Gli utenti federati non possono connettersi a una cassetta postale di Exchange Online
Sintomi
Un utente federato non può eseguire l'autenticazione in Microsoft Outlook o in Microsoft Exchange ActiveSync usando uno smartphone in Exchange Online.
Causa
Questo problema può verificarsi se si verifica una delle condizioni seguenti:
- Il servizio federativo Active Directory locale Federation Services (AD FS) 2.0 non è disponibile da Internet pubblico.
- Il certificato SSL (Secure Sockets Layer) usato dall'endpoint AD FS 2.0 viene emesso da un'autorità di certificazione non attendibile dal data center Exchange Online.
L'endpoint Exchange Online corrente per Outlook usa l'autenticazione di base o l'autenticazione proxy. Ciò significa che i client di Outlook eseguono l'autenticazione al servizio Outlook.com usando l'autenticazione di base. Se Outlook.com determina che l'utente è un utente federato, esegue il proxy dell'autenticazione di base tramite SSL al server AD FS 2.0 dell'utente per conto del client. Questa azione autentica l'utente in locale e richiede un'attestazione SAML (Security Assertion Markup Language) o un token di accesso per l'utente. Se un endpoint AD FS 2.0 disponibile pubblicamente non è disponibile, il processo di autenticazione non riesce e all'utente viene negato l'accesso all'endpoint del servizio.
Usare Microsoft Remote Connectivity Analyzer per verificare se il servizio federativo AD FS 2.0 locale causa problemi di accesso a Outlook per gli utenti federati. A tal fine, attenersi alla seguente procedura:
In Internet Explorer passare a Microsoft Remote Connectivity Analyzer.
Digitare l'indirizzo di posta elettronica e le credenziali, selezionare la casella di controllo acknowledgment nella parte inferiore della pagina, digitare il codice di verifica e quindi selezionare Esegui test. Questo test deve essere eseguito due volte. Eseguire il test usando ognuna delle credenziali seguenti:
- Un account federato con una cassetta postale in Exchange Online
- Un account utente standard con una cassetta postale in Exchange Online
Controllare i risultati di entrambi i test per determinare se AD FS 2.0 causa il problema di accesso di Outlook.
Eseguire il drill-down al nodo seguente dell'albero Dettagli test :
Test della connettività RPC/HTTP
ExRCA sta tentando di testare l'individuazione automatica per
john@contoso.com
Tentativo di ogni metodo di contatto con il servizio di individuazione automatica
Tentativo di contattare il servizio di individuazione automatica tramite il metodo di reindirizzamento HTTP
Tentativo di inviare una richiesta POST di individuazione automatica a potenziali URL di individuazione automatica
ExRCA sta tentando di recuperare e la risposta di individuazione automatica XML dall'URL
https://autodiscover-s.outlook.com/Autodiscover/Autodiscover.xml
per l'utente
Verificare se entrambe le condizioni seguenti sono vere:
- L'account federato non può accedere all'individuazione automatica e riceve un messaggio di errore "Risposta autorizzata HTTP 401".
- L'account utente standard può accedere all'individuazione automatica.
Se entrambe le condizioni sono vere, è stato confermato che gli errori SSO causano errori di autenticazione di Outlook.
Risoluzione 1: esporre il servizio federativo AD FS 2.0 locale a Internet
Configurare un proxy del server federativo AD FS 2.0 per l'ambiente AD FS 2.0 locale (o configurare un proxy inverso del firewall del servizio federativo AD FS 2.0) che supporta l'accesso SSO e quindi pubblicare il proxy su Internet.
Risoluzione 2 - Risolvere i problemi con il server proxy AD FS 2.0
Per altre informazioni su come risolvere i problemi relativi al server proxy di AD FS 2.0, vedere Come risolvere i problemi di connessione degli endpoint AD FS quando gli utenti accedono a Microsoft 365, Intune o Azure.
Ulteriore assistenza Passare al sito Web della community Microsoft .