通过使用单一登录方式进行登录到 Office 365、 Azure 或 Windows Intune 从某些设备不能正常工作

文章翻译 文章翻译
文章编号: 2530713 - 查看本文应用于的产品
展开全部 | 关闭全部

本文内容

问题

当您尝试通过基于 web 的客户端或胖客户端应用程序访问 Microsoft (如 Office 365、 Microsoft Azure 或 Windows Intune 云服务,通过联合的帐户时,则身份验证将失败的特定客户端计算机

当您使用 web 浏览器从同一台计算机访问云服务门户,通过联合的帐户时,您可能会遇到下列症状之一:
  • 连接到该门户的终结点时,您会收到以下错误消息之一:
    Internet Explorer 无法显示该网页。
    403 页找不到
  • 连接到 活动目录的联合身份验证服务 (AD FS) 终结点时,您会收到以下错误消息之一:
    Internet Explorer 无法显示该网页
    403 页找不到
  • 当您连接到 AD FS 的终结点时,您会收到证书警告。
  • 当您登录到企业域的同时连接到 AD FS 的终结点时,您将收到一个凭据提示。此提示输入您的凭据不能使用基于表单的身份验证。
  • 当您使用第三方 web 浏览器连接到 AD FS 的终结点时,您将收到循环的身份验证提示。这些提示不使用基于表单的身份验证。
  • 当连接到 login.microsoftonline.com 终结点时,您会收到以下错误消息:
    访问被拒绝

原因

通常情况下,此问题发生在客户端计算机或一组客户端设备上。如果单一登录 (SSO) 不齐全,为所有的用户和客户端计算机可能会出现此问题。SSO 可能无法完全正常工作,如果未正确设置客户端设置。下面的客户端设备的情况下可能会导致此问题:
  • 网络连接可能会受到限制。
  • 客户端设备接收从内部分裂的 DNS 实现 AD FS 联合身份验证服务的不正确的名称解析。
  • 如果在计算机上配置 Internet 代理服务器,则 AD FS 联合身份验证服务名称不能添加到代理服务器绕过列表。
  • 可能将 AD FS 联合身份验证服务名称添加到本地 Intranet 安全区域,在 Internet 选项设置。
  • 客户端计算机不是 活动目录(AD) 域服务的身份验证。
  • 第三方 web 浏览器不支持扩展保护身份验证到 AD FS 联合身份验证服务。
  • 联合身份验证的元数据终结点也许是注册表中的硬编码,因为早期 Office 365 测试版安装 SSO 管理工具。
  • 有一个特定的客户端应用程序所需的必需的 AD FS 服务终结点将被禁用。
在继续之前,确保满足下列条件:
  • 访问问题并不局限于在客户端计算机上的胖客户端应用程序。如果只胖客户端 (而不是基于浏览器的身份验证) 的身份验证不能正常工作,它更可能表示丰富的客户端身份验证问题。例如,它可能与系统必备组件或胖客户端应用程序的配置问题。有关详细信息,请参阅下面的 Microsoft 知识库文章:
    2637629如何解决非浏览器的应用程序不能登录到 Office 365、 Azure 或 Windows Intune
  • 为所有已启用 SSO 的用户帐户,SSO 身份验证不会失败。如果所有启用SSO的用户都遇到相同的故障现象,则更有可能表示是联合身份验证的问题。有关详细信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
    2530569Office 365、 Windows Intune 或 Azure 中的单点登录安装问题的疑难解答
  • 其他客户端计算机上其他用户帐户SSO 身份验证成功。如果用户帐户无法登录到任何云服务客户端,请参阅本文内下文中涉及的客户端计算机的解决办法。此外,探索没有与该用户帐户而不是与客户端计算机问题的可能性。有关详细信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
    2530590在 Office 365、 Azure 或 Windows Intune 联盟用户的帐户问题的疑难解答
  • 客户端计算机上的键盘工作正常,以及用户名和密码,很有必要,输入正确。

本地

若要解决此问题,请使用一个或多个下列方法,取决于该问题的原因。

解决方法 1: 无法连接到云服务的门户网站或 AD FS

尝试浏览到 http://www.msn.com.如果这不起作用,请解决网络连接问题。若要执行此操作,请执行以下步骤:
  1. 在命令提示符下,使用 ipconfig ping IP 连接疑难解答的工具。有关详细信息,请参阅下面的 Microsoft 知识库文章:
    169790 如何解决基本 TCP/IP 问题。
  2. 在命令提示符下,键入 nslookup www.msn.com 若要确定 DNS 是否解决互联网服务器的名称。
  3. 如果在本地网络中使用代理服务器,请确保代理 Internet 选项设置反映适当的代理服务器。
  4. 如果 Forefront 威胁管理网关 (TMG) 防火墙安装在网络的边界,并且防火墙要求客户端身份验证,您可能需要在客户端设备上安装 Forefront TMG 客户端程序以访问Internet 。有关与此的帮助,请联系 yourcloud 服务管理。

本地 2: 无法连接到 AD FS

若要解决此问题,请按照下列步骤操作:
  1. 使用解决方案 1 消除 IP 连接问题。
  2. 在命令提示符下,键入 nslookup<AD fs="" 2.0="" fqdn=""></AD>然后按 enter 键,以确定是否 DNS 是否正确解析的 AD FS 服务名称。

    注意 在此命令中,<AD fs="" fqdn="">表示 AD FS 服务名称完全限定的域名 (FQDN)。它并不代表 AD FS 服务器的 Windows 主机名。</AD>
    1. 如果客户端连接到公司网络,请确保为解析的 IP 地址 一个专用的 IP 地址。IP 地址应当匹配以下模式之一:
      • 10。x.x.x
      • 172.16。x.x
      • 192.168。x.x
    2. 如果公司网络外部的客户端,确保为解析的 IP 地址是一个公共 IP 地址。请确保它将做 匹配以下模式之一:
      • 10。x.x.x
      • 172.16。x.x
      • 192.168。x.x
    3. 如果已解析的 IP 地址不正确根据步骤 1 和步骤 2,并且其他客户端计算机不会遭遇相同的行为,请执行以下操作:
      1. 在命令提示符下,键入 ipconfig /all然后检查主 DNS 服务器条目是否适用于客户端连接到网络。
      2. 在记事本中打开 %windir%\system32\drivers\etc\hosts 文件,然后删除 AD FS fqdn 的任何条目。然后,保存该文件。
      3. 在命令提示符下,键入 ipconfig /flushdns 若要清除 DNS 缓存。
    注意 如果客户端设备只连接到公司网络,请转到步骤 3。
  3. 向代理忽略列表添加 AD FS FQDN。若要执行此操作,请按照下面 Microsoft 知识库中相应的文章:
    262981 Internet Explorer 的本地 IP 地址使用代理服务器,即使启用了"绕过代理服务器的本地地址"选项

本地 3: 证书警告,当您连接到 AD FS 终结点

若要解决此问题,请使用以下文章 Microsoft 知识库中相应的文章解决安全套接字层 (SSL) 证书的问题:
2523494当您尝试登录到 Office 365、 Azure 或 Windows Intune 从 AD FS 收到证书警告

本地 4: 收到的单一的、 意外的凭据提示您从客户端计算机连接到公司网络上登录时

若要解决此问题,请按照下列步骤操作:
  1. 请确保客户端计算机成功登录到域。
    1. 单击开始,然后单击运行,类型 %logonserver%\sysvol然后单击确定
    2. 如果凭据提示出现,请先注销,然后再重新使用公司的凭据登录。
  2. 将 AD FS FQDN 添加到本地 intranet 区域中。
    1. 安全选项卡上,单击本地 Intranet,然后单击站点
    2. 单击高级,然后检查网站 (例如,列出完全限定的 DNS 名称的 AD FS 服务终结点的sts.contoso.com).

      注意通配符值如"*.consoto.com"也将在此配置下工作。
  3. 向代理忽略列表添加 AD FS FQDN。若要执行此操作,请按照下面 Microsoft 知识库中相应的文章:
    262981 Internet Explorer 的本地 IP 地址使用代理服务器,即使启用了"绕过代理服务器的本地地址"选项

本地 5: 第三方 web 浏览器不支持扩展保护为身份验证,并且您会收到循环身份验证提示

若要解决此问题,请按照下列步骤操作:
  1. 使用 Windows Internet Explorer (Internet Explorer 支持扩展保护为身份验证),而不是第三方 web 浏览器不支持的身份验证的扩展保护。
  2. 如果使用 Internet Explorer 将不是一个选项,使用下面的 Microsoft 知识库文章配置 AD FS 可以接受请求,从 web 浏览器不支持扩展保护为身份验证:
    2461628在登录到 Office 365、 Azure 或 Windows Intune 过程中,将联盟的用户反复要求提供凭据

解决方法 6:"当尝试连接到 login.microsoftonline.com时收到”访问被拒绝"错误消息

重要提示本节将告诉您如何修改注册表的步骤。但是,如果不正确地修改了注册表,可能会出现严重问题。因此,请确保仔细按这些步骤操作。为增加保护,先备份注册表再对其进行修改。然后,您可以在出现问题时还原注册表。有关如何备份和还原注册表的详细信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
322756 如何在 Windows XP 中备份和还原注册表
如果使用 AD FS Azure 活动目录 SSO 的终结点无效,则可能会出现问题。请确保联合端点不是硬编码在 AD FS 联合身份验证服务的服务器场中每台服务器的注册表中。

若要解决此问题,请使用注册表编辑器删除以下注册表子项:
HKEY_LOCAL_MACHINE\Software\Microsoft\MOCHA\IdentityFederation
AD FS 将回退到基于 SSO 信赖方信任的正确终结点。

本地 7: 重置被禁用的 AD FS 的服务终结点设置为默认配置

有关如何执行此操作的详细信息,请参阅下面的 Microsoft 知识库文章:
2712957登录到 Office 365、 Azure 或 Windows Intune 失败后更改该联合身份验证服务终结点
仍需要帮助吗?请转到 Office 365 社区网站或Azure 的 活动目录(AD) 论坛 网站。

属性

文章编号: 2530713 - 最后修改: 2014年7月2日 - 修订: 36.0
这篇文章中的信息适用于:
  • Microsoft Azure
  • Microsoft Office 365
  • Microsoft Office 365 for enterprises (pre-upgrade)
  • Microsoft Office 365 for education? (pre-upgrade)
  • Windows Intune
  • CRM Online via Office 365 E Plans
  • Microsoft Azure Recovery Services
  • Office 365 Identity Management
关键字:?
o365 o365a o365e o365022013 after upgrade o365062011 pre-upgrade o365m kbmt KB2530713 KbMtzh
机器翻译
重要说明:本文是由 Microsoft 机器翻译软件进行的翻译并可能由 Microsoft 社区通过社区翻译机构(CTF)技术进行后期编辑,或可能是由人工进行的翻译。Microsoft 同时向您提供机器翻译、人工翻译及社区后期编辑的文章,以便对我们知识库中的所有文章以多种语言提供访问。翻译的文章可能存在词汇、句法和/或语法方面的错误。Microsoft 对由于内容的误译或客户对内容的使用所导致的任何不准确、错误或损失不承担责任。
点击这里察看该文章的英文版: 2530713
Microsoft和/或其各供应商对于为任何目的而在本服务器上发布的文件及有关图形所含信息的适用性,不作任何声明。 所有该等文件及有关图形均"依样"提供,而不带任何性质的保证。Microsoft和/或其各供应商特此声明,对所有与该等信息有关的保证和条件不负任何责任,该等保证和条件包括关于适销性、符合特定用途、所有权和非侵权的所有默示保证和条件。在任何情况下,在由于使用或运行本服务器上的信息所引起的或与该等使用或运行有关的诉讼中,Microsoft和/或其各供应商就因丧失使用、数据或利润所导致的任何特别的、间接的、衍生性的损害或任何因使用而丧失所导致的之损害、数据或利润不负任何责任。

提供反馈

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com