從特定的裝置,但來自其他裝置無法運作到 Office 365 的單一登入驗證

文章翻譯 文章翻譯
文章編號: 2530713 - 檢視此文章適用的產品。
全部展開 | 全部摺疊

在此頁中

問題

當您試著透過以 web 為基礎的用戶端或豐富型用戶端應用程式存取 Microsoft Office 365 資源利用聯盟的帳戶時,驗證會失敗,從特定用戶端電腦

您可以使用網頁瀏覽器來使用聯盟的帳戶,從同一部電腦存取 Office 365 入口網站,您可能會遇到下列徵狀之一:
  • 當您連線至 Office 365 入口網站端點時,您會收到下列錯誤訊息之一:
    Internet Explorer 無法顯示網頁。
    找不到 403 網頁
  • 當您連接至 Active Directory 同盟服務 (AD FS) 端點時,您會收到下列錯誤訊息之一:
    Internet Explorer 無法顯示網頁
    找不到 403 網頁
  • 當您連線到 AD FS 端點時,您會收到憑證警告。
  • 當您連線到 AD FS 端點,當您登入公司網域時,您會收到的單一認證提示。此為您的認證的提示不使用表單架構驗證。
  • 當您使用協力廠商 web 瀏覽器連線到 AD FS 端點時,您會收到迴圈驗證提示。這些提示不使用表單架構驗證。
  • 當您連線至 login.microsoftonline.com 的端點時,您會收到下列錯誤訊息:
    拒絕存取

原因

通常,在用戶端電腦或群組的用戶端裝置上,就會發生這個問題。如果單一登入 (SSO) 不是完整的功能,可能會發生這個問題,所有使用者和用戶端電腦。SSO 可能無法完全正常運作如果 Office 365 用戶端設定未正確設定。下列的 Office 365 用戶端裝置情況可能會造成這個問題:
  • 網路連線可能會受到限制。
  • 用戶端裝置接收不正確的名稱解析為 AD FS 同盟服務內部的 split-brain DNS 實作。
  • 如果在電腦上設定網際網路 proxy 伺服器,AD FS 同盟服務名稱可能不會新增至 proxy 略過清單。
  • AD FS 同盟服務名稱不能加入近端內部網路安全性區域,在 [網際網路選項] 設定。
  • 用戶端電腦未通過驗證,以 Active Directory 網域服務。
  • 協力廠商網頁瀏覽器不支援的驗證延伸保護,AD FS 同盟服務。
  • 聯盟中繼資料端點可能是因為舊版的 Office 365 beta 版安裝 SSO 管理工具的硬式編碼在登錄中。
  • 已停用特定的用戶端應用程式所需的必要的 AD FS 服務端點。
在繼續之前,確定下列情況皆成立:
  • 存取問題並不限於用戶端電腦上的豐富型用戶端應用程式。如果只有 (相對於瀏覽器為基礎的驗證) 的豐富型用戶端驗證無法運作,它可能表示的豐富型用戶端驗證問題。例如,它可能與必要條件或豐富型用戶端應用程式的組態相關的問題。如需詳細資訊,請參閱下列 「 Microsoft 知識庫 」 文件:
    2637629 如何疑難排解電腦問題限制 Office 365 豐富型用戶端驗證
  • SSO 驗證不會失敗,所有的 SSO 功能的使用者帳戶。如果所有 SSO 功能的使用者會都遇到相同的徵狀,則可能表示聯盟問題。如需詳細資訊,按一下下面的文件編號,檢視「Microsoft 知識庫」中的文件:
    2530569 在 [Office 365 的單一登入安裝疑難排解
  • 其他用戶端電腦上,為使用者帳戶的 SSO 驗證成功。如果使用者帳戶無法登入任何 Office 365 用戶端,請參閱本文稍後牽涉到用戶端電腦的解析度。此外,瀏覽不正確的使用者帳戶,而不是與用戶端電腦的可能性。如需詳細資訊,按一下下面的文件編號,檢視「Microsoft 知識庫」中的文件:
    2530590 解決 Office 365 環境中的聯盟的帳戶問題
  • 用戶端電腦上的鍵盤運作正常,且使用者名稱和密碼,在必要時,輸入的是正確。

方案

若要疑難排解這個問題,請使用一或多個下列的方法,視問題的原因而定。

解決方式 1: 無法連線至 Office 365 入口網站,或是 AD FS

嘗試瀏覽 http://www.msn.com.如果這個沒有作用,疑難排解網路連線問題。若要這樣做,請依照下列步驟執行:
  1. 在命令提示字元中,使用 ipconfig ping 如果要疑難排解 IP 連線能力的工具。如需詳細資訊,請參閱下列 「 Microsoft 知識庫 」 文件:
    169790 如何疑難排解基本的 TCP/IP 問題。
  2. 在命令提示字元中,輸入 nslookup www.msn.com 若要決定 DNS 是否已解析網際網路伺服器名稱。
  3. 請確定 proxy [網際網路選項] 設定會反映適當的 proxy 伺服器,如果在區域網路使用 proxy 伺服器。
  4. 如果 Forefront 威脅管理閘道 (TMG) 防火牆安裝在網路界限上和防火牆要求用戶端驗證,您可能必須安裝在用戶端裝置來存取網際網路上的 Forefront TMG 用戶端程式。此問題的協助,請連絡您的 Office 365 管理。

解決方法 2: 無法連線到 AD FS

若要解決這個問題,請依照下列步驟執行:
  1. IP 連線能力問題使用排除的解決方法 1。
  2. 在命令提示字元中,輸入 nslookup<AD fs="" 2.0="" fqdn=""></AD>然後按下 Enter,以判斷是否 DNS 是 AD FS 服務正確解析名稱。

    附註 這個命令中,<AD fs="" fqdn="">代表 AD FS 服務名稱的完整格式的網域名稱 (FQDN)。它並不代表 AD FS 伺服器 Windows 主機名稱。</AD>
    1. 如果用戶端會連接到公司網路,請確定 IP 位址,就會解決 私用的 IP 位址。IP 位址必須符合其中一種下列模式:
      • 10.x.x.x
      • 172.16。x.x
      • 192.168。x.x
    2. 如果用戶端是公司網路外部的請確定已經解決的 IP 位址是公用的 IP 位址。請確定它不會 符合其中一種下列模式:
      • 10.x.x.x
      • 172.16。x.x
      • 192.168。x.x
    3. 如果已解決的 IP 位址是正確根據步驟 1 和步驟 2,且其他用戶端電腦沒有遇到相同的行為,請執行下列各項:
      1. 在命令提示字元中,輸入 ipconfig/全部然後檢查 [主要 DNS 伺服器項目是否適用於用戶端所連接的網路。
      2. 在 [記事本] 中開啟 %windir%\system32\drivers\etc\hosts 檔案,並為 AD FS FQDN 移除任何項目。然後,儲存檔案。
      3. 在命令提示字元中,輸入 ipconfig /flushdns 若要清除 DNS 快取。
    附註 如果用戶端裝置只連接到公司網路,請移至步驟 3。
  3. AD FS FQDN 加入 Proxy 繞道清單。若要執行這項操作,請依照下列下面的文件 「 Microsoft 知識庫 」 中的文中的步驟:
    262981 Internet Explorer 會使用本機 IP 位址的 proxy 伺服器即使已開啟 「 略過 Proxy 伺服器的本機位址 」 選項

當您連線到 AD FS 端點的解決方法 3: 憑證警告

若要解決這個問題,請使用下列的文件 「 Microsoft 知識庫 」 中的文疑難排解安全通訊端層 (SSL) 憑證的問題:
2523494 當您使用的聯盟的帳戶存取 Office 365 web 資源時,從 AD FS 接收憑證警告

解決方法 4: 單一、 非預期的認證提示字元時收到從連線到公司網路的用戶端電腦登入

若要解決這個問題,請依照下列步驟執行:
  1. 請確定用戶端電腦已成功地登入到網域。
    1. 按一下 [開始],按一下 [執行] 型別 %logonserver%\sysvol然後按一下[確定]
    2. 如果出現認證提示,請先登出,然後再登入使用公司的認證。
  2. 加入 「 近端內部網路 」 區域中的 AD FS FQDN。
    1. 在 [安全性] 索引標籤中,按一下 [近端內部網路,,然後按一下 [網站
    2. 按一下 [進階],然後檢查網站 (例如,列出的完整 DNS 名稱的 AD FS 服務端點sts.contoso.com).

      附註萬用字元的值,例如"*。 consoto.com 」 也會在此設定下運作。
  3. AD FS FQDN 加入 Proxy 繞道清單。若要執行這項操作,請依照下列下面的文件 「 Microsoft 知識庫 」 中的文中的步驟:
    262981 Internet Explorer 會使用本機 IP 位址的 proxy 伺服器即使已開啟 「 略過 Proxy 伺服器的本機位址 」 選項

解決方法 5: 協力廠商 web 瀏覽器不支援延伸保護進行驗證,並且您會收到迴圈驗證提示

若要解決這個問題,請依照下列步驟執行:
  1. 使用 Windows Internet Explorer (Internet Explorer 支援驗證延伸保護) 而非協力廠商 web 瀏覽器,並不支援驗證延伸保護。
  2. 如果使用 Internet Explorer 不選項,請使用下列 「 Microsoft 知識庫 」 文件來設定 AD FS,接受來自不支援的驗證延伸保護的網頁瀏覽器要求:
    2461628同盟的使用者重複登入 Office 365、 Windows Azure 或 Windows Intune 期間提示輸入認證

解決方法 6: 「 拒絕存取 」 錯誤訊息當您嘗試連線到 login.microsoftonline.com

重要本節將告訴您如何修改登錄的步驟。不過,如果您不當修改登錄,可能會發生嚴重的問題。因此,請確定小心執行這些步驟。為加強保護,請先備份登錄再進行修改。然後,您可以在發生問題時還原登錄。如需有關如何備份和還原登錄的詳細資訊,請按一下下面的文件編號,檢視 「 Microsoft 知識庫 」 中的文件:
322756 如何備份及還原 Windows 中的登錄
如果 Office 365 SSO AD FS 所使用的結束點不是有效的可能會發生問題。請確定聯盟端點不硬式編碼在 AD FS 同盟服務陣列中每個伺服器的登錄。

要解決這個問題,請使用登錄編輯程式 」 刪除下列登錄子機碼:
HKEY_LOCAL_MACHINE\Software\Microsoft\MOCHA\IdentityFederation
AD FS 會改為正確根據 SSO 依賴廠商信任的端點。

解決方法 7: 重設已停用 AD FS 服務端點設定為預設組態

如需有關如何執行這項操作的詳細資訊,請參閱下列 「 Microsoft 知識庫 」 文件:
2712957登入 Office 365、 Windows Azure 或 Windows Intune 失敗之後變更同盟服務端點
還是需要協助嗎?移至 Office 365 社群 網站或 Windows Azure 的 Active Directory 論壇 網站。

屬性

文章編號: 2530713 - 上次校閱: 2014年2月27日 - 版次: 30.0
這篇文章中的資訊適用於:
  • Windows Azure
  • Microsoft Office 365
  • Microsoft Office 365 for enterprises (pre-upgrade)
  • Microsoft Office 365 for education? (pre-upgrade)
  • CRM Online via Office 365 E Plans
  • Windows Azure Recovery Services
關鍵字:?
o365 o365a o365e o365022013 after upgrade o365062011 pre-upgrade o365m kbmt KB2530713 KbMtzh
機器翻譯
請注意--重要:本文是以 Microsoft 機器翻譯軟體翻譯而成,且可能由 Microsoft Community 利用 Community Translation Framework技術或人工進行事後編修。翻譯過程並無專業譯者參與。Microsoft 同時提供使用者人為翻譯、機器翻譯及社群編修後的機器翻譯三種版本的文章,讓使用者可以依其使用語言使用知識庫中的所有文章。但是,所有翻譯文章都可能不盡完美,內容都可能出現詞彙、語意或文法上的錯誤。就翻譯內容之不正確或錯誤,或客戶因使用翻譯內容所產生的任何損害,微軟不負擔任何責任。Microsoft將依合理的商業努力不斷地更新機器翻譯軟體和工具,以期能為使用者提供更好的服務。
按一下這裡查看此文章的英文版本:2530713
Microsoft及(或)其供應商不就任何在本伺服器上發表的文字資料及其相關圖表資訊的恰當性作任何承諾。所有文字資料及其相關圖表均以「現狀」供應,不負任何擔保責任。Microsoft及(或)其供應商謹此聲明,不負任何對與此資訊有關之擔保責任,包括關於適售性、適用於某一特定用途、權利或不侵權的明示或默示擔保責任。Microsoft及(或)其供應商無論如何不對因或與使用本伺服器上資訊或與資訊的實行有關而引起的契約、過失或其他侵權行為之訴訟中的特別的、間接的、衍生性的損害或任何因使用而喪失所導致的之損害、資料或利潤負任何責任。

提供意見

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com