A partir de ~2018/07/10, tentar entrar em https://outlook.office365.com usando qualquer conta O365 sincronizada com AD e MFA e qualquer navegador da Web em qualquer dispositivo em qualquer rede não solicita o TOTP e, em vez disso, falha com a seguinte mensagem de erro:
:-(
Something went wrong
We can't get that information right now. Please try again later.
X-ClientId: E69D5A6642C242AC9C337AF8EC04AC95
request-id 19bf2ff2-1040-4772-b207-487b71b0adef
X-Auth-Error OpenIdConnect Microsoft.Exchange.Security.OpenIdConnect.OpenIdConnectIdpException
X-OWA-Version 15.20.973.23
X-FEServer DB6PR04CA0014
X-BEServer CWXP265MB0983
Date:27/07/2018 13:59:39
Uma exceção a isso é que, em PCs com Windows, os navegadores da Web da Microsoft (Internet Explorer e Microsoft Edge) oferecem opções de login "Conectado ao Windows" que funcionam bem, presumivelmente porque pulam a etapa MFA / TOTP devido a uma operação anterior bem-sucedida e Entrada registrada no Windows.
As contas do O365 na nuvem com aplicação de MFA não são afetadas.
A integridade do serviço do Office 365 Admin Center e o Synchronization Service Manager do Azure AD Connect não relatam problemas/erros.
Os aplicativos (Microsoft Outlook, Skype for Business etc.) conectados às contas do O365 afetadas continuam funcionando, mas a tentativa de entrar em novos simplesmente solicita novamente a senha.
Literalmente, as únicas coisas que consegui encontrar on-line são as seguintes, nenhuma das quais foi útil, daí este post:
- https://answers.microsoft.com/en-us/msoffice/forum/msoffice_o365admin-mso_dirservices-mso_o365b/issue-with-office-365-azure-login/a8509ab6-201c-49dc-8112-9f574072482a
- https://www.erroraway.com/Questions-and-Discussions/201804/12/a8509ab6-201c-49dc-8112-9f574072482a.html / https://www.dllrepairfree.com/201805/31/a8509ab6-201c- 49dc-8112-9f574072482a.html
- https://twitter.com/alnsportsmouth/status/983615870915100672
Após meus comentários com @maweeras, reconfigurei o Azure AD Connect alterando o modo de entrada do usuário da autenticação de passagem (não precisávamos) para a sincronização de hash de senha que resolveu imediatamente o problema.
Atualização: 01/08/2018 15:00
Esta manhã, por curiosidade, reconfigurei o Azure AD Connect alterando o modo de entrada do usuário da sincronização de hash de senha de volta para a autenticação de passagem que foi concluída com a seguinte mensagem de status:
Conforme recomendado por https://social.msdn.microsoft.com/Forums/en-US/81673e69-1220-4231-a9c0-0753f4aa3455/azure-ad-connect-443-may-be-blocked?forum=WindowsAzureAD , em o servidor, naveguei para https://aadap-portcheck.connectorporttest.msappproxy.net/ que carregou bem e todos os testes passaram.
De qualquer forma, agora posso entrar no Office 365 usando as mesmas contas de usuário afetadas do Office 365, então não sei qual era o problema original.
Eu tinha alguns usuários que não conseguiam fazer login em suas caixas de correio, recentemente fomos para o AD híbrido e eles estavam inativos. Quando eles voltaram, eles não conseguiram fazer login no aplicativo do Outlook e no Exchange online, havia essa mensagem ao fazer login no Exchange Online.
ClientId: 50327C95XXX14F30236CXXX9D request-id 0XXXXXXXXXXX X-Auth-Error OpenIdConnect Microsoft.Exchange.Clients.Security.AccountTerminationException X-OWA-Versão 15.20.3021.29 X-FEServer DM3XXXXA0099 X-BEServer DM6PXXXX2666 Data: 26/05/2020
Mensagem de erro Exchange Online
Também houve um erro no centro de administração ao selecionar os usuários em questão, dizia algo sobre uma incompatibilidade no GUID do arquivo.
Erro ArchiveGUID no centro de administração do O365
Tentamos várias coisas para corrigi-lo, uma foi tirar esses usuários da sincronização do Azure AD Connect movendo-os para a OU definida para não sincronizar no AD local, mas isso fez com que as contas de nuvem fossem excluídas, depois de restaurá-las seriam excluídos novamente, mesmo quando as contas estivessem ativas, os erros ainda estariam lá e eu não conseguiria colocar esses usuários em funcionamento.
Não encontrei nada na web e não fui contatado pelo suporte da Microsoft após abrir um ticket. Depois de um tempo, encontrei algo útil que me deu uma ideia e fiz isso para corrigir os problemas:
Substituí “MsExchArchiveGUID” para ambos os usuários no ADSI Edit no AD local. Para fazer isso, peguei o GUID da nuvem do erro no centro de administração e executei os comandos do power shell abaixo para convertê-los em hexadecimal. Depois que fiz isso, esperei que as alterações fossem sincronizadas com a nuvem, então tive que remover as licenças de um dos usuários por alguns minutos e adicioná-lo novamente e depois funcionou, para o outro funcionou imediatamente após a sincronização.
Os comandos no powershell para converter o GUID da nuvem para substituí-lo no AD local:
Executei as seguintes etapas abaixo com uma conta com a qual estava recebendo esse erro e parece ter resolvido o problema (com qual etapa, não tenho certeza):
Consegui fazer login na caixa de correio novamente. Espero que isso ajude alguém!