。

原因

如果下列其中一個條件成立，就會發生此問題：

• 內部部署的 Active Directory 同盟服務 (AD FS) 2.0 同盟服務無法從公用因特網使用。
• AD FS 2.0 端點所使用的安全套接字層 (SSL) 憑證是由 Exchange Online 資料中心不信任的證書頒發機構單位所發行。

Outlook 目前的 Exchange Online 端點會使用基本身份驗證或 Proxy 驗證。 這表示 Outlook 用戶端會使用基本身份驗證向 Outlook.com 服務進行驗證。 如果 Outlook.com 判斷使用者是同盟使用者，則會代表用戶端將透過SSL的基本身份驗證代理至使用者的AD FS 2.0 伺服器。 此動作會在本機驗證使用者，並要求使用者的安全性判斷提示標記語言 (SAML) 宣告或存取令牌。 如果無法使用公開可用的 AD FS 2.0 端點，則驗證程式不會成功，且使用者無法存取服務端點。

使用 Microsoft 遠端連線分析器來測試內部部署 AD FS 2.0 同盟服務是否造成同盟使用者的 Outlook 登入問題。 如果要執行這項操作，請依照下列步驟執行：

1. 在 Internet Explorer 中，移至 [Microsoft 遠端連線分析器]。

2. 輸入電子郵件地址和認證，選取接近頁面底部的 [ 通知 ] 複選框，輸入驗證碼，然後選取 [ 執行測試]。 此測試應該執行兩次。 使用下列每個認證來執行測試：

   • 在 Exchange Online 中具有信箱的同盟帳戶
   • 在 Exchange Online 中具有信箱的標準用戶帳戶

   

3. 檢查這兩個測試的結果，以判斷 AD FS 2.0 是否造成 Outlook 登入問題。

   1. 向下切入至 [ 測試詳細資料 ] 樹狀結構的下列節點：

      測試 RPC/HTTP 連線能力

      • ExRCA 嘗試測試自動探索 john@contoso.com

      • 嘗試連絡自動探索服務的每個方法

      • 嘗試使用 HTTP 重新導向方法連絡自動探索服務

      • 嘗試將自動探索POST要求傳送至潛在的自動探索URL

      • ExRCA 嘗試從使用者的 URL https://autodiscover-s.outlook.com/Autodiscover/Autodiscover.xml 擷取和 XML 自動探索回應

        

   2. 檢查下列兩個條件是否成立：

      • 同盟帳戶無法存取自動探索，並收到「HTTP 401 授權回應」錯誤訊息。
      • 標準用戶帳戶可以存取自動探索。

   如果這兩個條件都成立，您已確認 SSO 失敗導致 Outlook 驗證失敗。

解決方案 1 - 將內部部署 AD FS 2.0 同盟服務公開至因特網

設定內部部署 AD FS 2.0 環境的 AD FS 2.0 同盟伺服器 Proxy (或設定支援 SSO 之 AD FS 2.0 同盟服務) 的防火牆反向 Proxy，然後將 Proxy 發佈至因特網。

解決方案 2 - 針對 AD FS 2.0 Proxy 伺服器的問題進行疑難解答

如需如何針對 AD FS 2.0 Proxy 伺服器問題進行疑難解答的詳細資訊，請參閱如何針對使用者登入 Microsoft 365、Intune 或 Azure 時的 AD FS 端點聯機問題進行疑難解答。

是否仍需要協助？ 移至 Microsoft 社群 網站。