Федеративный пользователь неожиданно предлагает ввести учетные данные учетной записи

  • Статья

В этой статье описывается сценарий, в котором федеративному пользователю неожиданно предлагается ввести свои учетные данные рабочей или учебной учетной записи при доступе к Office 365, Azure или Microsoft Intune.

Исходная версия продукта: Microsoft Entra ID, Microsoft Intune, Azure Backup, управление удостоверениями Office 365
Исходный номер базы знаний: 2535227

Симптомы

Когда федеративный пользователь входит в Office 365, Microsoft Azure или Microsoft Intune, пользователю неожиданно предлагается ввести учетные данные рабочей или учебной учетной записи. После ввода учетных данных пользователю предоставляется доступ к облачной службе.

Примечание.

Не все федеративные возможности проверки подлинности пользователей без запроса учетных данных. В некоторых сценариях предполагается, что федеративные пользователи получают запрос на ввод своих учетных данных. Прежде чем продолжить, убедитесь, что запрос учетных данных непредвиден.

Причина

Эта проблема может возникнуть для внутренних клиентов домена, если выполняется одно или несколько из следующих условий:

  • Внутренний клиент разрешает конечную точку службы федерации Active Directory (AD FS) (AD FS) с IP-адресом службы-посредника AD FS, а не с IP-адресом службы федерации AD FS.
  • Параметры безопасности в Internet Обозреватель не настроены для единого входа в AD FS.
  • Параметры прокси-сервера в Интернете Обозреватель не настроены для единого входа в AD FS.
  • Веб-браузер не поддерживает интегрированные проверка подлинности Windows.
  • Клиентский компьютер не может подключиться к домену локальная служба Active Directory.

Решение 1. Убедитесь, что DNS-сервер имеет запись узла для конечной точки AD FS

Убедитесь, что НА DNS-сервере есть запись узла для конечной точки AD FS, соответствующая клиентскому компьютеру, на котором возникла эта проблема. Для внутренних клиентов это означает, что внутренний DNS-сервер должен разрешать имя конечной точки AD FS во внутренний IP-адрес. Для интернет-клиентов это означает, что имя конечной точки должно разрешаться в общедоступный IP-адрес. Чтобы проверить это на клиенте, выполните следующие действия.

  1. Нажмите кнопку Пуск, выберите Выполнить, введите cmd и нажмите клавишу ВВОД.

  2. В командной строке введите следующую команду, где заполнитель sts.contoso.com представляет имя конечной точки AD FS:

    nslookup sts.contoso.com

  3. Если в выходных данных команды отображается неправильный IP-адрес, обновите запись A на внутреннем или внешнем DNS-сервере. Дополнительные сведения о том, как это сделать, см. в статье Интернет-браузер не может отображать веб-страницу входа AD FS для федеративных пользователей. Веб-браузер не может отобразить веб-страницу AD FS, когда федеративный пользователь пытается войти в Office 365, Azure или Intune

Решение 2. Проверьте параметры зоны локальной интрасети и прокси-сервера в Интернете Обозреватель

Используйте одну из следующих процедур в соответствии с вашей ситуацией.

Процедура A

Проверьте параметры зоны локальной интрасети и прокси-сервера в Обозреватель Интернета. Для этого выполните следующие действия:

  1. Запустите Internet Explorer.

  2. В меню Сервис выберите Свойства браузера.

  3. Перейдите на вкладку Безопасность , выберите зону Локальная интрасеть , а затем выберите Сайты.

  4. В диалоговом окне Локальная интрасеть выберите Дополнительно. В списке Веб-сайты убедитесь, что существует запись (например sts.contoso.com, ) для полного DNS-имени конечной точки службы AD FS.

  5. Выберите Закрыть, а затем — ОК.

    Примечание.

    Выполните следующие дополнительные действия, только если администратор сети настроит сервер веб-прокси в локальной среде:

  6. Перейдите на вкладку Connections, а затем выберите Параметры локальной сети.

  7. В разделе Автоматическая настройка снимите флажок Автоматически определять параметры проверка, а затем снимите флажок Использовать скрипт автоматической настройки проверка.

  8. В разделе Прокси-сервер установите флажок Использовать прокси-сервер для проверка локальной сети, введите адрес прокси-сервера и используемый порт, а затем нажмите кнопку Дополнительно.

  9. В разделе Исключения добавьте конечную точку AD FS (например sts.contoso.com, ).

  10. Три раза нажмите кнопку ОК.

Процедура B

Вручную настройте параметры безопасности для зоны безопасности в Обозреватель Интернета. Параметр безопасности по умолчанию, который приводит к тому, что локальная зона интрасети не запрашивает проверка подлинности Windows, можно настроить вручную для любой зоны безопасности в Обозреватель Интернета. Чтобы настроить зону безопасности, частью которой уже является имя службы AD FS, выполните следующие действия.

Предупреждение

Мы настоятельно не рекомендуем использовать эту конфигурацию, так как она может привести к непреднамереемой отправке трафика встроенной проверки подлинности Windows на веб-сайты.

  1. Запустите Internet Explorer.
  2. В меню Сервис выберите пункт Свойства браузера.
  3. Перейдите на вкладку Безопасность , выберите зону безопасности, в которой уже содержится имя службы AD FS, а затем выберите Настраиваемый уровень.
  4. В диалоговом окне Параметры безопасности прокрутите вниз, чтобы найти запись Проверка подлинности пользователя .
  5. В разделе Вход выберите Автоматический вход с текущим именем пользователя и паролем.
  6. Нажмите кнопку ОК два раза.

Решение 3. Использование интернет-Обозреватель или стороннего веб-браузера

Используйте интернет-Обозреватель или сторонний веб-браузер, поддерживающий интегрированные проверка подлинности Windows.

Решение 4. Проверка подключения к Active Directory

Выйдите из клиентского компьютера, а затем войдите в систему от имени пользователя Active Directory. Если вход выполнен успешно, проверьте подключение к Active Directory с помощью средства командной строки Nltest. Nltest.exe входит в состав средств удаленного администрирования сервера для Windows 10.

  1. В командной строке введите следующую команду и нажмите клавишу ВВОД: Nltest /dsgetdc:<FQDN Of Domain>. Если параметры заданы правильно, вы получите следующие выходные данные:

    DC: \DC.contoso.com Address:\ <IP> Address Dom Guid: <GUID> Dom Name: contoso.com имя леса: contoso.com dc Имя сайта: Default-first-Site-Name Наше имя сайта: Default-First-Site-Name Flags: PDC GC DS LDAP KDC TIMESERV GTIMESERV WRITABLE DNS_DC DNS_DOMAIN DNS_FOREST CLOSE_SITE команда успешно выполнена

  2. Проверьте членство компьютера на сайте. Для этого введите следующую команду и нажмите клавишу ВВОД: nltest /dsgetsite. Успешный результат выглядит следующим образом:

    Default-First-Site-Name Команда успешно завершена

Дополнительная информация

Доступ к ресурсам Office 365 с помощью нефедерной учетной записи или федеративной учетной записи из общедоступного подключения к Интернету может не привести к единому входу.

Вход в подключения Microsoft Outlook также не должен быть единым входом.

Свяжитесь с нами для получения помощи

Если у вас есть вопросы или вам нужна помощь, создайте запрос в службу поддержки или обратитесь за поддержкой сообщества Azure. Вы также можете отправить отзыв о продукте в сообщество отзывов Azure.