Een federatieve gebruiker wordt onverwacht gevraagd om de referenties van zijn werk- of schoolaccount in te voeren

Van toepassing: Azure Active DirectoryMicrosoft IntuneAzure Backup

PROBLEEM


Wanneer een federatieve gebruiker zich aanmeldt voor een Microsoft cloud service zoals Office 365, Azure Microsoft of Microsoft Intune, wordt de gebruiker onverwacht gevraagd om zijn of haar werk of school accountreferenties. Nadat de gebruiker zijn of haar referenties invoert, kan de gebruiker toegang tot de cloud-service wordt verleend. Opmerking Niet alle federatieve gebruiker verificatie ervaringen zijn zonder referenties gevraagd. In bepaalde scenario's, het is inherent aan het ontwerp en verwacht dat de federatieve gebruikers wordt gevraagd hun referenties invoeren. Zorg ervoor dat de referentie-prompt is onverwacht voordat u doorgaat.

OORZAAK


Dit probleem doet zich voor het interne domeinclients als één of meer van de volgende voorwaarden wordt voldaan:
  • Het eindpunt van de Active Directory Federation Services (AD FS) oplossing voor een interne client het IP-adres van de AD FS proxy-service in plaats van het IP-adres van de AD FS-federation-service.
  • De beveiligingsinstellingen in Internet Explorer zijn niet geconfigureerd voor eenmalige aanmelding voor AD FS.
  • De proxy-instellingen in Internet Explorer zijn niet geconfigureerd voor eenmalige aanmelding voor AD FS.
  • De verificatie-instellingen voor Internet Information Services (IIS) op de AD FS-server zijn onjuist geconfigureerd.
  • De webbrowser biedt geen ondersteuning voor geïntegreerde Windows-verificatie.
  • De clientcomputer geen verbinding maken met de Active Directory-domein op gebouwen.

OPLOSSING


Gebruik om dit probleem op te lossen een of meer van de volgende methoden, afhankelijk van uw situatie.

Methode 1: Controleer of de DNS-server heeft een hostrecord voor de AD FS-eindpunt

Zorg ervoor dat de DNS-server een hostrecord voor het eindpunt van AD FS die geschikt is voor de clientcomputer waarop dit probleem zich voordoet. Dit betekent dat de interne DNS-server de naam van het AD FS om een intern IP-adres oplossen moet voor interne clients. Dit betekent dat de naam van het in een openbaar IP-adres omzetten moet voor de Internet-clients. U kunt dit testen op de client, als volgt te werk:
  1. Klik op Start, klik op uitvoeren, typ cmden druk op Enter.
  2. Typ bij de opdrachtprompt de volgende opdracht, waarbij de tijdelijke aanduiding sts.contoso.com de naam van het AD FS vertegenwoordigt:
    nslookup  sts.contoso.com 
  3. Als u de uitvoer van de opdracht ziet een onjuist IP-adres, de A-record op de interne of externe DNS-server bijwerken Raadpleeg het volgende artikel in de Microsoft Knowledge Base voor meer informatie over hoe u dit doet:
    2419389 Internet-browser de webpagina AD FS kan niet weergegeven wanneer u probeert een federatieve gebruiker aanmelden bij Office 365, Azure of Intune

Methode 2: Controleer de lokaal intranet-zone en proxy server-instellingen in Internet Explorer

Gebruik een van de volgende procedures, afhankelijk van uw situatie.

Procedure A

Controleer de lokale intranet-zone en de proxy serverinstellingen in Internet Explorer. Ga hiervoor als volgt te werk:
  1. Start Internet Explorer.
  2. Open het menu Extra en klik op Internet-opties.
  3. Klik op het tabblad beveiliging , klik op de zone Lokaal intranet en klik vervolgens op websites.
  4. Klik op Geavanceerdin het dialoogvenster Lokaal intranet . Zorg ervoor dat een post (zoals sts.contoso.com) voor de FQDN-naam van het AD FS-service-eindpunt bestaat in de lijst Websites .
  5. Klik op sluitenen klik vervolgens op OK. Opmerking De volgende extra stappen alleen gebruiken als de netwerkbeheerder een web proxy-server geconfigureerd in de omgeving van gebouwen:
  6. Klik op het tabblad verbindingen en klik vervolgens op LAN-instellingen.
  7. Schakel het selectievakje Instellingen automatisch detecteren in en schakel het selectievakje automatisch configuratiescript gebruiken onder Automatische configuratie.
  8. Schakel onder proxyserverhet selectievakje een proxyserver voor het LAN-netwerk , typt u het adres van de proxyserver en de poort die wordt gebruikt en klik vervolgens op Geavanceerd.
  9. Voeg onder uitzonderingen, uw AD FS-eindpunt (zoals sts.contoso.com).
  10. Klik driemaal op OK .

Procedure B

Handmatig configureren van de beveiligingsinstellingen voor de beveiligingszone in Internet Explorer. De standaard-beveiligingsinstellingen die ervoor zorgt dat de zone Lokaal intranet niet te vragen voor Windows-verificatie kan handmatig worden geconfigureerd voor elke zone in Internet Explorer. Als u wilt aanpassen in de beveiligingszone waarin de naam van het AD FS al deel uitmaakt, als volgt:Waarschuwing We ten zeerste deze configuratie ontmoedigen omdat dit leiden de onbedoelde indiening van verkeer op geïntegreerde Windows-verificatie tot kan websites.
  1. Start Internet Explorer.
  2. Klik in het menu Extra op Internet-opties.
  3. Klik op het tabblad beveiliging , selecteer de zone waarin de naam van het AD FS is opgenomen en klik op Aangepast niveau.
  4. Ga naar de onderkant te zoek de vermelding voor de Verificatie van de gebruiker in het dialoogvenster Beveiligingsinstellingen .
  5. Klik op automatisch aanmelden met huidige gebruikersnaam en wachtwoordbij aanmelden.
  6. Klik tweemaal op OK.

Methode 3: De IIS-verificatie-instellingen voor de federation-service van AD FS- en proxy-service controleren

Controleer of de IIS-verificatie-instellingen voor de AD FS-federatie en proxy-services op de juiste manier zijn geconfigureerd. Zie voor meer informatie het volgende artikel in de Microsoft Knowledge Base:
2461628 een federatieve gebruiker wordt herhaaldelijk gevraagd om referenties tijdens aanmelden bij Office 365, Azure of Intune

Methode 4: Gebruik Internet Explorer of een webbrowser van derden

Gebruik Internet Explorer of een derde partij web-browser die geïntegreerde Windows-verificatie ondersteunt.

Methode 5: Controleer of de verbinding met Active Directory

Meld u af bij de clientcomputer en meld u aan als een Active Directory-gebruiker. Als aanmelding geslaagd is, controleert u of de verbinding met Active Directory met behulp van het opdrachtregelprogramma Nltest. Als u het hulpprogramma Nltest gebruiken, moet u Windows Server 2003 ondersteuningsprogramma's op de computer geïnstalleerd hebben.
  1. Typ de volgende opdracht bij de opdrachtprompt en druk op Enter:
    Nltest/dsgetdc: <FQDN-naam van het domein>
    Als de instellingen correct zijn, wordt weergegeven met de volgende strekking weergegeven:
    DC: \\DC.contoso.com Address: \\192.168.1.10 Dom Guid: a3bd534c-19e9-4880-81ad-a8ee34cd4526 Dom Name: contoso.com Forest Name: contoso.com Dc Site Name: Default-First-Site-Name Our Site Name: Default-First-Site-Name Flags: PDC GC DS LDAP KDC TIMESERV GTIMESERV WRITABLE DNS_DC DNS_DOMAIN DNS_FOREST CLOSE_SITE The command completed successfully 
  2. Lidmaatschap van de site van de computer controleren. Hiertoe typt u de volgende opdracht en druk vervolgens op Enter:
    nltest dsgetsite
    Een succesvol resultaat de volgende strekking weergegeven:
    Default-First-Site-Name The command completed successfully 

MEER INFORMATIE


Toegang tot Office 365-bronnen met behulp van een niet-federatieve-account of een federatieve account van openbare Internet-verbinding niet kan leiden tot een ervaring voor eenmalige aanmelding. De ervaring voor aanmelding bij Microsoft Outlook-verbindingen ook niet naar verwachting een ervaring voor eenmalige aanmelding.
Nog steeds hulp nodig? Ga naar de Microsoft Community of website Azure Active Directory Forums .