登入期間的 AD FS 端點連線問題。 - Microsoft 365

發行項
03/13/2024
適用於:

Cloud Services (Web roles/Worker roles), Azure Active Directory, Microsoft Intune, Azure Backup, Microsoft 365

問題

當使用者使用同盟使用者帳戶登入 Microsoft 365、Microsoft Intune 或 Microsoft Azure 等 Microsoft 雲端服務時，只有當使用者嘗試執行下列動作時，Active Directory 同盟服務 (AD FS) 服務的連線才會失敗：

這種情況也會造成遠端連線分析器執行的 SSO 測試失敗。

如需如何執行遠端連線分析器以在 Microsoft 365 中測試 SSO 驗證的詳細資訊，請參閱 Microsoft 知識庫中的下列文章：

如果AD FS服務未正確地向因特網公開，就會發生這些失敗。一般而言，AD FS Proxy 伺服器是用於此目的，而 AD FS Proxy 伺服器的問題會造成這些徵兆。常見問題包括：

指派給AD FS Proxy 伺服器的過期SSL憑證

通常，相同的 SSL 憑證可用來協助保護 AD FS 同盟服務和 AD FS Proxy 伺服器的通訊 (HTTPS) 。當此憑證過期，且 AD FS 同盟服務伺服器陣列上的憑證更新或更新時，也必須在所有 AD FS Proxy 伺服器上更新 SSL 憑證。如果在此情況下 AD FS Proxy 伺服器 SSL 憑證未更新，即使 AD FS 同盟服務狀況良好，AD FS 服務的因特網連線仍可能會失敗。
IIS 驗證端點的設定不正確

AD FS Proxy 伺服器的角色是接收導向 AD FS 的因特網通訊，並將該通訊轉送至 AD FS 同盟服務。因此，AD FS 同盟服務和 Proxy 伺服器的 IIS 驗證設定必須互補。當 AD FS Proxy 伺服器 IIS 驗證設定未設定為補充 AD FS 同盟服務 IIS 驗證設定時，登入可能會失敗或可能會產生多個非預期的提示。
AD FS Proxy 伺服器與AD FS同盟服務之間的信任中斷

AD FS Proxy 服務的設計目的是要安裝在未加入網域的計算機上。因此，AD FS Proxy 伺服器與 AD FS 同盟服務之間的通訊不能以 Active Directory 信任或認證為基礎。相反地，這兩個伺服器角色之間的通訊是使用由AD FS同盟服務簽發給AD FS Proxy 伺服器並由AD FS令牌簽署憑證簽署的令牌來建立。當此信任過期或無效時，AD FS Proxy 服務無法轉送 AD FS 要求，而且必須重建信任才能還原功能。

若要解決此問題，請根據您的情況，在所有運作不正確的 AD FS Proxy 伺服器上使用下列其中一種方法。

如果要執行這項操作，請依照下列步驟執行：

使用下列 Microsoft 知識庫文章，針對 AD FS 同盟服務上的 SSL 憑證問題進行疑難解答 (而非 Proxy 服務) ：

2523494當您嘗試登入 Microsoft 365、Azure 或 Intune 時，會收到來自 AD FS 的憑證警告
如果 AD FS 同盟服務 SSL 憑證正常運作，請使用憑證匯出和匯入函式更新 AD FS Proxy 伺服器上的 SSL 憑證。如需詳細資訊，請參閱下列 Microsoft 知識庫文章：
179380 如何移除、匯入和導出數字證書

若要這樣做，請遵循下列適用於AD FS Proxy 伺服器的 Microsoft 知識庫文章之解決方案 1 中所述的步驟：

2461628在登入 Microsoft 365、Azure 或 Intune 期間，會重複提示同盟使用者輸入認證

若要這樣做，請從所有受影響 AD FS Proxy 伺服器的系統管理工具介面重新執行 AD FS 同盟伺服器 Proxy 設定精靈。

注意事項

當您重新執行設定精靈時，通常會收到來自「部署瀏覽器登入網站」步驟的警告。這並不表示精靈並未重建AD FS Proxy 伺服器與AD FS同盟服務之間的信任。

如需如何使用 AD FS Proxy 伺服器向因特網公開 AD FS 服務的詳細資訊，請移至下列 Microsoft 網站：

是否仍需要協助？前往 Microsoft Community。