Der Verbundbenutzer wird unerwartet zur Eingabe von Kontoanmeldeinformationen aufgefordert.

  • Artikel

In diesem Artikel wird ein Szenario beschrieben, in dem ein Verbundbenutzer beim Zugriff auf Office 365, Azure oder Microsoft Intune unerwartet aufgefordert wird, seine Anmeldeinformationen für sein Geschäfts-, Schul- oder Unikonto einzugeben.

Ursprüngliche Produktversion: Microsoft Entra ID, Microsoft Intune, Azure Backup, Office 365 Identity Management
Ursprüngliche KB-Nummer: 2535227

Problembeschreibung

Wenn sich ein Verbundbenutzer Office 365, Microsoft Azure oder Microsoft Intune anmeldet, wird der Benutzer unerwartet aufgefordert, die Anmeldeinformationen für das Geschäfts-, Schul- oder Unikonto einzugeben. Nachdem der Benutzer die Anmeldeinformationen eingegeben hat, erhält er Zugriff auf den Clouddienst.

Hinweis

Nicht alle Verbundbenutzerauthentifizierungsfunktionen sind ohne Anmeldeinformationsaufforderung. In bestimmten Szenarien ist es beabsichtigt und erwartet, dass Verbundbenutzer aufgefordert werden, ihre Anmeldeinformationen einzugeben. Stellen Sie sicher, dass die Anmeldeinformationsaufforderung unerwartet ist, bevor Sie fortfahren.

Ursache

Dieses Problem kann bei internen Domänenclients auftreten, wenn mindestens eine der folgenden Bedingungen zutrifft:

  • Ein interner Client löst den Active Directory-Verbunddienste (AD FS)-Endpunkt (AD FS) in die IP-Adresse des AD FS-Proxydiensts und nicht in die IP-Adresse des AD FS-Verbunddiensts auf.
  • Die Sicherheitseinstellungen in Internet Explorer sind nicht für einmaliges Anmelden bei AD FS konfiguriert.
  • Die Proxyservereinstellungen in Internet Explorer sind nicht für einmaliges Anmelden bei AD FS konfiguriert.
  • Der Webbrowser unterstützt keine integrierten Windows-Authentifizierung.
  • Der Clientcomputer kann keine Verbindung mit der lokales Active Directory Domäne herstellen.

Lösung 1: Stellen Sie sicher, dass der DNS-Server über einen Hosteintrag für den AD FS-Endpunkt verfügt.

Stellen Sie sicher, dass der DNS-Server über einen Hosteintrag für den AD FS-Endpunkt verfügt, der für den Clientcomputer geeignet ist, auf dem dieses Problem auftritt. Bei internen Clients bedeutet dies, dass der interne DNS-Server den AD FS-Endpunktnamen in eine interne IP-Adresse auflösen sollte. Für Internetclients bedeutet dies, dass der Endpunktname in eine öffentliche IP-Adresse aufgelöst werden sollte. Führen Sie die folgenden Schritte aus, um dies auf dem Client zu testen:

  1. Wählen Sie Start aus, wählen Sie Ausführen aus, geben Sie cmd ein, und drücken Sie dann die EINGABETASTE.

  2. Geben Sie an der Eingabeaufforderung den folgenden Befehl ein, wobei der Platzhalter sts.contoso.com den AD FS-Endpunktnamen darstellt:

    nslookup sts.contoso.com

  3. Wenn die Ausgabe des Befehls eine falsche IP-Adresse anzeigt, aktualisieren Sie den A-Eintrag auf dem internen oder externen DNS-Server. Weitere Informationen dazu finden Sie unter Internetbrowser kann die AD FS-Anmeldewebseite für Verbundbenutzer nicht anzeigen Internetbrowser kann die AD FS-Webseite nicht anzeigen, wenn ein Verbundbenutzer versucht, sich bei Office 365, Azure oder Intune

Lösung 2: Überprüfen Sie die Einstellungen der lokalen Intranetzone und des Proxyservers in Internet Explorer

Verwenden Sie je nach Situation eines der folgenden Verfahren.

Prozedur A

Überprüfen Sie die Einstellungen der lokalen Intranetzone und des Proxyservers in Internet Explorer. Gehen Sie dazu wie folgt vor:

  1. Starten Sie Internet Explorer.

  2. Klicken Sie im Menü Extras auf Internetoptionen.

  3. Wählen Sie die Registerkarte Sicherheit , dann die Zone Lokales Intranet und dann Standorte aus.

  4. Wählen Sie im Dialogfeld Lokales Intranetdie Option Erweitert aus. Stellen Sie in der Liste Websites sicher, dass ein Eintrag (z sts.contoso.com. B. ) für den vollqualifizierten DNS-Namen des AD FS-Dienstendpunkts vorhanden ist.

  5. Klicken Sie auf Schließen und anschließend auf OK.

    Hinweis

    Führen Sie die folgenden zusätzlichen Schritte nur aus, wenn ein Netzwerkadministrator einen Webproxyserver in der lokalen Umgebung konfiguriert hat:

  6. Wählen Sie die Registerkarte Connections und dann LAN-Einstellungen aus.

  7. Aktivieren Sie unter Automatische Konfiguration das Kontrollkästchen Einstellungen automatisch erkennen , und deaktivieren Sie dann das Kontrollkästchen Automatische Konfigurationsskript verwenden .

  8. Aktivieren Sie unter Proxyserver das Kontrollkästchen Proxyserver für Ihr LAN verwenden , geben Sie die Adresse des Proxyservers und den verwendeten Port ein, und wählen Sie dann Erweitert aus.

  9. Fügen Sie unter Ausnahmen Ihren AD FS-Endpunkt hinzu (z sts.contoso.com. B. ).

  10. Klicken Sie dreimal auf OK.

Verfahren B

Konfigurieren Sie die Sicherheitseinstellungen für die Sicherheitszone in Internet Explorer manuell. Die Standardsicherheitseinstellung, die bewirkt, dass die lokale Intranetzone nicht zum Windows-Authentifizierung auffordert, kann manuell für jede Sicherheitszone in Internet Explorer konfiguriert werden. Führen Sie die folgenden Schritte aus, um die Sicherheitszone anzupassen, zu der der AD FS-Dienstname bereits gehört:

Warnung

Von dieser Konfiguration wird dringend abgeraten, da dies zu einer unbeabsichtigten Übermittlung von Datenverkehr der integrierten Windows-Authentifizierung an Websites führen kann.

  1. Starten Sie Internet Explorer.
  2. Wählen Sie im Menü Extras die Option Internetoptionen aus.
  3. Wählen Sie die Registerkarte Sicherheit aus, wählen Sie die Sicherheitszone aus, in der der AD FS-Dienstname bereits enthalten ist, und wählen Sie dann Benutzerdefinierte Ebene aus.
  4. Scrollen Sie im Dialogfeld Sicherheitseinstellungen nach unten, um den Eintrag Benutzerauthentifizierung zu suchen.
  5. Wählen Sie unter Anmeldungdie Option Automatische Anmeldung mit dem aktuellen Benutzernamen und Kennwort aus.
  6. Wählen Sie zweimal OK aus.

Lösung 3: Verwenden von Internet-Explorer oder einem Webbrowser eines Drittanbieters

Verwenden Sie internetbasierte Explorer oder einen Webbrowser eines Drittanbieters, der integrierte Windows-Authentifizierung unterstützt.

Lösung 4: Überprüfen der Konnektivität mit Active Directory

Melden Sie sich vom Clientcomputer ab, und melden Sie sich dann als Active Directory-Benutzer an. Wenn die Anmeldung erfolgreich ist, überprüfen Sie die Konnektivität mit Active Directory mithilfe des Nltest-Befehlszeilentools. Nltest.exe ist in den Remoteserver-Verwaltungstools für Windows 10 enthalten.

  1. Geben Sie an einer Eingabeaufforderung den folgenden Befehl ein, und drücken Sie dann die EINGABETASTE: Nltest /dsgetdc:<FQDN Of Domain>. Wenn die Einstellungen korrekt sind, erhalten Sie eine Ausgabe, die der folgenden ähnelt:

    DC: \DC.contoso.com Address:\ <IP Address> Dom GUId: <GUID> Dom Name: contoso.com Forest Name: contoso.com DC Site Name: Default-First-Site-Name Unser Standortname: Default-First-Site-Name Flags: PDC GC DS LDAP KDC TIMESERV GTIMESERV WRITABLE DNS_DC DNS_DOMAIN DNS_FOREST CLOSE_SITE Der Befehl wurde erfolgreich abgeschlossen.

  2. Überprüfen Sie die Standortmitgliedschaft des Computers. Geben Sie hierzu den folgenden Befehl ein, und drücken Sie dann die EINGABETASTE: nltest /dsgetsite. Ein erfolgreiches Ergebnis sieht wie folgt aus:

    Default-First-Site-Name Der Befehl wurde erfolgreich abgeschlossen

Weitere Informationen

Der Zugriff auf Office 365 Ressourcen mithilfe eines Nicht-Verbundkontos oder eines Verbundkontos über eine öffentliche Internetverbindung führt möglicherweise nicht zu einem einmaligen Anmelden.

Die Anmeldung bei Microsoft Outlook-Verbindungen wird auch nicht als einmaliges Anmelden erwartet.

Kontaktieren Sie uns für Hilfe

Wenn Sie Fragen haben oder Hilfe mit Ihren Azure-Gutschriften benötigen, dann erstellen Sie beim Azure-Support eine Support-Anforderung oder fragen Sie den Azure Community-Support. Sie können auch Produktfeedback an die Azure Feedback Community senden.