Les utilisateurs fédérés ne peuvent pas se connecter à une boîte aux lettres Exchange Online

  • Article
  • S’applique à:
    Exchange Online, Exchange, Outlook, Azure Active Directory

Symptômes

Un utilisateur fédéré ne peut pas s’authentifier auprès de Microsoft Outlook ou de Microsoft Exchange ActiveSync à l’aide d’un smartphone dans Exchange Online.

Cause

Ce problème peut se produire si l’une des conditions suivantes est remplie :

  • Le service de fédération Active Directory local (AD FS) 2.0 n’est pas disponible à partir de l’Internet public.
  • Le certificat SSL (Secure Sockets Layer) utilisé par le point de terminaison AD FS 2.0 est émis par une autorité de certification qui n’est pas approuvée par le centre de données Exchange Online.

Le point de terminaison Exchange Online actuel pour Outlook utilise l’authentification de base ou l’authentification proxy. Cela signifie que les clients Outlook s’authentifient auprès du service Outlook.com à l’aide de l’authentification de base. Si Outlook.com détermine que l’utilisateur est un utilisateur fédéré, il proxère l’authentification de base sur SSL sur le serveur AD FS 2.0 de l’utilisateur pour le compte du client. Cette action authentifie l’utilisateur localement et demande une revendication ou un jeton d’accès SAML (Security Assertion Markup Language) pour l’utilisateur. Si un point de terminaison AD FS 2.0 disponible publiquement n’est pas disponible, le processus d’authentification échoue et l’accès au point de terminaison de service est refusé à l’utilisateur.

Utilisez Microsoft Remote Connectivity Analyzer pour tester si le service de fédération AD FS 2.0 local provoque des problèmes d’ouverture de session Outlook pour les utilisateurs fédérés. Pour cela, procédez comme suit :

  1. Dans Internet Explorer, accédez à Microsoft Remote Connectivity Analyzer.

  2. Tapez l’adresse e-mail et les informations d’identification, sélectionnez la zone d’accusé de réception case activée en bas de la page, tapez le code de vérification, puis sélectionnez Effectuer un test. Ce test doit être exécuté deux fois. Exécutez le test à l’aide de chacune des informations d’identification suivantes :

    • Un compte fédéré qui a une boîte aux lettres dans Exchange Online
    • Un compte d’utilisateur standard avec une boîte aux lettres dans Exchange Online

    Capture d’écran de la page Analyseur de connectivité à distance Microsoft.

  3. Vérifiez les résultats des deux tests pour déterminer si AD FS 2.0 est à l’origine du problème de connexion Outlook.

    1. Accédez au nœud suivant de l’arborescence Détails du test :

      Test de la connectivité RPC/HTTP

      • ExRCA tente de tester la découverte automatique pour john@contoso.com

      • Tentative de chaque méthode de contact du service de découverte automatique

      • Tentative de contact avec le service de découverte automatique à l’aide de la méthode de redirection HTTP

      • Tentative d’envoi d’une requête POST de découverte automatique à des URL de découverte automatique potentielles

      • ExRCA tente de récupérer et la réponse de découverte automatique XML à partir de l’URL https://autodiscover-s.outlook.com/Autodiscover/Autodiscover.xml pour l’utilisateur

        Capture d’écran de la boîte aux lettres prenant en charge l’authentification unique et des résultats des tests de boîte aux lettres standard.

    2. Vérifiez si les deux conditions suivantes sont remplies :

      • Le compte fédéré ne peut pas accéder à la découverte automatique et reçoit un message d’erreur « RÉPONSE AUTORISÉE HTTP 401 ».
      • Le compte d’utilisateur standard peut accéder à la découverte automatique.

    Si les deux conditions sont remplies, vous avez confirmé que les échecs de l’authentification unique provoquent l’échec de l’authentification Outlook.

Résolution 1 : exposer le service de fédération AD FS 2.0 local à Internet

Configurez un proxy de serveur de fédération AD FS 2.0 pour l’environnement AD FS 2.0 local (ou configurez un proxy inverse de pare-feu du service de fédération AD FS 2.0) qui prend en charge l’authentification unique, puis publiez le proxy sur Internet.

Résolution 2 - Résoudre les problèmes liés au serveur proxy AD FS 2.0

Pour plus d’informations sur la résolution des problèmes de serveur proxy AD FS 2.0, consultez Résolution des problèmes de connexion de point de terminaison AD FS lorsque les utilisateurs se connectent à Microsoft 365, Intune ou Azure.

Encore besoin d’aide ? Accédez au site web de la Communauté Microsoft .