Die Anmeldung bei Office 365, Azure oder InTune mithilfe der einmaligen Anmeldung funktioniert nicht auf einigen Geräten

Gilt für: Azure Active DirectoryMicrosoft IntuneAzure Backup

PROBLEM


Wenn Sie versuchen, mithilfe eines Verbund Kontos auf einen Microsoft-clouddienst wie Office 365, Microsoft Azure oder Microsoft InTune über einen webbasierten Client oder eine Rich-Client-Anwendung zuzugreifen, schlägt die Authentifizierung von einem bestimmten Clientcomputerfehl. Wenn Sie mithilfe eines Webbrowsers auf das Cloud-Service-Portal auf dem gleichen Computer zugreifen, indem Sie ein Verbund Konto verwenden, kann eines der folgenden Symptome auftreten:
  • Wenn Sie eine Verbindung mit dem Portal Endpunkt herstellen, wird eine der folgenden Fehlermeldungen angezeigt: 
    Internet Explorer kann die Webseite nicht anzeigen.
    403-Seite nicht gefunden
  • Wenn Sie eine Verbindung mit dem Active Directory Federation Services (AD FS)-Endpunkt herstellen, wird eine der folgenden Fehlermeldungen angezeigt:
    Internet Explorer kann die Webseite nicht anzeigen
    403-Seite nicht gefunden
  • Wenn Sie eine Verbindung mit dem AD FS-Endpunkt herstellen, wird eine Zertifikatwarnung angezeigt.
  • Wenn Sie eine Verbindung mit dem AD FS-Endpunkt herstellen, während Sie bei der Unternehmensdomäne angemeldet sind, erhalten Sie eine einzige Eingabeaufforderung für Anmeldeinformationen. Diese Eingabeaufforderung für Ihre Anmeldeinformationen verwendet keine formularbasierte Authentifizierung.
  • Wenn Sie eine Verbindung mit dem AD FS-Endpunkt mithilfe eines Webbrowsers eines Drittanbieters herstellen, erhalten Sie die Eingabeaufforderungen für die Schleifen Authentifizierung. Diese Eingabeaufforderungen verwenden keine formularbasierte Authentifizierung.
  • Wenn Sie eine Verbindung mit dem Login.microsoftonline.com-Endpunkt herstellen, wird die folgende Fehlermeldung angezeigt:
    Zugriff verweigert

URSACHE


Dieses Problem tritt in der Regel auf einem Clientcomputer oder auf einer Gruppe von Clientgeräten auf. Dieses Problem kann bei allen Benutzern und Clientcomputern auftreten, wenn einmaliges Anmelden (Single Sign-on, SSO) nicht voll funktionsfähig ist. SSO ist möglicherweise nicht voll funktionsfähig, wenn die Clienteinstellungen nicht ordnungsgemäß eingerichtet wurden. Die folgenden Clientgeräte Situationen können dieses Problem verursachen:
  • Die Netzwerkkonnektivität ist möglicherweise limitiert.
  • Auf dem Clientgerät wird eine falsche Namensauflösung für den AD FS-Verbunddienst aus der DNS-Implementierung des internen Split-Brain-Diensts empfangen.
  • Wenn ein Internet Proxy Server auf dem Computer konfiguriert ist, wird der Name des AD FS-Verbunddiensts möglicherweise nicht zur Proxyumgehungsliste hinzugefügt.
  • Der Name des AD FS-Verbunddiensts wird in den Einstellungen für Internet Optionen möglicherweise nicht zur Sicherheitszone Lokales Intranet hinzugefügt.
  • Der Clientcomputer ist nicht für Active Directory-Domänendienste authentifiziert.
  • Der Drittanbieter-Webbrowser unterstützt nicht den erweiterten Schutz für die Authentifizierung beim AD FS-Verbunddienst.
  • Der Verbundmetadaten-Endpunkt kann in der Registrierung aufgrund einer früheren Office 365-Beta Installation des SSO-Verwaltungstools hart codiert werden.
  • Der erforderliche AD FS-Dienstendpunkt, der für eine bestimmte Clientanwendung erforderlich ist, ist deaktiviert.
Bevor Sie fortfahren, stellen Sie sicher, dass die folgenden Bedingungen erfüllt sind:
  • Zugriffsprobleme sind nicht auf Rich-Client-Anwendungen auf dem Clientcomputer limitiert. Wenn nur die Rich-Client-Authentifizierung (im Gegensatz zur browserbasierten Authentifizierung) nicht funktioniert, deutet dies wahrscheinlich auf ein Problem mit der Rich-Client-Authentifizierung hin. Möglicherweise handelt es sich um ein Problem, das sich auf die Voraussetzungen oder die Konfiguration der Rich-Client-Anwendung bezieht. Weitere Informationen finden Sie im folgenden Microsoft Knowledge Base-Artikel:
    2637629   Behandeln von Problemen mit nicht-Browser-apps, die sich bei Office 365, Azure oder InTune nicht anmelden können   
  • Die SSO-Authentifizierung schlägt nicht für alle SSO-aktivierten Benutzerkonten fehl. Wenn alle SSO-aktivierten Benutzer dieselben Symptome aufweisen, weist dies wahrscheinlich auf ein Föderations Problem hin. Weitere Informationen finden Sie im folgenden Artikel der Microsoft Knowledge Base:
    2530569   Behandeln von Problemen mit der einmaligen Anmeldung bei der Einrichtung von Office 365, InTune oder Azure  
  • Die SSO-Authentifizierung für das Benutzerkonto ist auf anderen Clientcomputern erfolgreich. Wenn sich das Benutzerkonto nicht bei einem Cloud Services-Client anmelden kann, lesen Sie die Auflösungen weiter unten in diesem Artikel, die den Clientcomputer einbeziehen. Erkunden Sie auch die Möglichkeit, dass mit dem Benutzerkonto und nicht mit dem Clientcomputer etwas nicht stimmt. Weitere Informationen finden Sie im folgenden Artikel der Microsoft Knowledge Base:  
    2530590   Behandeln von Problemen mit dem Konto von Verbundbenutzern in Office 365, Azure oder InTune   
  • Die Tastatur auf dem Clientcomputer funktioniert ordnungsgemäß, und der Benutzername und das Kennwort, sofern erforderlich, wurden ordnungsgemäß eingegeben.

LÖSUNG


Um dieses Problem zu beheben, verwenden Sie je nach Ursache des Problems mindestens eine der folgenden Methoden.

Lösung 1: keine Verbindung mit dem Cloud-Service-Portal oder mit AD FS 

Versuchen Sie, zu http://www.MSN.comzu navigieren. Wenn dies nicht funktioniert, beheben Sie Probleme mit der Netzwerkverbindung. Gehen Sie dazu wie folgt vor:
  1. Verwenden Sie an einer Eingabeaufforderung die Tools ipconfig und ping , um die IP-Konnektivität zu beheben. Weitere Informationen finden Sie im folgenden Microsoft Knowledge Base-Artikel:
    169790 Problembehandlung von grundlegenden TCP/IP-Problemen.
  2. Geben Sie an der Eingabeaufforderung nslookup www.MSN.com ein, um zu ermitteln, ob DNS Internet Servernamen auflöst.
  3. Stellen Sie sicher, dass die Proxyeinstellungen für Internet Optionen den entsprechenden Proxy Server wiedergeben, wenn ein Proxy Server im lokalen Netzwerk verwendet wird.
  4. Wenn auf der Netzwerkgrenze eine Forefront Threat Management Gateway (TMG)-Firewall installiert ist und die Firewall Clientauthentifizierung erfordert, müssen Sie möglicherweise ein Forefront TMG-Clientprogramm auf dem Clientgerät für den Internet Zugriff installieren. Wenden Sie sich an Ihren Cloud Service-Administrator, um Hilfe zu erhalten.

Lösung 2: keine Verbindung mit AD FS

Gehen Sie folgendermaßen vor, um dieses Problem zu beheben:
  1. Beheben von Problemen mit der IP-Konnektivität mithilfe von Lösung 1
  2. Geben Sie an der Eingabeaufforderung nslookup <AD FS 2,0 FQDN>ein, und drücken Sie dann die EINGABETASTE, um zu ermitteln, ob der Name des AD FS-Diensts ordnungsgemäß aufgelöst wird.Hinweis In diesem Befehl stellt <AD FS-FQDN-> den vollqualifizierten Domänennamen (Fully Qualified Domain Name, FQDN) des AD FS-Dienst namens dar. Sie stellt nicht den Windows-Hostnamen des AD FS-Servers dar.
    1. Wenn der Client mit dem Unternehmensnetzwerk verbunden ist, stellen Sie sicher, dass die behobene IP-Adresse eine private IP-Adresse ist . Die IP-Adresse sollte mit einem der folgenden Muster übereinstimmen:
      • 10.x.x der Dateien „Msvcrt.dll“ und „Msvcirt.dll“ verwenden.x
      • 172.16.x der Dateien „Msvcrt.dll“ und „Msvcirt.dll“ verwenden.x
      • 192.168.x der Dateien „Msvcrt.dll“ und „Msvcirt.dll“ verwenden.x
    2. Wenn sich der Client außerhalb des Unternehmensnetzwerks befindet, stellen Sie sicher, dass die behobene IP-Adresse eine öffentliche IP-Adresse ist. Stellen Sie sicher, dass Sie nicht mit einem der folgenden Muster übereinstimmen:
      • 10.x.x der Dateien „Msvcrt.dll“ und „Msvcirt.dll“ verwenden.x
      • 172.16.x der Dateien „Msvcrt.dll“ und „Msvcirt.dll“ verwenden.x
      • 192.168.x der Dateien „Msvcrt.dll“ und „Msvcirt.dll“ verwenden.x
    3. Wenn die behobene IP-Adresse auf der Grundlage von Schritt 1 und Schritt 2 falsch ist und auf anderen Clientcomputern nicht dasselbe Verhalten auftritt, gehen Sie wie folgt vor:
      1. Geben Sie an der Eingabeaufforderung ipconfig/alle ein, und überprüfen Sie, ob der primäre DNS-Server Eintrag für das Netzwerk geeignet ist, dem der Client angefügt ist.
      2. Öffnen Sie die%windir%\system32\drivers\etc\hosts-Datei in Editor, und entfernen Sie dann alle Einträge für den AD FS-FQDN. Speichern Sie dann die Datei.
      3. Geben Sie an der Eingabeaufforderung ipconfig/flushdns ein, um den DNS-Cache zu löschen.
    Hinweis Wenn Clientgeräte nur an das Unternehmensnetzwerk angeschlossen sind, fahren Sie mit Schritt 3 fort.
  3. Fügen Sie den AD FS-FQDN zur Proxy Umgehungsliste hinzu. Führen Sie dazu die Schritte im folgenden Artikel der Microsoft Knowledge Base aus:
    262981 Internet Explorer verwendet Proxy Server für die lokale IP-Adresse, auch wenn die Option "Proxy Server für lokale Adressen umgehen" aktiviert ist.

Lösung 3: Zertifikatwarnung beim Herstellen einer Verbindung mit dem AD FS-Endpunkt

Um dieses Problem zu beheben, beheben Sie Probleme mit SSL-Zertifikaten (Secure Sockets Layer) mithilfe des folgenden Artikels in der Microsoft Knowledge Base:
2523494  Sie erhalten eine Zertifikatwarnung von AD FS, wenn Sie versuchen, sich bei Office 365, Azure oder InTune anzumeldet.  

Lösung 4: bei der Anmeldung von einem Clientcomputer, der mit dem Unternehmensnetzwerk verbunden ist, wird eine einzige Eingabeaufforderung für unerwartete Anmeldeinformationen angezeigt

Gehen Sie folgendermaßen vor, um dieses Problem zu beheben:
  1. Stellen Sie sicher, dass der Clientcomputer erfolgreich bei der Domäne angemeldet ist.
    1. Klicken Sie auf Start, klicken Sie auf Ausführen, geben Sie %LOGONSERVER%\Sysvolein, und klicken Sie dann auf OK.
    2. Wenn eine Eingabeaufforderung für Anmeldeinformationen angezeigt wird, melden Sie sich ab, und melden Sie sich dann mit den Unternehmensanmeldeinformationen wieder an.
  2. Fügen Sie den AD FS-FQDN zur Zone Lokales Intranet hinzu.
    1. Klicken Sie auf der Registerkarte Sicherheit auf Lokales Intranetund dann auf Websites.
    2. Klicken Sie auf erweitert, und überprüfen Sie dann den Eintrag Websites für den vollqualifizierten DNS-Namen des AD FS-Dienstendpunkts (beispielsweise STS.contoso.com). Hinweis In dieser Konfiguration ist auch ein Platzhalterwert wie "*. consoto.com" zu verwenden.
  3. Fügen Sie den AD FS-FQDN zur Proxy Umgehungsliste hinzu. Führen Sie dazu die Schritte im folgenden Artikel der Microsoft Knowledge Base aus:
    262981 Internet Explorer verwendet Proxy Server für die lokale IP-Adresse, auch wenn die Option "Proxy Server für lokale Adressen umgehen" aktiviert ist.

Lösung 5: der Webbrowser eines Drittanbieters unterstützt nicht den erweiterten Authentifizierungsschutz, und Sie erhalten die Eingabeaufforderungen für die Schleifen Authentifizierung.

Gehen Sie folgendermaßen vor, um dieses Problem zu beheben:
  1. Verwenden Sie Windows Internet Explorer (Internet Explorer unterstützt erweiterten Authentifizierungsschutz) anstelle eines Webbrowsers eines Drittanbieters, der den erweiterten Authentifizierungsschutz nicht unterstützt.
  2. Wenn die Verwendung von Internet Explorer keine Option ist, verwenden Sie den folgenden Microsoft Knowledge Base-Artikel, um AD FS so zu konfigurieren, dass Anforderungen von Webbrowsern akzeptiert werden, die den erweiterten Authentifizierungsschutz nicht unterstützen:
    2461628  Ein Verbundbenutzer wird während der Anmeldung bei Office 365, Azure oder InTune wiederholt zur Eingabe von Anmeldeinformationen aufgefordert

Lösung 6: Fehlermeldung "Zugriff verweigert", wenn Sie versuchen, eine Verbindung mit Login.microsoftonline.com herzustellen

Wichtig Dieser Abschnitt enthält Schritte, die Ihnen mitteilen, wie Sie die Registrierung ändern. Durch die falsche Bearbeitung der Registrierung können schwerwiegende Probleme verursacht werden. Daher ist es wichtig, bei der Ausführung der folgenden Schritte sorgfältig vorzugehen. Als Schutzmaßnahme sollten Sie vor der Bearbeitung der Registrierung eine Sicherungskopie erstellen. So ist gewährleistet, dass Sie die Registrierung wiederherstellen können, falls ein Problem auftritt. Weitere Informationen zum Erstellen und Wiederherstellen einer Sicherungskopie der Registrierung finden Sie im folgenden Artikel der Microsoft Knowledge Base:
322756 Sichern und Wiederherstellen der Registrierung in Windows
Probleme können auftreten, wenn der Endpunkt für Azure Active Directory SSO, der von AD FS verwendet wird, nicht gültig ist. Stellen Sie sicher, dass der Verbundendpunkt in der Registrierung jedes Servers in der AD FS-Verbunddienst Farm nicht hart codiert ist. Um dieses Problem zu beheben, verwenden Sie den Registrierungs-Editor, um den folgenden Registrierungsunterschlüssel zu löschen:
HKEY_LOCAL_MACHINE\Software\Microsoft\MOCHA\IdentityFederation
AD FS wird basierend auf der vertrauenswürdigen SSO-Vertrauen-Partei wieder auf den richtigen Endpunkt zurückgreifen.

Lösung 7: Zurücksetzen der Einstellung deaktivierter AD FS-Dienstendpunkt auf Standardkonfiguration

Weitere Informationen hierzu finden Sie im folgenden Artikel der Microsoft Knowledge Base:
2712957  Anmelden bei Office 365, Azure oder InTune schlägt fehl, nachdem Sie den Verbunddienstendpunkt geändert haben 
Weitere Hilfe erforderlich? Wechseln Sie zu Microsoft Community oder zur Azure Active Directory-Forums Website.