Een federatieve gebruiker wordt onverwacht gevraagd om de referenties van hun werk-of schoolaccount in te voeren

Van toepassing: Azure Active DirectoryMicrosoft IntuneAzure Backup

PROBLEEM


Wanneer een federatieve gebruiker zich aanmeldt voor toegang tot een Microsoft-Cloud service zoals Office 365, Microsoft Azure of Microsoft intune, wordt de gebruiker onverwacht gevraagd om de referenties van zijn of haar werk-of schoolaccount in te voeren. Nadat de gebruiker zijn of haar referenties heeft ingevoerd, krijgt de gebruiker toegang tot de Cloud service. Opmerking Niet alle federatieve gebruikersverificatie-ervaringen zijn zonder een referentie-prompt. In bepaalde scenario's is het ontwerp en verwacht dat federatieve gebruikers wordt gevraagd hun referenties in te voeren. Zorg ervoor dat de referentie-prompt onverwacht is voordat u doorgaat.

OORZAAK


Dit probleem kan optreden voor interne domeinclients als een of meer van de volgende voorwaarden voldaan wordt:
  • Een interne client lost de Active Directory Federation Services (AD FS)-eindpunt naar het IP-adres van de AD FS-proxy-service in plaats van naar het IP-adres van de AD FS Federation-service.
  • De beveiligingsinstellingen in Internet Explorer zijn niet geconfigureerd voor eenmalige aanmelding bij AD FS.
  • De proxyserverinstellingen in Internet Explorer zijn niet geconfigureerd voor eenmalige aanmelding bij AD FS.
  • De Internet Information Services (IIS)-verificatie-instellingen op de AD FS-server zijn onjuist geconfigureerd.
  • De webbrowser biedt geen ondersteuning voor geïntegreerde Windows-verificatie.
  • De clientcomputer kan geen verbinding maken met het on-premises Active Directory-domein.

OPLOSSING


U dit probleem oplossen door een of meer van de volgende methoden te gebruiken, afhankelijk van uw situatie.

Methode 1: Zorg ervoor dat de DNS-server een hostrecord voor het AD FS-eindpunt heeft

Zorg ervoor dat de DNS-server een hostrecord heeft voor het AD FS-eindpunt dat geschikt is voor de clientcomputer waarop dit probleem zich voordoet. Voor interne clients betekent dit dat de interne DNS-server de naam van het AD FS-endpoint moet omzetten in een intern IP-adres. Voor internetclients betekent dit dat de eindpunt naam moet worden herleid tot een openbaar IP-adres. Voer de volgende stappen uit om dit op de client te testen:
  1. Klik op Start, klik op uitvoeren, typ cmden druk op ENTER.
  2. Typ de volgende opdracht bij de opdrachtprompt, waarbij de tijdelijke aanduiding STS.contoso.com de naam van het AD FS-eindpunt vertegenwoordigt:
    nslookup  sts.contoso.com 
  3. Als de uitvoer van de opdracht een onjuist IP-adres weergeeft, werkt u de A-record op de interne of externe DNS-server bij. Raadpleeg het volgende artikel in de Microsoft Knowledge Base voor meer informatie over hoe u dit doet:
    2419389 Internet browser kan de AD FS-webpagina niet weergeven wanneer een federatieve gebruiker zich probeert aan te melden bij Office 365, Azure of intune

Methode 2: Controleer de zone Lokaal intranet en proxyserverinstellingen in Internet Explorer

Gebruik een van de volgende procedures, afhankelijk van uw situatie.

Procedure A

Controleer de zone Lokaal intranet en proxyserverinstellingen in Internet Explorer. Hiertoe gaat u als volgt te werk:
  1. Start Internet Explorer.
  2. Open het menu Extra en klik op Internet-opties.
  3. Klik op het tabblad beveiliging , klik op de zone Lokaal intranet en klik vervolgens op sites.
  4. Klik in het dialoogvenster Lokaal intranet op Geavanceerd. In de lijst met websites , zorg ervoor dat een vermelding (zoals STS.contoso.com) bestaat voor de volledig gekwalificeerde DNS-naam van de AD FS-service-eindpunt.
  5. Klik op sluitenen klik vervolgens op OK. Opmerking Gebruik de volgende aanvullende stappen alleen als een netwerkbeheerder een webproxyserver heeft geconfigureerd in de on-premises omgeving:
  6. Klik op het tabblad verbindingen en klik vervolgens op LAN-instellingen.
  7. Onder automatische configuratie, schakelt u het selectievakje instellingen automatisch detecteren en schakel het selectievakje automatische configuratiescript gebruiken .
  8. Schakel onder proxy serverhet selectievakje een proxyserver gebruiken voor uw LAN in, typ het adres van de proxyserver en de poort die wordt gebruikt en klik op Geavanceerd.
  9. Onder uitzonderingen, voeg uw AD FS-eindpunt (zoals STS.contoso.com).
  10. Klik driemaal op OK .

Procedure B

Configureer de beveiligingsinstellingen voor de beveiligingszone handmatig in Internet Explorer. De standaardbeveiligingsinstelling die ervoor zorgt dat de zone Lokaal intranet niet wordt gevraagd voor Windows-verificatie, kan handmatig worden geconfigureerd voor elke beveiligingszone in Internet Explorer. Als u wilt aanpassen van de beveiligingszone waarvan de naam van de AD FS-service al een onderdeel is, als volgt te werk:waarschuwing we raden deze configuratie ten zeerste af omdat dit kan resulteren in het onbedoeld verzenden van geïntegreerd Windows-verificatieverkeer naar Websites.
  1. Start Internet Explorer.
  2. Klik in het menu extra op Internet-opties.
  3. Klik op het tabblad beveiliging , selecteer de beveiligingszone waarin de naam van de AD FS-service al is opgenomen en klik vervolgens op aangepast niveau.
  4. Scrol in het dialoogvenster Beveiligingsinstellingen naar beneden om de gebruikersverificatie vermelding te zoeken.
  5. Klik onder Aanmeldenop automatisch aanmelden met de huidige gebruikersnaam en het wachtwoord.
  6. Klik tweemaal op OK.

Methode 3: Controleer de IIS-verificatie-instellingen voor de AD FS-Federation-service en de proxy-service

Controleer of de IIS-verificatie-instellingen voor de AD FS-Federation en proxy-services correct zijn geconfigureerd. Raadpleeg het volgende artikel in de Microsoft Knowledge Base voor meer informatie:
2461628 een federatieve gebruiker wordt herhaaldelijk gevraagd om referenties tijdens het aanmelden bij Office 365, Azure of intune

Methode 4: gebruik Internet Explorer of een webbrowser van derden

Gebruik Internet Explorer of een webbrowser van derden die geïntegreerde Windows-verificatie ondersteunt.

Methode 5: de verbinding met Active Directory controleren

Meld u af bij de clientcomputer en meld u vervolgens aan als Active Directory-gebruiker. Als de aanmelding geslaagd is, controleert u de verbinding met Active Directory met behulp van het opdrachtregelprogramma Nltest. Als u het hulpprogramma NLTEST wilt gebruiken, moet Windows Server 2003-Ondersteuningsprogramma's op de computer zijn geïnstalleerd.
  1. Typ de volgende opdracht bij de opdrachtprompt en druk op Enter:
    NLTEST/dsgetdc: <FQDN-naam van domein>
    Als de instellingen juist zijn, ontvangt u uitvoer met de volgende strekking weergegeven:
    DC: \\DC.contoso.com Address: \\192.168.1.10 Dom Guid: a3bd534c-19e9-4880-81ad-a8ee34cd4526 Dom Name: contoso.com Forest Name: contoso.com Dc Site Name: Default-First-Site-Name Our Site Name: Default-First-Site-Name Flags: PDC GC DS LDAP KDC TIMESERV GTIMESERV WRITABLE DNS_DC DNS_DOMAIN DNS_FOREST CLOSE_SITE The command completed successfully 
  2. Controleer het lidmaatschap van de site van de computer. Hiertoe typt u de volgende opdracht en drukt u op ENTER:
    nltest/dsgetsite
    Een geslaagd resultaat lijkt op het volgende:
    Default-First-Site-Name The command completed successfully 

MEER INFORMATIE


Toegang tot Office 365-resources met behulp van een niet-federatieve account of een federatieve account van een openbare Internet-verbinding kan niet resulteren in een ervaring voor eenmalige aanmelding. De ervaring voor het aanmelden bij Microsoft Outlook-verbindingen wordt ook niet verwacht dat een ervaring met eenmalige aanmelding.
Nog steeds hulp nodig? Ga naar Microsoft Community of de website van de Azure Active Directory-forums .