Partager via

Outlook ne se connecte pas lors de l’utilisation de l’authentification moderne

  • Article
  • S’applique à:
    Exchange Online, Outlook 2016 Professional MSI

Symptômes

Prenons l’exemple du scénario suivant :

  • Votre organisation dispose d’un environnement Microsoft Exchange hybride.

  • La découverte automatique pointe vers exchange server local.

  • Vous disposez d’un client MSI Professionnel Microsoft Outlook 2016.

Dans ce scénario, vous rencontrez les problèmes suivants lorsque vous essayez d’ajouter votre compte de messagerie Exchange Online à Outlook :

  • La fenêtre d’invite d’authentification moderne est vide une fois que vous avez entré vos informations d’identification Exchange Online.

  • Outlook n’ajoute pas le compte à votre profil Outlook par défaut.

Cause

Lorsque vous entrez vos informations d’identification, le client Outlook se connecte à Exchange Online pour demander un jeton OAuth pour le principe de ressource de découverte automatique locale. Toutefois, l’authentification échoue, car le principal de ressource est :

  • Absent de la liste des noms de principal de service (SPN) dans le locataire Microsoft Entra.

  • Dans un état non valide au sein du locataire Microsoft Entra.

Résolution

Pour ajouter votre compte de messagerie Exchange Online à Outlook, utilisez l’une des résolutions suivantes.

Résolution 1

Utilisez une version Démarrer en un clic d’Outlook. Les versions d’Outlook « Démarrer en un clic » déterminent si un compte d’utilisateur existe dans Exchange Online, comme décrit à l’étape 4 de l’implémentation d’Outlook 2016 de la découverte automatique.

Résolution 2

Ajoutez le principe de ressource de découverte automatique manquante à la liste SPN dans le locataire Microsoft Entra. Procédez comme suit :

  1. Déterminez le nom du principal de la ressource à l’aide de l’une des méthodes suivantes :

    • Recherchez dans les journaux de connexion Microsoft Entra le message d’échec de connexion suivant :

      "status": {
    "errorCode": 500011,
    "failureReason": "The resource principal named <resource principal name> was not found in  
the tenant named <tenant name>. This can happen if the application has not been installed by 
the administrator of the tenant or consented to by any user in the tenant. You might have sent 
your authentication request to the wrong tenant."

      Obtenez le nom du principal de la ressource à partir du message d’échec.

    • Lorsque vous entrez vos informations d’identification pour ajouter votre compte de messagerie Exchange Online, utilisez un analyseur de protocole réseau pour capturer le trafic réseau. Recherchez dans le trafic réseau capturé une requête POST qui contient tous les éléments suivants :

      • URL de point de terminaison qui contient oauth2/token HTTP/1.1
      • Code d’état de réponse HTTP 400 (requête incorrecte)
      • Message d’erreur dans le corps de la réponse qui ressemble au message suivant :
      "error":"invalid_resource","error_description":"AADSTS500011: The resource principal named 
<resource principal name> was not found in the tenant named <tenant name>. This can happen 
if the application has not been installed by the administrator of the tenant or consented to
by any user in the tenant. You might have sent your authentication request to the wrong tenant.

      Obtenez le nom du principal de la ressource à partir du message d’erreur.

    Un exemple de nom de principal de ressource est https://autodiscover.contoso.com.

  2. Ajoutez le nom du principal de la ressource à la liste SPN dans le locataire Microsoft Entra en suivant la procédure décrite à l’Étape 5 : Inscrire toutes les autorités de nom d’hôte pour vos points de terminaison HTTP Exchange locaux internes et externes.

    Remarque

    Vous pouvez vérifier la liste des SPN dans l’ID Microsoft Entra en exécutant la commande suivante :

    Get-MsolServicePrincipal -AppPrincipalId 00000002-0000-0ff1-ce00-000000000000 | select -ExpandProperty ServicePrincipalNames

Remarque

Les modules PowerShell Azure AD et MSOnline seront obsolètes à compter du 30 mars 2024. Pour en savoir plus, consultez la mise à jour sur l’obsolescence. Après cette date, la prise en charge de ces modules sera limitée à l’assistance à la migration vers le kit de développement logiciel Microsoft Graph PowerShell et aux correctifs de sécurité. Les modules obsolètes continueront de fonctionner jusqu’au 30 mars 2025.

Nous vous recommandons de migrer vers Microsoft Graph PowerShell pour interagir avec Microsoft Entra ID (anciennement Azure AD). Pour toutes questions liées à la migration, consultez la FAQ sur la migration. Remarque : les versions 1.0.x de MSOnline pourront subir des perturbations après le 30 juin 2024.

Pour vérifier que les points de terminaison Exchange Server et Exchange Online locaux peuvent authentifier correctement les demandes les uns des autres, utilisez l’applet de commande Test-OAuthConnectivity .