Użytkownik federacyjny jest nieoczekiwanie monitowany o wprowadzenie poświadczeń konta

  • Artykuł

W tym artykule opisano scenariusz, w którym użytkownik federacyjny jest nieoczekiwanie monitowany o wprowadzenie poświadczeń konta służbowego podczas uzyskiwania dostępu do Office 365, platformy Azure lub Microsoft Intune.

Oryginalna wersja produktu: Tożsamość Microsoft Entra, Microsoft Intune, Azure Backup, Office 365 Identity Management
Oryginalny numer KB: 2535227

Symptomy

Gdy użytkownik federacyjny loguje się do Office 365, platformy Microsoft Azure lub Microsoft Intune, zostanie nieoczekiwanie wyświetlony monit o wprowadzenie poświadczeń konta służbowego. Po wprowadzeniu poświadczeń użytkownikowi zostanie przyznany dostęp do usługi w chmurze.

Uwaga

Nie wszystkie środowiska uwierzytelniania użytkowników federacyjnych są bez monitu o podanie poświadczeń. W niektórych scenariuszach jest to celowe i oczekiwane, że użytkownicy federacyjni będą monitować o wprowadzenie swoich poświadczeń. Przed kontynuowaniem upewnij się, że monit o podanie poświadczeń jest nieoczekiwany.

Przyczyna

Ten problem może wystąpić w przypadku klientów domeny wewnętrznej, jeśli spełniony jest co najmniej jeden z następujących warunków:

  • Klient wewnętrzny rozpoznaje punkt końcowy Active Directory Federation Services (AD FS) na adres IP usługi proxy usług AD FS zamiast do adresu IP usługi federacyjnej usług AD FS.
  • Ustawienia zabezpieczeń w programie Internet Explorer nie są skonfigurowane do logowania jednokrotnego w usługach AD FS.
  • Ustawienia serwera proxy w programie Internet Explorer nie są skonfigurowane do logowania jednokrotnego w usługach AD FS.
  • Przeglądarka internetowa nie obsługuje zintegrowanego uwierzytelniania systemu Windows.
  • Komputer kliencki nie może nawiązać połączenia z domeną lokalna usługa Active Directory.

Rozwiązanie 1. Upewnij się, że serwer DNS ma rekord hosta punktu końcowego usług AD FS

Upewnij się, że serwer DNS ma rekord hosta punktu końcowego usług AD FS, który jest odpowiedni dla komputera klienckiego, na którym występuje ten problem. W przypadku klientów wewnętrznych oznacza to, że wewnętrzny serwer DNS powinien rozpoznać nazwę punktu końcowego usług AD FS jako wewnętrzny adres IP. W przypadku klientów internetowych oznacza to, że nazwa punktu końcowego powinna być rozpoznawana jako publiczny adres IP. Aby przetestować to na kliencie, wykonaj następujące kroki:

  1. Wybierz pozycję Start, wybierz pozycję Uruchom, wpisz cmd, a następnie naciśnij klawisz Enter.

  2. W wierszu polecenia wpisz następujące polecenie, gdzie symbol zastępczy sts.contoso.com reprezentuje nazwę punktu końcowego usług AD FS:

    nslookup sts.contoso.com

  3. Jeśli dane wyjściowe polecenia zawierają nieprawidłowy adres IP, zaktualizuj rekord A na wewnętrznym lub zewnętrznym serwerze DNS. Aby uzyskać więcej informacji na ten temat, zobacz Przeglądarka internetowa nie może wyświetlić strony internetowej logowania usług AD FS dla użytkowników federacyjnych Przeglądarka internetowa nie może wyświetlić strony internetowej usług AD FS, gdy użytkownik federacyjny próbuje zalogować się do Office 365, platformy Azure lub Intune

Rozwiązanie 2. Sprawdzanie ustawień lokalnej strefy intranetu i serwera proxy w programie Internet Explorer

Użyj jednej z poniższych procedur, zgodnie z potrzebami twojej sytuacji.

Procedura A

Sprawdź ustawienia lokalnej strefy intranetowej i serwera proxy w programie Internet Explorer. Aby to zrobić, wykonaj następujące kroki.

  1. Uruchom program Internet Explorer.

  2. W menu Narzędzia kliknij polecenie Opcje internetowe.

  3. Wybierz kartę Zabezpieczenia , wybierz lokalną strefę intranetową , a następnie wybierz pozycję Witryny.

  4. W oknie dialogowym Lokalny intranet wybierz pozycję Zaawansowane. Na liście Witryny sieci Web upewnij się, że istnieje wpis (taki jak sts.contoso.com) dla w pełni kwalifikowanej nazwy DNS punktu końcowego usługi AD FS.

  5. Kliknij przycisk Tak, a następnie kliknij przycisk OK.

    Uwaga

    Wykonaj następujące dodatkowe kroki tylko wtedy, gdy administrator sieci skonfigurował internetowy serwer proxy w środowisku lokalnym:

  6. Wybierz kartę Connections, a następnie wybierz pozycję Ustawienia sieci LAN.

  7. W obszarze Konfiguracja automatyczna zaznacz pole wyboru Automatycznie wykrywaj ustawienia , a następnie zaznacz pole wyboru Użyj skryptu konfiguracji automatycznej .

  8. W obszarze Serwer proxy wybierz pole wyboru Użyj serwera proxy dla sieci LAN , wpisz adres serwera proxy i port, którego używa, a następnie wybierz pozycję Zaawansowane.

  9. W obszarze Wyjątki dodaj punkt końcowy usług AD FS (na przykład sts.contoso.com).

  10. Wybierz trzy razy przycisk OK.

Procedura B

Ręcznie skonfiguruj ustawienia zabezpieczeń dla strefy zabezpieczeń w programie Internet Explorer. Domyślne ustawienie zabezpieczeń, które powoduje, że lokalna strefa intranetowa nie monituje o uwierzytelnianie systemu Windows, można skonfigurować ręcznie dla dowolnej strefy zabezpieczeń w programie Internet Explorer. Aby dostosować strefę zabezpieczeń, której częścią jest już nazwa usługi AD FS, wykonaj następujące kroki:

Ostrzeżenie

Zdecydowanie odradzamy tę konfigurację, ponieważ może to spowodować niezamierzone przesłanie ruchu zintegrowanego uwierzytelniania systemu Windows do witryn internetowych.

  1. Uruchom program Internet Explorer.
  2. W menu Narzędzia wybierz pozycję Opcje internetowe.
  3. Wybierz kartę Zabezpieczenia , wybierz strefę zabezpieczeń, w której nazwa usługi AD FS jest już zawarta, a następnie wybierz pozycję Poziom niestandardowy.
  4. W oknie dialogowym Ustawienia zabezpieczeń przewiń w dół, aby zlokalizować wpis Uwierzytelnianie użytkownika .
  5. W obszarze Logowanie wybierz pozycję Automatyczne logowanie przy użyciu bieżącej nazwy użytkownika i hasła.
  6. dwukrotnie wybierz przycisk OK .

Rozwiązanie 3. Korzystanie z programu Internet Explorer lub przeglądarki internetowej innej firmy

Użyj programu Internet Explorer lub przeglądarki internetowej innej firmy, która obsługuje zintegrowane uwierzytelnianie systemu Windows.

Rozwiązanie 4. Weryfikowanie łączności z usługą Active Directory

Wyloguj się z komputera klienckiego, a następnie zaloguj się jako użytkownik usługi Active Directory. Jeśli logowanie zakończy się pomyślnie, sprawdź łączność z usługą Active Directory przy użyciu narzędzia wiersza polecenia Nltest. Nltest.exe znajduje się w narzędziach administracji zdalnej serwera dla Windows 10.

  1. W wierszu polecenia wpisz następujące polecenie, a następnie naciśnij klawisz Enter: Nltest /dsgetdc:<FQDN Of Domain>. Jeśli ustawienia są poprawne, otrzymasz dane wyjściowe podobne do następujących:

    DC: \DC.contoso.com Address:\ <Ip Address> Dom Guid: <GUID> Dom Name: contoso.com Nazwa lasu: contoso.com Nazwa lokacji kontrolera domeny: Default-First-Site-Name Nazwa naszej witryny: Default-First-Site-Name Flags: PDC GC DS LDAP KDC TIMESERV GTIMESERV WRITABLE DNS_DC DNS_DOMAIN DNS_FOREST CLOSE_SITE Polecenie zostało wykonane pomyślnie

  2. Sprawdź członkostwo w witrynie komputera. W tym celu wpisz następujące polecenie, a następnie naciśnij klawisz Enter: nltest /dsgetsite. Pomyślny wynik wygląda następująco:

    Default-First-Site-Name Polecenie zostało ukończone pomyślnie

Więcej informacji

Uzyskiwanie dostępu Office 365 zasobów przy użyciu konta niefederacyjnego lub konta federacyjnego z publicznego połączenia internetowego może nie spowodować logowania jednokrotnego.

Środowisko logowania się do połączeń programu Microsoft Outlook również nie powinno być środowiskiem logowania jednokrotnego.

Skontaktuj się z nami, aby uzyskać pomoc

Jeśli masz pytania lub potrzebujesz pomocy, utwórz wniosek o pomoc techniczną lub zadaj pytanie w społeczności wsparcia dla platformy Azure. Możesz również przesłać opinię o produkcie do społeczności opinii platformy Azure.