Outlook no se conecta cuando se usa la autenticación moderna
Síntomas
Imagine la siguiente situación:
Su organización tiene un entorno híbrido de Microsoft Exchange.
La detección automática apunta a Exchange Server locales.
Tiene un cliente MSI profesional de Microsoft Outlook 2016.
En este escenario, se producen los siguientes problemas al intentar agregar la cuenta de correo electrónico de Exchange Online a Outlook:
La ventana del símbolo del sistema de autenticación moderna queda en blanco después de escribir las credenciales de Exchange Online.
Outlook no agrega la cuenta al perfil predeterminado de Outlook.
Causa
Al escribir sus credenciales, el cliente de Outlook se conecta a Exchange Online para solicitar un token de OAuth para el principio de recurso de detección automática local. Sin embargo, se produce un error en la autenticación porque la entidad de seguridad de recursos es:
Falta en la lista de nombres de entidad de seguridad de servicio (SPN) en el inquilino de Microsoft Entra.
En un estado no válido dentro del inquilino de Microsoft Entra.
Solución
Para agregar la cuenta de correo electrónico Exchange Online a Outlook, use cualquiera de las siguientes resoluciones.
Solución 1
Use una versión de Hacer clic y ejecutar de Outlook. Las versiones de hacer clic y ejecutar de Outlook determinan si existe una cuenta de usuario en Exchange Online, como se describe en el paso 4 de Outlook 2016 implementación de detección automática.
Solución 2
Agregue el principio de recurso de detección automática que falta a la lista de SPN del inquilino de Microsoft Entra. Siga estos pasos:
Determine el nombre de la entidad de seguridad de recursos mediante cualquiera de los métodos siguientes:
Búsqueda los registros de inicio de sesión de Microsoft Entra para el siguiente mensaje de error de inicio de sesión:
"status": { "errorCode": 500011, "failureReason": "The resource principal named <resource principal name> was not found in the tenant named <tenant name>. This can happen if the application has not been installed by the administrator of the tenant or consented to by any user in the tenant. You might have sent your authentication request to the wrong tenant."Obtenga el nombre de la entidad de seguridad de recursos del mensaje de error.
Cuando escriba sus credenciales para agregar la cuenta de correo electrónico Exchange Online, use un analizador de protocolos de red para capturar el tráfico de red. Búsqueda el tráfico de red capturado para una solicitud POST que tiene todos los elementos siguientes:
- Dirección URL de punto de conexión que contiene
oauth2/token HTTP/1.1 - Un código de estado de respuesta HTTP 400 (solicitud incorrecta)
- Mensaje de error en el cuerpo de la respuesta similar al siguiente:
"error":"invalid_resource","error_description":"AADSTS500011: The resource principal named <resource principal name> was not found in the tenant named <tenant name>. This can happen if the application has not been installed by the administrator of the tenant or consented to by any user in the tenant. You might have sent your authentication request to the wrong tenant.Obtenga el nombre de la entidad de seguridad de recursos del mensaje de error.
- Dirección URL de punto de conexión que contiene
Un ejemplo del nombre principal del recurso es
https://autodiscover.contoso.com.Agregue el nombre de entidad de seguridad de recursos a la lista de SPN en el inquilino de Microsoft Entra siguiendo el procedimiento que se describe en Paso 5: Registrar todas las entidades de host para los puntos de conexión HTTP locales internos y externos de Exchange.
Nota:
Puede comprobar la lista de SPN en Microsoft Entra ID ejecutando el siguiente comando:
Get-MsolServicePrincipal -AppPrincipalId 00000002-0000-0ff1-ce00-000000000000 | select -ExpandProperty ServicePrincipalNames
Nota:
Los módulos de PowerShell de Azure AD y MSOnline están en desuso a partir del 30 de marzo de 2024. Para obtener más información, lea la actualización de desuso. Después de esta fecha, la compatibilidad con estos módulos se limita a la ayuda de migración al SDK de PowerShell de Microsoft Graph y a las correcciones de seguridad. Los módulos en desuso seguirán funcionando hasta el 30 de marzo de 2025.
Se recomienda migrar a Microsoft Graph PowerShell para interactuar con Microsoft Entra ID (anteriormente Azure AD). Para obtener preguntas comunes sobre la migración, consulte las Preguntas más frecuentes sobre la migración. Nota: Las versiones 1.0.x de MSOnline pueden experimentar interrupciones después del 30 de junio de 2024.
Para comprobar que los puntos de conexión de Exchange Server y Exchange Online locales pueden autenticar correctamente las solicitudes entre sí, use el cmdlet Test-OAuthConnectivity.
Comentarios
Próximamente: A lo largo de 2024 iremos eliminando gradualmente GitHub Issues como mecanismo de comentarios sobre el contenido y lo sustituiremos por un nuevo sistema de comentarios. Para más información, vea: https://aka.ms/ContentUserFeedback.
Enviar y ver comentarios de