Federerad användare uppmanas oväntat att ange autentiseringsuppgifter för kontot

  • Artikel

Den här artikeln beskriver ett scenario där en federerad användare oväntat uppmanas att ange sina autentiseringsuppgifter för arbets- eller skolkonto vid åtkomst till Office 365, Azure eller Microsoft Intune.

Ursprunglig produktversion: Microsoft Entra ID, Microsoft Intune, Azure Backup, Office 365 Identity Management
Ursprungligt KB-nummer: 2535227

Symptom

När en federerad användare loggar in Office 365, Microsoft Azure eller Microsoft Intune uppmanas användaren oväntat att ange autentiseringsuppgifterna för arbets- eller skolkontot. När användaren har angett autentiseringsuppgifterna beviljas användaren åtkomst till molntjänsten.

Obs!

Alla federerade användarautentiseringsupplevelser är inte utan en fråga om autentiseringsuppgifter. I vissa scenarier är det avsiktligt och förväntat att federerade användare uppmanas att ange sina autentiseringsuppgifter. Kontrollera att frågan om autentiseringsuppgifter är oväntad innan du fortsätter.

Orsak

Det här problemet kan inträffa för interna domänklienter om ett eller flera av följande villkor är uppfyllda:

  • En intern klient löser slutpunkten för Active Directory Federation Services (AD FS) (AD FS) till IP-adressen för AD FS-proxytjänsten i stället för till IP-adressen för AD FS-federationstjänsten.
  • Säkerhetsinställningarna i Internet Explorer har inte konfigurerats för enkel inloggning till AD FS.
  • Proxyserverinställningarna i Internet Explorer har inte konfigurerats för enkel inloggning till AD FS.
  • Webbläsaren stöder inte integrerad Windows-autentisering.
  • Klientdatorn kan inte ansluta till lokal Active Directory domänen.

Lösning 1: Kontrollera att DNS-servern har en värdpost för AD FS-slutpunkten

Kontrollera att DNS-servern har en värdpost för AD FS-slutpunkten som är lämplig för den klientdator som har det här problemet. För interna klienter innebär det att den interna DNS-servern ska matcha AD FS-slutpunktens namn till en intern IP-adress. För Internetklienter innebär det att slutpunktsnamnet ska matchas mot en offentlig IP-adress. Testa detta på klienten genom att följa dessa steg:

  1. Välj Start, välj Kör, skriv cmd och tryck sedan på Retur.

  2. I kommandotolken skriver du följande kommando, där platshållaren sts.contoso.com representerar AD FS-slutpunktens namn:

    nslookup sts.contoso.com

  3. Om kommandots utdata visar en felaktig IP-adress uppdaterar du A-posten på den interna eller externa DNS-servern. Mer information om hur du gör detta finns i Webbläsaren kan inte visa webbsidan för AD FS-inloggning för federerade användare. Webbläsaren kan inte visa AD FS-webbsidan när en federerad användare försöker logga in på Office 365, Azure eller Intune

Lösning 2: Kontrollera inställningarna för den lokala intranätzonen och proxyservern i Internet Explorer

Använd någon av följande procedurer, efter behov för din situation.

Procedur A

Kontrollera inställningarna för den lokala intranätzonen och proxyservern i Internet Explorer. Gör så här:

  1. Starta Internet Explorer.

  2. På menyn Verktyg väljer du Internetalternativ.

  3. Välj fliken Säkerhet , välj zonen Lokalt intranät och välj sedan Platser.

  4. I dialogrutan Lokalt intranät väljer du Avancerat. I listan Webbplatser kontrollerar du att det finns en post (till exempel sts.contoso.com) för det fullständigt kvalificerade DNS-namnet för AD FS-tjänstslutpunkten.

  5. Klicka på Ja och sedan på OK.

    Obs!

    Använd endast följande ytterligare steg om en nätverksadministratör har konfigurerat en webbproxyserver i den lokala miljön:

  6. Välj fliken Connections och välj sedan LAN-inställningar.

  7. Under Automatisk konfiguration markerar du kryssrutan Identifiera inställningar automatiskt och markerar sedan kryssrutan Använd automatiskt konfigurationsskript .

  8. Under Proxyserver väljer du kryssrutan Använd en proxyserver för ditt LAN , anger proxyserveradressen och porten som används och väljer sedan Avancerat.

  9. Under Undantag lägger du till AD FS-slutpunkten (till exempel sts.contoso.com).

  10. Klicka tre gånger på OK.

Procedur B

Konfigurera säkerhetsinställningarna för säkerhetszonen manuellt i Internet Explorer. Standardsäkerhetsinställningen som gör att den lokala intranätzonen inte frågar efter Windows-autentisering kan konfigureras manuellt för alla säkerhetszoner i Internet Explorer. Följ dessa steg för att anpassa säkerhetszonen som AD FS-tjänstnamnet redan är en del av:

Varning

Vi avråder starkt från den här konfigurationen eftersom det kan leda till oavsiktlig överföring av integrerad Windows-autentiseringstrafik till webbplatser.

  1. Starta Internet Explorer.
  2. På menyn Verktyg väljer du Internetalternativ.
  3. Välj fliken Säkerhet , välj den säkerhetszon där AD FS-tjänstnamnet redan finns och välj sedan Anpassad nivå.
  4. I dialogrutan Säkerhetsinställningar bläddrar du längst ned för att hitta posten Användarautentisering .
  5. Under Inloggning väljer du Automatisk inloggning med aktuellt användarnamn och lösenord.
  6. välj OK två gånger.

Lösning 3: Använd Internet Explorer eller en webbläsare från tredje part

Använd Internet Explorer eller en webbläsare från tredje part som stöder integrerad Windows-autentisering.

Lösning 4: Verifiera anslutningen till Active Directory

Logga ut från klientdatorn och logga sedan in som Active Directory-användare. Om inloggningen lyckas kontrollerar du anslutningen till Active Directory med hjälp av kommandoradsverktyget Nltest. Nltest.exe ingår i verktygen för fjärrserveradministration för Windows 10.

  1. Skriv följande kommando i en kommandotolk och tryck sedan på Retur: Nltest /dsgetdc:<FQDN Of Domain>. Om inställningarna är korrekta får du utdata som liknar följande:

    DC: \DC.contoso.com Address:\ <IP Address> Dom Guid: <GUID> Dom Name: contoso.com Forest Name: contoso.com Dc Site Name: Default-First-Site-Name Our Site Name: Default-First-Site-Name Flags: PDC GC DS LDAP KDC TIMESERV GTIMESERV WRITABLE DNS_DC DNS_DOMAIN DNS_FOREST CLOSE_SITE Kommandot slutfördes korrekt

  2. Kontrollera datorns webbplatsmedlemskap. Det gör du genom att skriva följande kommando och sedan trycka på Retur: nltest /dsgetsite. Ett lyckat resultat liknar följande:

    Default-First-Site-Name Kommandot har slutförts

Mer information

Åtkomst till Office 365 resurser med hjälp av ett icke-federerat konto eller ett federerat konto från en offentlig Internetanslutning kan inte resultera i en enkel inloggning.

Upplevelsen för att logga in på Microsoft Outlook-anslutningar förväntas inte heller vara en enkel inloggningsupplevelse.

Kontakta oss för att få hjälp

Om du har frågor eller behöver hjälp skapar du en supportförfrågan eller frågar Azure community support. Du kan också skicka produktfeedback till Azure-feedbackcommunityn.