Federatieve gebruiker wordt onverwacht gevraagd om accountreferenties in te voeren

  • Artikel

In dit artikel wordt een scenario beschreven waarin een federatieve gebruiker onverwacht wordt gevraagd om de referenties van het werk- of schoolaccount in te voeren bij het openen van Office 365, Azure of Microsoft Intune.

Oorspronkelijke productversie: Microsoft Entra ID, Microsoft Intune, Azure Backup, Office 365 Identity Management
Origineel KB-nummer: 2535227

Symptomen

Wanneer een federatieve gebruiker zich aanmeldt bij Office 365, Microsoft Azure of Microsoft Intune, wordt de gebruiker onverwacht gevraagd de referenties van het werk- of schoolaccount in te voeren. Nadat de gebruiker de referenties heeft ingevoerd, krijgt de gebruiker toegang tot de cloudservice.

Opmerking

Niet alle federatieve gebruikersverificatie-ervaringen zijn zonder referentieprompt. In bepaalde scenario's is het standaard en wordt verwacht dat federatieve gebruikers worden gevraagd hun referenties in te voeren. Zorg ervoor dat de referentieprompt onverwacht is voordat u doorgaat.

Oorzaak

Dit probleem kan optreden voor interne domeinclients als aan een of meer van de volgende voorwaarden wordt voldaan:

  • Een interne client zet het Active Directory Federation Services -eindpunt (AD FS) om naar het IP-adres van de AD FS-proxyservice in plaats van naar het IP-adres van de AD FS-federatieservice.
  • De beveiligingsinstellingen in Internet Explorer zijn niet geconfigureerd voor eenmalige aanmelding bij AD FS.
  • De proxyserverinstellingen in Internet Explorer zijn niet geconfigureerd voor eenmalige aanmelding bij AD FS.
  • De webbrowser biedt geen ondersteuning voor geïntegreerde Windows-verificatie.
  • De clientcomputer kan geen verbinding maken met het on-premises Active Directory domein.

Oplossing 1: Zorg ervoor dat de DNS-server een hostrecord heeft voor het AD FS-eindpunt

Zorg ervoor dat de DNS-server een hostrecord heeft voor het AD FS-eindpunt dat geschikt is voor de clientcomputer die dit probleem ondervindt. Voor interne clients betekent dit dat de interne DNS-server de naam van het AD FS-eindpunt moet omzetten in een intern IP-adres. Voor internetclients betekent dit dat de eindpuntnaam moet worden omgezet in een openbaar IP-adres. Voer de volgende stappen uit om dit op de client te testen:

  1. Selecteer Start, selecteer Uitvoeren, typ cmd en druk op Enter.

  2. Typ bij de opdrachtprompt de volgende opdracht, waarbij de tijdelijke aanduiding sts.contoso.com de naam van het AD FS-eindpunt vertegenwoordigt:

    nslookup sts.contoso.com

  3. Als in de uitvoer van de opdracht een onjuist IP-adres wordt weergegeven, werkt u de A-record op de interne of externe DNS-server bij. Zie Internet browser can't display the AD FS sign-in webpagina for federated users Internet browser can't display the AD FS webpagina when a federated user to sign in Office 365, Azure, or Intune

Oplossing 2: De lokale intranetzone en proxyserverinstellingen controleren in Internet Explorer

Gebruik een van de volgende procedures, afhankelijk van uw situatie.

Procedure A

Controleer de lokale intranetzone en proxyserverinstellingen in Internet Explorer. Ga hiervoor als volgt te werk:

  1. Start Internet Explorer.

  2. Open het menu Extra en klik op Internetopties.

  3. Selecteer het tabblad Beveiliging , selecteer de zone Lokaal intranet en selecteer vervolgens Sites.

  4. Selecteer in het dialoogvenster Lokaal intranet de optie Geavanceerd. Controleer in de lijst Websites of er een vermelding (zoals sts.contoso.com) bestaat voor de volledig gekwalificeerde DNS-naam van het AD FS-service-eindpunt.

  5. Selecteer Sluiten en klik vervolgens op OK.

    Opmerking

    Gebruik de volgende aanvullende stappen alleen als een netwerkbeheerder een webproxyserver in de on-premises omgeving heeft geconfigureerd:

  6. Selecteer het tabblad Connections en selecteer vervolgens LAN-instellingen.

  7. Schakel onder Automatische configuratie het selectievakje Instellingen automatisch detecteren uit en schakel vervolgens het selectievakje Automatische configuratiescript gebruiken in.

  8. Schakel onder Proxyserver het selectievakje Een proxyserver gebruiken voor uw LAN in, typ het adres van de proxyserver en de poort die wordt gebruikt en selecteer vervolgens Geavanceerd.

  9. Voeg onder Uitzonderingen uw AD FS-eindpunt toe (zoals sts.contoso.com).

  10. Selecteer drie keer OK.

Procedure B

Configureer de beveiligingsinstellingen voor de beveiligingszone handmatig in Internet Explorer. De standaardbeveiligingsinstelling die ervoor zorgt dat de lokale intranetzone niet om Windows-verificatie vraagt, kan handmatig worden geconfigureerd voor elke beveiligingszone in Internet Explorer. Voer de volgende stappen uit om de beveiligingszone aan te passen waarvan de AD FS-servicenaam al deel uitmaakt:

Waarschuwing

We raden deze configuratie ten zeerste af, omdat deze kan leiden tot het onbedoeld verzenden van verkeer van geïntegreerde Windows-verificatie naar websites.

  1. Start Internet Explorer.
  2. Selecteer Internetopties in het menu Extra.
  3. Selecteer het tabblad Beveiliging , selecteer de beveiligingszone waarin de naam van de AD FS-service al is opgenomen en selecteer vervolgens Aangepast niveau.
  4. Schuif in het dialoogvenster Beveiligingsinstellingen naar beneden om de vermelding Gebruikersverificatie te vinden.
  5. Selecteer onder Aanmelden de optie Automatische aanmelding met de huidige gebruikersnaam en het huidige wachtwoord.
  6. selecteer OK twee keer.

Oplossing 3: Internet Explorer of een webbrowser van derden gebruiken

Gebruik Internet Explorer of een webbrowser van derden die geïntegreerde Windows-verificatie ondersteunt.

Oplossing 4: De verbinding met Active Directory controleren

Meld u af bij de clientcomputer en meld u vervolgens aan als Een Active Directory-gebruiker. Als het aanmelden is gelukt, controleert u de verbinding met Active Directory met behulp van het opdrachtregelprogramma Nltest. Nltest.exe is opgenomen in de Beheerhulpprogramma's voor externe servers voor Windows 10.

  1. Typ bij een opdrachtprompt de volgende opdracht en druk op Enter: Nltest /dsgetdc:<FQDN Of Domain>. Als de instellingen juist zijn, ontvangt u uitvoer die er ongeveer als volgt uitziet:

    DC: \DC.contoso.com Address:\ <IP Address> Dom Guid: <GUID> Dom Name: contoso.com Forest Name: contoso.com Dc Site Name: Default-First-Site-Name Onze sitenaam: Default-First-Site-Name Flags: PDC GC DS LDAP KDC TIMESERV GTIMESERV WRITABLE DNS_DC DNS_DOMAIN DNS_FOREST CLOSE_SITE De opdracht is voltooid met succes

  2. Controleer het sitelidmaatschap van de computer. Hiervoor typt u de volgende opdracht en drukt u op Enter: nltest /dsgetsite. Een geslaagd resultaat ziet er ongeveer als volgt uit:

    Default-First-Site-Name De opdracht is voltooid

Meer informatie

Toegang tot Office 365-resources met behulp van een niet-federatief account of een federatief account vanuit een openbare internetverbinding, leidt mogelijk niet tot eenmalige aanmelding.

De ervaring voor het aanmelden bij Microsoft Outlook-verbindingen is ook geen ervaring met eenmalige aanmelding.

Contacteer ons voor hulp

Als u vragen hebt of hulp nodig hebt, maak een ondersteuningsaanvraag of vraag de Azure-communityondersteuning. U kunt ook productfeedback verzenden naar de Feedback-community van Azure.