All'utente federato viene richiesto in modo imprevisto di immettere le credenziali dell'account

  • Articolo

Questo articolo descrive uno scenario in cui a un utente federato viene richiesto in modo imprevisto di immettere le credenziali dell'account aziendale o dell'istituto di istruzione durante l'accesso a Office 365, Azure o Microsoft Intune.

Versione originale del prodotto: Microsoft Entra ID, Microsoft Intune, Backup di Azure, Office 365 Identity Management
Numero KB originale: 2535227

Sintomi

Quando un utente federato accede Office 365, Microsoft Azure o Microsoft Intune, all'utente viene richiesto in modo imprevisto di immettere le credenziali dell'account aziendale o dell'istituto di istruzione. Dopo che l'utente ha immesso le credenziali, all'utente viene concesso l'accesso al servizio cloud.

Nota

Non tutte le esperienze di autenticazione utente federata non sono prive di una richiesta di credenziali. In alcuni scenari, è in base alla progettazione e si prevede che agli utenti federati venga richiesto di immettere le credenziali. Assicurarsi che la richiesta di credenziali sia imprevista prima di continuare.

Causa

Questo problema può verificarsi per i client di dominio interni se si verificano una o più delle condizioni seguenti:

  • Un client interno risolve l'endpoint Active Directory Federation Services (AD FS) nell'indirizzo IP del servizio proxy AD FS anziché nell'indirizzo IP del servizio federativo AD FS.
  • Le impostazioni di sicurezza in Internet Explorer non sono configurate per l'accesso Single Sign-On ad AD FS.
  • Le impostazioni del server proxy in Internet Explorer non sono configurate per l'accesso Single Sign-On ad AD FS.
  • Il Web browser non supporta autenticazione di Windows integrate.
  • Il computer client non può connettersi al dominio Active Directory locale.

Risoluzione 1: assicurarsi che il server DNS disponga di un record host per l'endpoint AD FS

Assicurarsi che il server DNS disponga di un record host per l'endpoint AD FS appropriato per il computer client che sta riscontrando questo problema. Per i client interni, ciò significa che il server DNS interno deve risolvere il nome dell'endpoint AD FS in un indirizzo IP interno. Per i client Internet, ciò significa che il nome dell'endpoint deve essere risolto in un indirizzo IP pubblico. Per testarlo nel client, seguire questa procedura:

  1. Selezionare Start, selezionare Esegui, digitare cmd e quindi premere INVIO.

  2. Al prompt dei comandi digitare il comando seguente, dove il segnaposto sts.contoso.com rappresenta il nome dell'endpoint AD FS:

    nslookup sts.contoso.com

  3. Se l'output del comando mostra un indirizzo IP non corretto, aggiornare il record A nel server DNS interno o esterno. Per altre informazioni su come eseguire questa operazione, vedere Internet browser can't display the AD FS sign-in webpage for federated users Internet browser can't display the AD FS webpage when a federated user tries to sign in to Office 365, Azure, or Intune

Risoluzione 2: controllare le impostazioni dell'area Intranet locale e del server proxy in Internet Explorer

Usare una delle procedure seguenti, in base alla situazione.

Procedura A

Controllare le impostazioni dell'area Intranet locale e del server proxy in Internet Explorer. A tal fine, attenersi alla seguente procedura:

  1. Avviare Internet Explorer.

  2. Nel menu Strumenti fare clic su Opzioni Internet.

  3. Selezionare la scheda Sicurezza, selezionare l'area Intranet locale e quindi siti.

  4. Nella finestra di dialogo Intranet locale selezionare Avanzate. Nell'elenco Siti Web verificare che esista una voce ( ad sts.contoso.comesempio ) per il nome DNS completo dell'endpoint del servizio AD FS.

  5. Fare clic su Chiudi, quindi su OK.

    Nota

    Seguire questa procedura aggiuntiva solo se un amministratore di rete ha configurato un server proxy Web nell'ambiente locale:

  6. Selezionare la scheda Connections e quindi selezionare Impostazioni LAN.

  7. In Configurazione automatica selezionare per deselezionare la casella di controllo Rileva automaticamente le impostazioni e quindi selezionare per deselezionare la casella di controllo Usa script di configurazione automatica .

  8. In Server proxy selezionare la casella di controllo Usa un server proxy per la rete LAN , digitare l'indirizzo del server proxy e la porta usata e quindi selezionare Avanzate.

  9. In Eccezioni aggiungere l'endpoint AD FS , ad sts.contoso.comesempio .

  10. Cliccare tre volte su OK.

Procedura B

Configurare manualmente le impostazioni di sicurezza per l'area di sicurezza in Internet Explorer. L'impostazione di sicurezza predefinita che impedisce all'area Intranet locale di richiedere autenticazione di Windows può essere configurata manualmente per qualsiasi area di sicurezza in Internet Explorer. Per personalizzare l'area di sicurezza di cui fa già parte il nome del servizio AD FS, seguire questa procedura:

Avviso

Questa configurazione è altamente sconsigliata perché potrebbe comportare l'invio imprevisto del traffico di autenticazione integrata di Windows ai siti Web.

  1. Avviare Internet Explorer.
  2. Nel menu Strumenti selezionare Opzioni Internet.
  3. Selezionare la scheda Sicurezza , selezionare l'area di sicurezza in cui è già contenuto il nome del servizio AD FS e quindi selezionare Livello personalizzato.
  4. Nella finestra di dialogo Impostazioni di sicurezza scorrere fino alla fine per individuare la voce Autenticazione utente .
  5. In Accesso selezionare Accesso automatico con nome utente e password correnti.
  6. selezionare OK due volte.

Risoluzione 3: Usare Internet Explorer o un Web browser di terze parti

Usare Internet Explorer o un Web browser di terze parti che supporta autenticazione di Windows integrate.

Risoluzione 4: Verificare la connettività ad Active Directory

Disconnettersi dal computer client e quindi accedere come utente di Active Directory. Se l'accesso ha esito positivo, verificare la connettività ad Active Directory usando lo strumento da riga di comando Nltest. Nltest.exe è incluso negli strumenti di amministrazione remota del server per Windows 10.

  1. Al prompt dei comandi digitare il comando seguente e quindi premere INVIO: Nltest /dsgetdc:<FQDN Of Domain>. Se le impostazioni sono corrette, si riceve un output simile al seguente:

    DC: \DC.contoso.com Address:\ <IP Address> Dom Guid: <GUID> Dom Name: contoso.com Forest Name: contoso.com Dc Site Name: Default-First-Site-Name Our Site Name: Default-First-Site-Name Flags: PDC GC DS LDAP KDC TIMESERV GTIMESERV WRITABLE DNS_DC DNS_DOMAIN DNS_FOREST CLOSE_SITE Il comando è stato completato correttamente

  2. Controllare l'appartenenza al sito del computer. A tale scopo, digitare il comando seguente e quindi premere INVIO: nltest /dsgetsite. Un risultato riuscito è simile al seguente:

    Default-First-Site-Name Il comando è stato completato correttamente

Ulteriori informazioni

L'accesso alle risorse Office 365 tramite un account non federato o un account federato da una connessione Internet pubblica potrebbe non comportare un'esperienza di accesso Single Sign-On.

Anche l'esperienza per l'accesso alle connessioni di Microsoft Outlook non dovrebbe essere un'esperienza di accesso Single Sign-On.

Contattaci per ricevere assistenza

In caso di domande o bisogno di assistenza, creare una richiesta di supporto tecnico oppure formula una domanda nel Supporto della community di Azure. È possibile anche inviare un feedback sul prodotto al feedback della community di Azure.