Compartilhar via

Como solucionar problemas de conexão do endpoint do AD FS quando os usuários fizerem login no Microsoft 365, no Intune ou no Azure

  • Aplica-se a: Cloud Services (Web roles/Worker roles), Azure Active Directory, Microsoft Intune, Azure Backup, Microsoft 365

Problema

Quando os usuários se conectam a um serviço de nuvem da Microsoft, como o Microsoft 365, o Microsoft Intune ou o Microsoft Azure usando uma conta de usuário federada, a conexão com o serviço AD FS (Serviços de Federação do Active Directory) falha somente quando os usuários tentam fazer o seguinte:

  • Conectar-se a partir de um local remoto da Internet
  • Usar conexões de email para entrar

Essa situação também faz com que os testes de SSO que o Analisador de Conectividade Remota conduz falhem.

Para obter mais informações sobre como executar o Analisador de Conectividade Remota para testar a autenticação de SSO no Microsoft 365, consulte os seguintes artigos na Base de Dados de Conhecimento da Microsoft:

  • 2650717 Como usar o Analisador de Conectividade Remota para solucionar problemas de logon único para Microsoft 365, Azure ou Intune
  • 2466333 usuários federados não podem se conectar a uma caixa de correio do Exchange Online

Motivo

Essas falhas poderão ocorrer se o serviço do AD FS não for exposto corretamente à Internet. Normalmente, o servidor proxy do AD FS é usado para essa finalidade e problemas com o servidor proxy do AD FS causarão esses sintomas. Os problemas comuns incluem o seguinte:

  • Certificado SSL expirado atribuído ao servidor proxy do AD FS

    Frequentemente, o mesmo certificado SSL é usado para ajudar a proteger a comunicação (HTTPS) para o Serviço de Federação do AD FS e o servidor proxy do AD FS. Quando esse certificado expira e o certificado é renovado ou atualizado no farm do Serviço de Federação do AD FS, o certificado SSL também deve ser atualizado em todos os servidores proxy do AD FS. Se o certificado SSL do servidor proxy do AD FS não for atualizado nesse caso, as conexões de Internet com o serviço do AD FS poderão falhar, mesmo que o Serviço de Federação do AD FS esteja íntegro.

  • Configuração incorreta de pontos de extremidade de autenticação do IIS

    A função do servidor proxy do AD FS é receber a comunicação com a Internet direcionada ao AD FS e retransmitir essa comunicação para o Serviço de Federação do AD FS. Portanto, é importante que a configuração de autenticação do IIS do Serviço de Federação do AD FS e do servidor proxy seja complementar. Quando as configurações de autenticação do IIS do servidor proxy do AD FS não são definidas para complementar as configurações de autenticação do IIS do Serviço de Federação do AD FS, a entrada pode falhar ou pode gerar vários prompts inesperados.

  • Confiança interrompida entre o servidor proxy do AD FS e o Serviço de Federação do AD FS

    O serviço proxy do AD FS foi projetado para ser instalado em um computador não ingressado no domínio. Portanto, a comunicação entre o servidor proxy do AD FS e o Serviço de Federação do AD FS não pode ser baseada em uma confiança ou credenciais do Active Directory. Em vez disso, a comunicação entre essas duas funções de servidor é estabelecida usando um token emitido para o servidor proxy do AD FS pelo Serviço de Federação do AD FS e assinado pelo certificado de assinatura de token do AD FS. Quando essa confiança está expirada ou inválida, o Serviço de Proxy do AD FS não pode retransmitir solicitações do AD FS e a confiança deve ser recriada para restaurar a funcionalidade.

Solução

Para resolver esse problema, use um dos métodos a seguir, conforme apropriado para sua situação, em todos os servidores proxy do AD FS com defeito.

Método 1: corrigir problemas de certificado SSL do AD FS no servidor AD FS

Para fazer isso, siga estas etapas:

  1. Solucione problemas de certificado SSL no Serviço de Federação do AD FS (não no Serviço de Proxy) usando o seguinte artigo da Base de Dados de Conhecimento da Microsoft:

    2523494 Você recebe um aviso de certificado do AD FS ao tentar entrar no Microsoft 365, Azure ou Intune

  2. Se o certificado SSL do Serviço de Federação do AD FS estiver funcionando corretamente, atualize o certificado SSL no servidor proxy do AD FS usando as funções de exportação e importação de certificado. Para obter mais informações, consulte o seguinte artigo da Base de Dados de Conhecimento da Microsoft:
    179380 Como remover, importar e exportar certificados digitais

Método 2: Redefinir as configurações de autenticação do IIS do servidor proxy do AD FS como padrão

Para fazer isso, siga as etapas descritas na Resolução 1 do seguinte artigo da Base de Dados de Conhecimento da Microsoft para o servidor proxy do AD FS:

2461628 um usuário federado é solicitado repetidamente para obter credenciais durante a entrada no Microsoft 365, Azure ou Intune

Método 3: executar novamente o assistente de Configuração de Proxy do AD FS

Para fazer isso, execute novamente o Assistente de Configuração de Proxy do Servidor de Federação do AD FS na interface de Ferramentas Administrativas de todos os servidores proxy do AD FS afetados.

Observação

É comum receber um aviso da etapa "Implantar site de entrada do navegador" ao executar novamente o assistente de configuração. Isso não é uma indicação de que o assistente não reconstruiu a relação de confiança entre o servidor proxy do AD FS e o Serviço de Federação do AD FS.

Mais informações

Para obter mais informações sobre como expor o serviço do AD FS à Internet usando um servidor proxy do AD FS, acesse o seguinte site da Microsoft:

Planejar e implantar o AD FS 2.0 para uso com logon único

Ainda precisa de ajuda? Aceda à Comunidade Microsoft.

  • Last updated on