Přihlášení k Microsoftu 365, Azure nebo Intune selže po změně koncového bodu federační služby

Problém

Po změně nastavení koncového bodu služby Active Directory Federation Services (AD FS) (AD FS) v konzole pro správu služby AD FS selže ověřování pomocí jednotného přihlašování (SSO) na cloudovou službu Microsoftu, jako je Microsoft 365, Microsoft Azure nebo Microsoft Intune, a zaznamenáte jeden z následujících příznaků:

  • Federované uživatele se nemůžou přihlásit k Microsoftu 365, Azure ani Intune pomocí bohatých klientských aplikací.
  • Aplikace prohlížeče opakovaně vyzývají uživatele k zadání přihlašovacích údajů při pokusu o ověření ve službě AD FS během ověřování jednotného přihlašování.

Příčina

K tomuto problému může dojít, pokud platí jedna z následujících podmínek:

  • Koncové body služby AD FS jsou nesprávně nakonfigurované.
  • Ověřování protokolem Kerberos na serveru služby AD FS je přerušené.

Řešení

Pokud chcete tento problém vyřešit, použijte některou z následujících metod, která je vhodná pro vaši situaci.

Řešení 1: Obnovení výchozí konfigurace koncového bodu služby AD FS

Pokud chcete obnovit výchozí nastavení koncového bodu služby AD FS, postupujte na primárním serveru SLUŽBY AD FS takto:

  1. Otevřete konzolu pro správu služby AD FS a v levém navigačním podokně přejděte do služby AD FS, pak na službu a potom na koncové body.

    Snímek obrazovky ukazuje kroky pro kontrolu výchozího nastavení koncového bodu služby A D F S.

  2. Prohlédněte si seznam koncových bodů a ujistěte se, že jsou položky v tomto seznamu povolené (minimálně):

    Cesta url Povoleno Proxy server povolen
    /adfs/ls/ Pravda Pravda
    /adfs/services/trust/2005/windowstransport Pravda False
    /adfs/services/trust/2005/certificatemixed Pravda Pravda
    /adfs/services/trust/2005/certificatetransport Pravda Pravda
    /adfs/services/trust/2005/usernamemixed Pravda Pravda
    /adfs/services/trust/2005/kerberosmixed Pravda False
    /adfs/services/trust/2005/issuedtokenmixedasymmetricbasic256 Pravda Pravda
    /adfs/services/trust/2005/issuedtokenmixedsymmetricbasic256 Pravda Pravda
    /adfs/services/trust/13/kerberosmixed Pravda False
    /adfs/services/trust/13/certificatemixed Pravda Pravda
    /adfs/services/trust/13/usernamemixed Pravda Pravda
    /adfs/services/trust/13/issuedtokenmixedasymmetricbasic256 Pravda Pravda
    /adfs/services/trust/13/issuedtokenmixedsymmetricbasic256 Pravda Pravda
    /adfs/services/trusttcp/windows Pravda False
    /adfs/services/trust/mex Pravda Pravda
    /FederationMetadata/2007-06/FederationMetadata.xml Pravda Pravda
    /adfs/ls/federationserverservice.asmx Pravda False
  3. Pokud se položka v seznamu neshoduje s výchozím nastavením v předchozí tabulce, klikněte na položku pravým tlačítkem myši a podle potřeby vyberte Povolit nebo Povolit na proxy serveru.

    Poznámka

    WS-Trust koncových bodů Windows (/adfs/services/trust/2005/windowstransport a /adfs/services/trust/13/windowstransport) jsou určené jenom pro intranetové koncové body, které používají vazbu WIA na HTTPS.

    Tyto koncové body by měly být na proxy serveru vždy zakázané (tj. zakázané z extranetu), aby se chránily uzamčení účtu AD.

Řešení 2: Řešení potíží s ověřováním kerberos

Další informace o řešení potíží s ověřováním kerberos najdete v následujícím článku znalostní báze Microsoft Knowledge Base:

2461628 Při přihlašování k Microsoftu 365, Azure nebo Intune se federovanému uživateli opakovaně zobrazuje výzva k zadání přihlašovacích údajů.

Další informace

Stále potřebujete pomoc? Přejděte na stránku Komunita Microsoft nebo Azure Active Directory Forums.