En federerad användare uppmanas upprepade gånger att ange autentiseringsuppgifter under inloggningen till Microsoft 365, Azure eller Intune

  • Artikel
  • Gäller för:
    Cloud Services (Web roles/Worker roles), Azure Active Directory, Microsoft 365, Microsoft Intune, CRM Online via Office 365 E Plans, Azure Backup

Viktigt

Den här artikeln innehåller information som visar hur du kan sänka säkerhetsinställningarna eller inaktivera säkerhetsfunktioner på en dator. Du kan göra dessa ändringar för att kringgå ett specifikt problem. Innan du gör dessa ändringar rekommenderar vi att du utvärderar de risker som är associerade med att implementera den här lösningen i din miljö. Om du implementerar den här lösningen kan du vidta lämpliga ytterligare åtgärder för att skydda datorn.

Problem

En federerad användare uppmanas upprepade gånger att ange autentiseringsuppgifter när användaren försöker autentisera till tjänstslutpunkten Active Directory Federation Services (AD FS) (AD FS) under inloggningen till en Microsoft-molntjänst som Microsoft 365, Microsoft Azure eller Microsoft Intune. När användaren avbryter får användaren felmeddelandet Åtkomst nekad .

Orsak

Symptomet indikerar ett problem med Windows-integrerad autentisering med AD FS. Det här problemet kan inträffa om ett eller flera av följande villkor är uppfyllda:

  • Ett felaktigt användarnamn eller lösenord användes.

  • Autentiseringsinställningar för Internet Information Services (IIS) har konfigurerats felaktigt i AD FS.

  • Namnet på tjänstens huvudnamn (SPN) som är associerat med tjänstkontot som används för att köra AD FS-federationsservergruppen går förlorat eller skadat.

    Obs!

    Detta inträffar endast när AD FS implementeras som en federationsservergrupp och inte implementeras i en fristående konfiguration.

  • Ett eller flera av följande identifieras av Utökat skydd för autentisering som källa till en man-in-the-middle-attack:

    • Vissa webbläsare från tredje part
    • Företagets nätverksbrandvägg, nätverkslastbalanserare eller andra nätverksenheter publicerar AD FS Federation Service på Internet på ett sådant sätt att IP-nyttolastdata kan skrivas om. Detta omfattar eventuellt följande typer av data:

      • SSL-bryggning (Secure Sockets Layer)

      • SSL-avlastning

      • Tillståndskänslig paketfiltrering

        Mer information finns i följande artikel i Microsofts bibliotek med tekniska supportartiklar

        2510193 scenarier som stöds för att använda AD FS för att konfigurera enkel inloggning i Microsoft 365, Azure eller Intune

    • Ett övervaknings- eller SSL-dekrypteringsprogram installeras eller är aktivt på klientdatorn

  • DNS-matchning (Domain Name System) för AD FS-tjänstslutpunkten utfördes via CNAME-postsökning i stället för genom en A-postsökning.

  • Windows Internet Explorer är inte konfigurerat för att skicka Windows-integrerad autentisering till AD FS-servern.

Innan du börjar felsöka

Kontrollera att användarnamnet och lösenordet inte är orsaken till problemet.

  • Kontrollera att rätt användarnamn används och har UPN-format (user principal name). Till exempel johnsmith@contoso.com.

  • Kontrollera att rätt lösenord används. Om du vill kontrollera att rätt lösenord används kan du behöva återställa användarlösenordet. Mer information finns i följande Microsoft TechNet-artikel:

    Återställa ett användarlösenord

  • Kontrollera att kontot inte är utelåst, upphört att gälla eller används utanför angivna inloggningstimmar. Mer information finns i följande Microsoft TechNet-artikel: Hantera användare

Kontrollera orsaken

Om du vill kontrollera att Kerberos-problem orsakar problemet kringgår du tillfälligt Kerberos-autentisering genom att aktivera formulärbaserad autentisering i AD FS-federationsservergruppen. Gör så här:

Steg 1: Redigera web.config-filen på varje server i AD FS-federationsservergruppen

  1. Leta upp mappen C:\inetpub\adfs\ls\ i Utforskaren och gör sedan en säkerhetskopia av web.config filen.

  2. Klicka på Start, klicka på Alla program, klicka på Tillbehör, högerklicka på Anteckningar och klicka sedan på Kör som administratör.

  3. Klicka på ÖppnaArkiv-menyn. I rutan Filnamn skriver du C:\inetpub\adfs\ls\web.config och klickar sedan på Öppna.

  4. I filen web.config följer du dessa steg:

    1. Leta upp raden som innehåller autentiseringsläge<> och ändra den sedan till <autentiseringsläge="Formulär"/>.

    2. Leta upp avsnittet som börjar med <localAuthenticationTypes> och ändra sedan avsnittet så att < posten add name="Forms"> visas först, enligt följande:

      <localAuthenticationTypes>
<add name="Forms" page="FormsSignIn.aspx" />
<add name="Integrated" page="auth/integrated/" />
<add name="TlsClient" page="auth/sslclient/" />
<add name="Basic" page="auth/basic/" />

  5. Klicka på SparaArkiv-menyn.

  6. Starta om IIS med hjälp av iisresetcommand i en upphöjd kommandotolk.

Steg 2: Testa AD FS-funktioner

  1. Logga in på molntjänstportalen på en klientdator som är ansluten och autentiserad till den lokala AD DS-miljön.

    I stället för en sömlös autentiseringsupplevelse bör en formulärbaserad inloggning upplevas. Om inloggningen lyckas med formulärbaserad autentisering bekräftar detta att det finns ett problem med Kerberos i AD FS-federationstjänsten.

  2. Återställ konfigurationen för varje server i AD FS-federationsservergruppen till de tidigare autentiseringsinställningarna innan du följer stegen i avsnittet "Lösning". Följ dessa steg om du vill återställa konfigurationen för varje server i AD FS-federationsservergruppen:

    1. Leta upp mappen C:\inetpub\adfs\ls\ i Utforskaren och ta sedan bort filen web.config.
    2. Flytta säkerhetskopian av den web.config fil som du skapade i avsnittet "Steg 1: Redigera web.config-filen på varje server i AD FS-federationsservergruppen" till mappen C:\inetpub\adfs\ls\.

  3. Starta om IIS med hjälp av iisresetcommand i en upphöjd kommandotolk.

  4. Kontrollera att AD FS-autentiseringsbeteendet återgår till det ursprungliga problemet.

Lösning

Lös Kerberos-problemet som begränsar AD FS-autentiseringen genom att använda en eller flera av följande metoder, beroende på vad som är lämpligt för situationen.

Lösning 1: Återställa AD FS-autentiseringsinställningarna till standardvärdena

Om autentiseringsinställningarna för AD FS IIS är felaktiga, eller om IIS-autentiseringsinställningarna för AD FS Federation Services och Proxy Services inte matchar, är en lösning att återställa alla IIS-autentiseringsinställningar till standardinställningarna för AD FS.

Standardinställningarna för autentisering visas i följande tabell.

Virtuellt program Autentiseringsnivå(er)
Standardwebbplats/adfs Anonym autentisering
Standardwebbplats/adfs/ls Anonym autentisering, Windows-autentisering

På varje AD FS-federationsserver och på varje AD FS-federationsserverproxy använder du informationen i följande Microsoft TechNet-artikel för att återställa de virtuella AD FS IIS-programmen till standardinställningarna för autentisering:

Konfigurera autentisering i IIS 7

Lösning 2: Korrigera AD FS-federationsservergruppens SPN

Obs!

Prova bara den här lösningen när AD FS implementeras som en federationsservergrupp. Prova inte den här lösningen i en fristående AD FS-konfiguration.

Lös problemet om SPN för AD FS-tjänsten tappas bort eller skadas på AD FS-tjänstkontot genom att följa dessa steg på en server i AD FS-federationsservergruppen:

  1. Öppna snapin-modulen För tjänsthantering. Det gör du genom att klicka på Start, klicka på Alla program, klicka på Administrationsverktyg och sedan på Tjänster.

  2. Dubbelklicka på AD FS (2.0) Windows-tjänsten.

  3. På fliken Logga in noterar du tjänstkontot som visas i Det här kontot.

  4. Klicka på Start, klicka på Alla program, klicka på Tillbehör, högerklicka på Kommandotolken och klicka sedan på Kör som administratör.

  5. Skriv följande kommando och klicka sedan på Retur.

    SetSPN –f –q host/<AD FS service name>

    Obs!

    I det här kommandot <representerar AD FS-tjänstnamnet> det fullständiga domännamnstjänsten (FQDN) för AD FS-tjänstslutpunkten. Den representerar inte Windows-värdnamnet för AD FS-servern.

    • Om mer än en post returneras för kommandot och resultatet är associerat med ett annat användarkonto än det som angavs i steg 3 tar du bort associationen. Det gör du genom att köra följande kommando:

      SetSPN –d host/<AD FS service name><bad_username>

    • Om mer än en post returneras för kommandot och SPN använder samma namn som datornamnet för AD FS-servern i Windows är federationsslutpunktens namn för AD FS felaktigt. AD FS måste implementeras igen. FQDN för AD FS-federationsservergruppen får inte vara identiskt med Windows-värdnamnet för en befintlig server.

    • Om SPN inte redan finns kör du följande kommando:

      SetSPN –a host/<AD FS service name><username of service account>

      Obs!

      I det här kommandot <representerar användarnamnet för tjänstkontot> det användarnamn som angavs i steg 3.

  6. När de här stegen har utförts på alla servrar i AD FS-federationsservergruppen högerklickar du på AD FS (2.0) Windows-tjänsten i snapin-modulen Tjänsthantering och klickar sedan på Starta om.

Lösning 3: Lösa problem med utökat skydd för autentisering

Lös problemet om utökat skydd för autentisering förhindrar lyckad autentisering genom att använda någon av följande rekommenderade metoder:

  • Metod 1: Använd Windows Internet Explorer 8 (eller en senare version av programmet) för att logga in.
  • Metod 2: Publicera AD FS-tjänster till Internet på ett sådant sätt att SSL-bryggning, SSL-avlastning eller tillståndskänslig paketfiltrering inte skriver om IP-nyttolastdata. Rekommendationen om bästa praxis för detta ändamål är att använda en AD FS-proxyserver.
  • Metod 3: Stäng eller inaktivera övervakning eller SSL-dekryptering av program.

Om du inte kan använda någon av dessa metoder kan utökat skydd för autentisering inaktiveras för passiva och aktiva klienter för att undvika det här problemet.

Lösning: Inaktivera utökat skydd för autentisering

Varning

Vi rekommenderar inte att du använder den här proceduren som en långsiktig lösning. Inaktivering av utökat skydd för autentisering försvagar AD FS-tjänstens säkerhetsprofil genom att inte identifiera vissa man-in-the-middle-attacker på integrerade Windows-autentiseringsslutpunkter.

Obs!

När den här lösningen används för programfunktioner från tredje part bör du även avinstallera snabbkorrigeringar i klientoperativsystemet för Utökat skydd för autentisering.

För passiva klienter

Om du vill inaktivera utökat skydd för autentisering för passiva klienter utför du följande procedur för följande virtuella IIS-program på alla servrar i AD FS-federationsservergruppen:

  • Standardwebbplats/adfs
  • Standardwebbplats/adfs/ls

Gör så här:

  1. Öppna IIS-hanteraren och gå till den nivå som du vill hantera. Information om hur du öppnar IIS-hanteraren finns i Öppna IIS-hanteraren (IIS 7).
  2. Dubbelklicka på Autentisering i funktionsvyn.
  3. På sidan Autentisering väljer du Windows-autentisering.
  4. I fönstret Åtgärder klickar du på Avancerade inställningar.
  5. När dialogrutan Avancerade inställningar visas väljer du Av i listrutan Utökat skydd .

För aktiva klienter

Om du vill inaktivera Utökat skydd för autentisering för aktiva klienter utför du följande procedur på den primära AD FS-servern:

  1. Öppna Windows PowerShell.

  2. Kör följande kommando för att läsa in Windows PowerShell för AD FS-snapin-modulen:

    Add-PsSnapIn Microsoft.Adfs.Powershell

  3. Kör följande kommando för att inaktivera Utökat skydd för autentisering:

    Set-ADFSProperties –ExtendedProtectionTokenCheck "None"

Återaktivera utökat skydd för autentisering

För passiva klienter

Om du vill återaktivera utökat skydd för autentisering för passiva klienter utför du följande procedur för följande virtuella IIS-program på alla servrar i AD FS-federationsservergruppen:

  • Standardwebbplats/adfs
  • Standardwebbplats/adfs/ls

Gör så här:

  1. Öppna IIS-hanteraren och gå till den nivå som du vill hantera. Information om hur du öppnar IIS-hanteraren finns i Öppna IIS-hanteraren (IIS 7).
  2. Dubbelklicka på Autentisering i funktionsvyn.
  3. På sidan Autentisering väljer du Windows-autentisering.
  4. I fönstret Åtgärder klickar du på Avancerade inställningar.
  5. När dialogrutan Avancerade inställningar visas väljer du Acceptera på den nedrullningsbara menyn Utökat skydd .

För aktiva klienter

Utför följande procedur på den primära AD FS-servern för att återaktivera utökat skydd för autentisering för aktiva klienter:

  1. Öppna Windows PowerShell.

  2. Kör följande kommando för att läsa in Windows PowerShell för AD FS-snapin-modulen:

    Add-PsSnapIn Microsoft.Adfs.Powershell

  3. Kör följande kommando för att aktivera Utökat skydd för autentisering:

    Set-ADFSProperties –ExtendedProtectionTokenCheck "Allow"

Lösning 4: Ersätt CNAME-poster med A-poster för AD FS

Använd DNS-hanteringsverktyg för att ersätta varje DNS-aliaspost (CNAME) som används för federationstjänsten med en DNS-adresspost (A). Kontrollera eller överväg även företagets DNS-inställningar när en DNS-konfiguration med delad hjärna implementeras. Mer information om hur du hanterar DNS-poster finns i Hantera DNS-poster.

Lösning 5: Konfigurera Internet Explorer som en AD FS-klient för enkel inloggning (SSO)

Mer information om hur du konfigurerar Internet Explorer för AD FS-åtkomst finns i En federerad användare uppmanas oväntat att ange autentiseringsuppgifter för arbets- eller skolkonto.

Mer information

För att skydda ett nätverk använder AD FS utökat skydd för autentisering. Utökat skydd för autentisering kan hjälpa till att förhindra man-in-the-middle-attacker där en angripare fångar upp en klients autentiseringsuppgifter och vidarebefordrar dem till en server. Skydd mot sådana attacker möjliggörs med hjälp av Channel Binding Works (CBT). KBT kan krävas, tillåtas eller inte krävas av servern när kommunikation upprättas med klienter.

Inställningen ExtendedProtectionTokenCheck AD FS anger nivån för utökat skydd för autentisering som stöds av federationsservern. Det här är de tillgängliga värdena för den här inställningen:

  • Kräv: Servern är helt härdad. Utökat skydd tillämpas.
  • Tillåt: Det här är standardinställningen. Servern är delvis förstärkt. Utökat skydd tillämpas för berörda system som har ändrats för att stödja den här funktionen.
  • Ingen: Servern är sårbar. Utökat skydd tillämpas inte.

Följande tabeller beskriver hur autentisering fungerar för tre operativsystem och webbläsare, beroende på de olika alternativen för utökat skydd som är tillgängliga på AD FS med IIS.

Obs!

Windows-klientoperativsystem måste ha specifika uppdateringar som är installerade för att effektivt använda funktioner för utökat skydd. Som standard är funktionerna aktiverade i AD FS.

Som standard innehåller Windows 7 lämpliga binärfiler för att använda Utökat skydd.

Windows 7 (eller lämpligt uppdaterade versioner av Windows Vista eller Windows XP)

Inställning Kräver Tillåt (standard) Ingen
WCF-klient (Windows Communication Foundation) (alla slutpunkter) Fungerar Fungerar Fungerar
Internet Explorer 8 och senare versioner Fungerar Fungerar Fungerar
Firefox 3.6 Misslyckas Misslyckas Fungerar
Safari 4.0.4 Misslyckas Misslyckas Fungerar

Windows Vista utan lämpliga uppdateringar

Inställning Kräver Tillåt (standard) Ingen
WCF-klient (alla slutpunkter) Misslyckas Fungerar Fungerar
Internet Explorer 8 och senare versioner Fungerar Fungerar Fungerar
Firefox 3.6 Misslyckas Fungerar Fungerar
Safari 4.0.4 Misslyckas Fungerar Fungerar

Windows XP utan lämpliga uppdateringar

Inställning Kräver Tillåt (standard) Ingen
Internet Explorer 8 och senare versioner Fungerar Fungerar Fungerar
Firefox 3.6 Misslyckas Fungerar Fungerar
Safari 4.0.4 Misslyckas Fungerar Fungerar

Mer information om Utökat skydd för autentisering finns i följande Microsoft-resurs:

Konfigurera avancerade alternativ för AD FS 2.0

Mer information om cmdleten Set-ADFSProperties finns på följande Microsoft-webbplats:

Set-ADFSEgenskaper

Behöver du fortfarande hjälp? Gå till Microsoft Community eller webbplatsen för Microsoft Entra Forum.

De produkter från andra tillverkare som diskuteras i denna artikel tillverkas oberoende av Microsoft. Produkternas funktion eller tillförlitlighet kan därför inte garanteras.