none
ADFS Loop with Office 365 add work account RRS feed

  • Domanda

  • Hello everyone,

    I have two ADFS server\Domain Controller with windows 2016. The problem comes up when i updated the certificate for the ADFS service communication.

    Now I have a functioning ADFS environememt that perfectly authenticates on-premises users to Office 365.

    Im testing getting Azure AD join to work on Windows 10 machines, but when trying to join the machine we can't get any further than the ADFS login page but i receive a loop Windows security windows that ask me the credential over and over.


    The computer is not domain joined and the attempt to join it to Azure AD fails. From the same machine it is possible to login to http://portal.office.com with the same account with no problems from any web browser.

    It also works fine with the https://(sts.yourdomain.com)/adfs/ls/idpinitiatedsignon.aspx? link. It's only in the Azure AD join process that the issue occurs.

    The only way to restart the account is to disconnect it from the control panel of the workstation, then reopen outlook and then the adfs login page appears, but very strange if i launch the login from the control panel work account the system fails.

    Today also i've checked my certificates on the ADFS server:

    the encrypting and decrypting certificates haven't expired; also the the 365 Relying Party Trust is correct, updating federation metadata.

    A big problem beacuse i want to install intune on the workstations and i can't record the device.

    Any ideas?

    mercoledì 20 gennaio 2021 14:59

Risposte

  • scusa le tante domande ma vorrei inquadrare bene la situazione.

    il tuo scopo è quello di installare intune su macchine che non sono joinate al tuo dominio Azure AD ?

    https://docs.microsoft.com/en-us/troubleshoot/mem/intune/enroll-devices-in-intune-tip


    Edoardo Benussi
    e[dot]benussi[at]outlook[dot]it

    lunedì 22 febbraio 2021 09:23
    Moderatore
  • Ciao, ho trovato un modo per aggirare il problema ed è anche il metodo più corretto per lavorare.

    Una volta fatto il join all'Azure active directory domain al primo login richiede la password di Active Directory e

    poiché ormai è sincronizzata crea il nuovo profilo Windows 10 Business e poi tutte le app di conseguenza partono senza più intervenire anche dopo il cambio password.

    Mi sarebbe piaciuto capire cosa era che bloccava il processo ma credo che sia diventato solo una perdita di tempo oramai, grazie ancora per la disponibilità.

    martedì 2 marzo 2021 20:36

Tutte le risposte

  • in concomitanza al tentativo di accesso trovi qualche errore nel registro eventi, sezione applications ?

    Edoardo Benussi
    e[dot]benussi[at]outlook[dot]it

    lunedì 25 gennaio 2021 10:53
    Moderatore
  • Ciao,

    ho provato a cercare sul registro degli eventi del server ADFS (da Application service LOG > ADFS> admin), ma li non ci sono tracce di errore; anche se, ad esempio, digito la password sbagliata, nella schermata dell'immagine che ho postato sopra , non viene registrata nessuna autenticazione nel LOG e subito dopo compare una schermata tipo accesso in corso completamente BLANK all'infinito.

    Nel log del client mi sembra non esserci nulla, anche perché in effetti non c'è mai un errore, entrando in loop la schermata posso solo fare il kill del processo.

    Il problema è insorto da quando è stato aggiornato il certificato della criptazione tra i server ADFS e WAP, sono convinto che lì è stato toccato qualcosa che inibisce il login\joim Azure AD e quindi, l'aggiunta dell'account di lavoro dalle impostazioni del pannello di controllo.

    La cosa che mi dà da riflettere è che se disconnetto l'utente dal pannello di controllo e apro outlook o se creo un altro profilo di posta con la mia utenza compare finalmente il prompt del login dell'ADFS e da lì riesco a riesumare la connessione all'account con tutte le app di office 365.

    Tutto ciò sta diventando vitale poiché vorrei fare l'enroll dei pc su intune e procedura vuole che io faccia il join  manualmente per il momento poiché sto eseguendo ancora i primi test.



    • Modificato Patrizio_77 martedì 26 gennaio 2021 10:49
    martedì 26 gennaio 2021 10:44
  • il certificato della criptazione come è stato aggiornato ?

    chi ha rilasciato questo certificato ?

    il certificato nuovo è un certificato valido ?

    nel registro eventi sotto Application hai errori di origine CertificateServicesClient ?


    Edoardo Benussi
    e[dot]benussi[at]outlook[dot]it

    lunedì 1 febbraio 2021 13:27
    Moderatore
  • Il certificato è stato aggiornato con la procedura standard per i server ADFS:

    ho acquistato il certificato presso Trust Italia, ho creato il CSR e ho prodotto la
    richiesta.
    Una volta ottenuto il pfx sono andato avanti installandolo sul server ADFS principale
    poi sulla replica in cloud e infine sui WAP server.

    Dopo molte ore di lavoro abbiamo reso di nuovo operativo il tutto, ma ci siamo accorti che sia 
    sui telefoni e sui pc portatili (tutti quanti non connessi all'azure active drectory ma solo registrati con account aziendale)non riuscivamo più ad accedere alle app.

    Per i telefoni ho risolto scaricando il certificato dal sito web e installandolo manualmente su di essi mentre
    per i pc portatili questo espediente non ha avuto successo.
    Se vado ad aggiungere l'account aziendale mi dà quell'errore sulla sicurezza di windows.

    No, quel messaggio purtroppo non c'è nei log application

    martedì 2 febbraio 2021 11:22
  • se visualizzi il certificato su uno dei pc portatili vedi il certificato come valido oppure no ?

    Edoardo Benussi
    e[dot]benussi[at]outlook[dot]it

    lunedì 8 febbraio 2021 12:52
    Moderatore
  • Sì, ho provato a scaricarlo sul client, dalla pagina di login ADFS, e installato localmente nell'archivio dei certificati personali: il certificato è valido e scade per la fine del 2021.

    giovedì 18 febbraio 2021 20:18
  • scusa le tante domande ma vorrei inquadrare bene la situazione.

    il tuo scopo è quello di installare intune su macchine che non sono joinate al tuo dominio Azure AD ?

    https://docs.microsoft.com/en-us/troubleshoot/mem/intune/enroll-devices-in-intune-tip


    Edoardo Benussi
    e[dot]benussi[at]outlook[dot]it

    lunedì 22 febbraio 2021 09:23
    Moderatore
  • Ma figurati, ti ringrazio anzi per la disponibilità.

    Al fine di eseguire l'enroll su Intune sono riuscito a risolvere, in effetti quando aggiungo l'account seguendo la guida che mi hai suggerito, la procedura va avanti e riesco a fare l'autenticazione su MDM.

    Purtroppo rimane il problema alla scadenza della password di AD (i client non sono in Join con Azure AD): le APP richiedono la nuova password attraverso il prompt di sicurezza windows(quello dell'immagine de mio primo post) in loop.

    Continua a chiederle anche se le metto corrette, al che devo disconnettere l'account dal pannello di controllo e poi aprire outlook che, non riesco proprio a capire perché, allora accetta l'autenticazione.



    martedì 23 febbraio 2021 14:02
  • bene per Intune.

    quindi il problema su clients non in dominio si manifesta solo al cambio password ?


    Edoardo Benussi
    e[dot]benussi[at]outlook[dot]it

    domenica 28 febbraio 2021 17:31
    Moderatore
  • Ciao, ho trovato un modo per aggirare il problema ed è anche il metodo più corretto per lavorare.

    Una volta fatto il join all'Azure active directory domain al primo login richiede la password di Active Directory e

    poiché ormai è sincronizzata crea il nuovo profilo Windows 10 Business e poi tutte le app di conseguenza partono senza più intervenire anche dopo il cambio password.

    Mi sarebbe piaciuto capire cosa era che bloccava il processo ma credo che sia diventato solo una perdita di tempo oramai, grazie ancora per la disponibilità.

    martedì 2 marzo 2021 20:36
  • grazie per aver fornito il workaround

    Edoardo Benussi
    e[dot]benussi[at]outlook[dot]it

    mercoledì 3 marzo 2021 08:34
    Moderatore