Se le pide al usuario federado que escriba las credenciales de la cuenta de forma inesperada.

  • Artículo

En este artículo se describe un escenario en el que se solicita a un usuario federado que escriba inesperadamente sus credenciales de cuenta profesional o educativa al acceder a Office 365, Azure o Microsoft Intune.

Versión original del producto: Microsoft Entra ID, Microsoft Intune, Azure Backup, Office 365 Identity Management
Número de KB original: 2535227

Síntomas

Cuando un usuario federado inicia sesión Office 365, Microsoft Azure o Microsoft Intune, se le pide inesperadamente que escriba las credenciales de la cuenta profesional o educativa. Una vez que el usuario escribe las credenciales, se le concede acceso al servicio en la nube.

Nota:

No todas las experiencias de autenticación de usuarios federados no tienen un símbolo del sistema de credenciales. En determinados escenarios, es por diseño y se espera que se pida a los usuarios federados que escriban sus credenciales. Asegúrese de que el símbolo del sistema de credenciales es inesperado antes de continuar.

Causa

Este problema puede producirse para los clientes de dominio internos si se cumplen una o varias de las condiciones siguientes:

  • Un cliente interno resuelve el punto de conexión de Servicios de federación de Active Directory (AD FS) (AD FS) en la dirección IP del servicio proxy de AD FS en lugar de en la dirección IP del servicio de federación de AD FS.
  • La configuración de seguridad de Internet Explorer no está configurada para el inicio de sesión único en AD FS.
  • La configuración del servidor proxy en Internet Explorer no está configurada para el inicio de sesión único en AD FS.
  • El explorador web no admite autenticación de Windows integrados.
  • El equipo cliente no se puede conectar al dominio Active Directory local.

Resolución 1: Asegúrese de que el servidor DNS tiene un registro de host para el punto de conexión de AD FS.

Asegúrese de que el servidor DNS tiene un registro de host para el punto de conexión de AD FS que sea adecuado para el equipo cliente que experimenta este problema. Para los clientes internos, esto significa que el servidor DNS interno debe resolver el nombre del punto de conexión de AD FS en una dirección IP interna. Para los clientes de Internet, esto significa que el nombre del punto de conexión debe resolverse en una dirección IP pública. Para probar esto en el cliente, siga estos pasos:

  1. Seleccione Inicio, seleccione Ejecutar, escriba cmd y presione Entrar.

  2. En el símbolo del sistema, escriba el siguiente comando, donde el marcador de posición sts.contoso.com representa el nombre del punto de conexión de AD FS:

    nslookup sts.contoso.com

  3. Si la salida del comando muestra una dirección IP incorrecta, actualice el registro A en el servidor DNS interno o externo. Para obtener más información sobre cómo hacerlo, consulte Internet browser can't display the AD FS sign-in webpage for federated users Internet browser can't display the AD FS webpage when a federated user tries to sign in to Office 365, Azure, or Intune

Resolución 2: Comprobación de la configuración de la zona de intranet local y del servidor proxy en Internet Explorer

Use uno de los procedimientos siguientes, según corresponda para su situación.

Procedimiento A

Compruebe la configuración de la zona de intranet local y del servidor proxy en Internet Explorer. Para ello, siga estos pasos:

  1. Abra Internet Explorer.

  2. En el menú Herramientas, seleccione Opciones de Internet.

  3. Seleccione la pestaña Seguridad, seleccione la zona Intranet local y, a continuación, sitios.

  4. En el cuadro de diálogo Intranet local , seleccione Opciones avanzadas. En la lista Sitios web , asegúrese de que existe una entrada (como sts.contoso.com) para el nombre DNS completo del punto de conexión de servicio de AD FS.

  5. Seleccione Cerrar y, luego, Aceptar.

    Nota:

    Siga estos pasos adicionales solo si un administrador de red configuró un servidor proxy web en el entorno local:

  6. Seleccione la pestaña Connections y, a continuación, seleccione Configuración de LAN.

  7. En Configuración automática, active la casilla Detectar automáticamente la configuración y, a continuación, active la casilla Usar script de configuración automática .

  8. En Servidor proxy, active la casilla Usar un servidor proxy para la LAN , escriba la dirección del servidor proxy y el puerto que usa y, a continuación, seleccione Avanzadas.

  9. En Excepciones, agregue el punto de conexión de AD FS (como sts.contoso.com).

  10. Seleccione tres veces Aceptar.

Procedimiento B

Configure manualmente los valores de seguridad de la zona de seguridad en Internet Explorer. La configuración de seguridad predeterminada que hace que la zona de intranet local no solicite autenticación de Windows se puede configurar manualmente para cualquier zona de seguridad de Internet Explorer. Para personalizar la zona de seguridad de la que ya forma parte el nombre del servicio de AD FS, siga estos pasos:

Advertencia

Desaconsejamos esta configuración porque podría dar lugar a un envío no intencionado del tráfico de autenticación integrada de Windows a sitios web.

  1. Abra Internet Explorer.
  2. En el menú Herramientas , seleccione Opciones de Internet.
  3. Seleccione la pestaña Seguridad , seleccione la zona de seguridad en la que ya está contenido el nombre del servicio de AD FS y, a continuación, seleccione Nivel personalizado.
  4. En el cuadro de diálogo Configuración de seguridad , desplácese hasta la parte inferior para buscar la entrada Autenticación de usuario .
  5. En Inicio de sesión, seleccione Inicio de sesión automático con el nombre de usuario y la contraseña actuales.
  6. seleccione Aceptar dos veces.

Resolución 3: Uso de Internet Explorer o un explorador web de terceros

Use Internet Explorer o un explorador web de terceros que admita autenticación de Windows integrados.

Resolución 4: Comprobación de la conectividad con Active Directory

Cierre la sesión del equipo cliente y, a continuación, inicie sesión como usuario de Active Directory. Si el inicio de sesión se realiza correctamente, compruebe la conectividad con Active Directory mediante la herramienta de línea de comandos Nltest. Nltest.exe se incluye en herramientas de administración remota del servidor para Windows 10.

  1. En un símbolo del sistema, escriba el comando siguiente y, a continuación, presione Entrar: Nltest /dsgetdc:<FQDN Of Domain>. Si la configuración es correcta, recibirá una salida similar a la siguiente:

    DC: \DC.contoso.com Address:\ <IP Address> Dom Guid: <GUID> Dom Name: contoso.com Forest Name: contoso.com Dc Site Name: Default-First-Site-Name Our Site Name: Default-First-Site-Name Flags: PDC GC DS LDAP KDC TIMESERV GTIMESERV WRITABLE DNS_DC DNS_DOMAIN DNS_FOREST CLOSE_SITE El comando se completó correctamente

  2. Compruebe la pertenencia al sitio del equipo. Para ello, escriba el siguiente comando y presione Entrar: nltest /dsgetsite. Un resultado correcto es similar al siguiente:

    Default-First-Site-Name El comando se completó correctamente

Más información

El acceso a Office 365 recursos mediante una cuenta no federada o una cuenta federada desde una conexión a Internet pública puede no dar lugar a una experiencia de inicio de sesión único.

Tampoco se espera que la experiencia para iniciar sesión en conexiones de Microsoft Outlook sea una experiencia de inicio de sesión único.

Ponte en contacto con nosotros para obtener ayuda

Si tiene preguntas o necesita ayuda, cree una solicitud de soporte o busque consejo en la comunidad de Azure. También puede enviar comentarios sobre el producto con los comentarios de la comunidad de Azure.