联合用户无法连接到Exchange Online邮箱

症状

联合用户无法通过在Exchange Online中使用智能手机向 Microsoft Outlook 或 Microsoft Exchange ActiveSync 进行身份验证。

原因

如果以下条件之一为 true,则可能会出现此问题:

  • 公共 Internet 无法使用 本地 Active Directory 联合身份验证服务 (AD FS) 2.0 联合身份验证服务。
  • AD FS 2.0 终结点使用的安全套接字层 (SSL) 证书由不受Exchange Online数据中心信任的证书颁发机构颁发。

Outlook 的当前Exchange Online终结点使用基本身份验证或代理身份验证。 这意味着 Outlook 客户端使用基本身份验证向 Outlook.com 服务进行身份验证。 如果 Outlook.com 确定用户是联合用户,它将通过 SSL 的基本身份验证代理到代表客户端的 AD FS 2.0 服务器。 此操作在本地对用户进行身份验证,并为用户请求安全断言标记语言 (SAML) 声明或访问令牌。 如果公共可用的 AD FS 2.0 终结点不可用,则身份验证过程不会成功,并且拒绝用户访问服务终结点。

使用 Microsoft 远程连接分析器测试本地 AD FS 2.0 联合身份验证服务是否导致联合用户出现 Outlook 登录问题。 为此,请按照下列步骤操作:

  1. 在 Internet Explorer 中,转到 Microsoft 远程连接分析器

  2. 键入电子邮件地址和凭据,选择页面底部附近的 确认 复选框,键入验证码,然后选择 “执行测试”。 此测试应运行两次。 使用以下每个凭据运行测试:

    • 包含邮箱的联合帐户Exchange Online
    • 具有邮箱的标准用户帐户Exchange Online

    Microsoft 远程连接分析器页面的屏幕截图。

  3. 检查两个测试的结果,以确定 AD FS 2.0 是否导致 Outlook 登录问题。

    1. 向下钻取到测试 详细信息 树的以下节点:

      测试 RPC/HTTP 连接

      • ExRCA 正在尝试测试自动发现 john@contoso.com

      • 尝试联系自动发现服务的每个方法

      • 尝试使用 HTTP 重定向方法联系自动发现服务

      • 尝试向潜在的自动发现 URL 发送自动发现 POST 请求

      • ExRCA 正在尝试从用户的 URL https://autodiscover-s.outlook.com/Autodiscover/Autodiscover.xml 检索和 XML 自动发现响应

        已启用 SSO 的邮箱和标准邮箱测试结果的屏幕截图。

    2. 检查以下两个条件是否均为 true:

      • 联合帐户无法访问自动发现并收到“HTTP 401 授权响应”错误消息。
      • 标准用户帐户可以访问自动发现。

    如果这两种情况都属实,则已确认 SSO 失败会导致 Outlook 身份验证失败。

解决方法 1 - 向 Internet 公开本地 AD FS 2.0 联合身份验证服务

为本地 AD FS 2.0 环境设置 AD FS 2.0 联合服务器代理 (或设置支持 SSO 的 AD FS 2.0 联合身份验证服务) 的防火墙反向代理,然后将代理发布到 Internet。

解决方法 2 - 排查 AD FS 2.0 代理服务器的问题

有关如何排查 AD FS 2.0 代理服务器问题的详细信息,请参阅用户登录 Microsoft 365、Intune 或 Azure 时如何排查 AD FS 终结点连接问题

仍然需要帮助? 转到 Microsoft 社区 网站。