Przejdź do głównej zawartości
Pomoc techniczna
Zaloguj się
Zaloguj się przy użyciu konta Microsoft
Zaloguj się lub utwórz konto.
Witaj,
Wybierz inne konto.
Masz wiele kont
Wybierz konto, za pomocą którego chcesz się zalogować.

PROBLEM

Podczas próby uzyskania dostępu do usługi firmy Microsoft w chmurze, takiej jak Office 365, Microsoft Azure lub Microsoft Intune za pośrednictwem klienta opartego na sieci Web lub bogatej aplikacji klienckiej przy użyciu konta federacyjnego, uwierzytelnienie nie powiodło się na określonym komputerze klienckim. Podczas uzyskiwania dostępu do portalu usługi w chmurze za pomocą przeglądarki sieci Web z tego samego komputera przy użyciu konta federacyjnego może wystąpić jedna z następujących symptomów:

  • Po połączeniu się z punktem końcowym portalu jest wyświetlany następujący komunikat o błędzie:

    Program Internet Explorer nie może wyświetlić strony sieci Web.

    Nie znaleziono strony 403

  • Po połączeniu się z punktem końcowym usług federacyjnych Active Directory (AD FS) jest wyświetlany następujący komunikat o błędzie:

    Program Internet Explorer nie może wyświetlić strony sieci Web

    Nie znaleziono strony 403

  • Podczas nawiązywania połączenia z punktem końcowym usług AD FS jest wyświetlane ostrzeżenie o certyfikacie.

  • Podczas nawiązywania połączenia z punktem końcowym usług AD FS podczas logowania do domeny firmowej zostanie wyświetlony monit o podanie pojedynczego poświadczenia. Monit o poświadczenia nie korzysta z uwierzytelniania opartego na formularzach.

  • Po połączeniu się z punktem końcowym usług AD FS za pomocą przeglądarki sieci Web innej firmy są wyświetlane monity o uwierzytelnienie w pętli. Te monity nie korzystają z uwierzytelniania opartego na formularzach.

  • Podczas nawiązywania połączenia z punktem końcowym programu login.microsoftonline.com jest wyświetlany następujący komunikat o błędzie:

    Odmowa dostępu

PRZYCZYNA

Zazwyczaj ten problem występuje na komputerze klienckim lub w grupie urządzeń klienckich. Ten problem może wystąpić dla wszystkich użytkowników i komputerów klienckich, jeśli logowanie jednokrotne nie jest w pełni funkcjonalne. Logowanie jednokrotne może nie być w pełni funkcjonalne, jeśli ustawienia klienta nie zostały poprawnie skonfigurowane. Następujące sytuacje dotyczące urządzeń klienckich mogą powodować ten problem:

  • Łączność sieciowa może być ograniczona.

  • Urządzenie klienckie otrzymuje nieprawidłowe rozpoznawanie nazw dla usługi federacyjnej usług AD FS z implementacji wewnętrznego DNS Split-mózg.

  • Jeśli na komputerze jest skonfigurowany internetowy serwer proxy, nie można dodać nazwy usługi federacyjnej programu AD FS do listy pomijania proxy.

  • Nazwa usługi federacyjnej programu AD FS nie może zostać dodana do strefy zabezpieczeń Lokalny intranet w obszarze Ustawienia opcji internetowych.

  • Komputer kliencki nie jest uwierzytelniany w usługach domenowych Active Directory.

  • Przeglądarka sieci Web innej firmy nie obsługuje rozszerzonej ochrony na potrzeby uwierzytelniania w usłudze federacyjnych AD FS.

  • Punkt końcowy metadanych Federacji może być Anglojęzyczna w rejestrze ze względu na wcześniejszą instalację pakietu Office 365 Beta za pomocą narzędzia do zarządzania rejestracją SSO.

  • Wymagany punkt końcowy usługi AD FS wymagany dla konkretnej aplikacji klienckiej jest wyłączony.

Przed kontynuowaniem upewnij się, że są spełnione następujące warunki:

  • Problemy z dostępem nie są ograniczone do bogatych aplikacji klienckich na komputerze klienckim. Jeśli tylko rozszerzone uwierzytelnianie klientów (w przeciwieństwie do uwierzytelniania opartego na przeglądarce) nie działa, bardziej prawdopodobne jest to problem z uwierzytelnianiem klienta. Może to być na przykład problem związany z wymaganiami wstępnymi lub konfiguracją aplikacji rozbudowanego klienta. Aby uzyskać więcej informacji, zobacz następujący artykuł bazy wiedzy Microsoft Knowledge Base:

    2637629  Jak rozwiązywać problemy z aplikacjami nieobsługującymi przeglądarki, które nie mogą zalogować się do pakietu Office 365, Azure lub Intune

  • Uwierzytelnianie SSO nie kończy się niepowodzeniem dla wszystkich kont użytkowników z obsługą SSO. Jeśli wszystkie użytkownicy korzystający z rejestracji jednokrotnej będą miały te same objawy, prawdopodobieństwo problemu z federacyjnym. Aby uzyskać więcej informacji, kliknij następujący numer artykułu w celu wyświetlenia tego artykułu z bazy wiedzy Microsoft Knowledge Base:

    2530569  Rozwiązywanie problemów z konfiguracją logowania jednokrotnego w pakiecie Office 365, Intune lub Azure

  • Uwierzytelnianie SSO dla konta użytkownika powiodło się na innych komputerach klienckich. Jeśli konto użytkownika nie może zalogować się do żadnego klienta usług w chmurze, zapoznaj się z rozwiązaniami w dalszej części tego artykułu, które dotyczą komputera klienckiego. Zobacz też, że wystąpił problem z kontem użytkownika, a nie z komputerem klienckim. Aby uzyskać więcej informacji, kliknij następujący numer artykułu w celu wyświetlenia tego artykułu z bazy wiedzy Microsoft Knowledge Base:

    2530590  Rozwiązywanie problemów z kontami dla użytkowników federacyjnych w pakiecie Office 365, Azure lub Intune

  • Klawiatura na komputerze klienckim działa poprawnie, a nazwa użytkownika i hasło, gdzie jest to konieczne, zostały wprowadzone poprawnie.

ROZWIĄZANIE

Aby rozwiązać ten problem, użyj jednej lub kilku z poniższych metod w zależności od przyczyny problemu.

Rozwiązanie 1: nie można połączyć się z portalem usługi w chmurze lub programem AD FS 

Spróbuj przejść do http://www.msn.com. Jeśli to nie pomoże, Rozwiąż problemy z łącznością sieciową. W tym celu wykonaj następujące czynności:

  1. W wierszu polecenia Użyj narzędzi ipconfig i ping , aby rozwiązać problem z łącznością IP. Aby uzyskać więcej informacji, zobacz następujący artykuł bazy wiedzy Microsoft Knowledge Base:

    169790 Jak rozwiązywać podstawowe problemy z protokołem TCP/IP.

  2. W wierszu polecenia wpisz ciąg nslookup www.msn.com , aby sprawdzić, czy system DNS umożliwia rozpoznawanie nazw serwerów internetowych.

  3. Upewnij się, że ustawienia serwera proxy opcji internetowych są zgodne z odpowiednim serwerem proxy, jeśli w sieci lokalnej jest używany serwer proxy.

  4. Jeśli Zapora programu Forefront Threat Management Gateway (TMG) jest zainstalowana na granicy sieci, a Zapora wymaga uwierzytelnienia klienta, może być konieczne zainstalowanie programu Forefront TMG Client na urządzeniu klienckim dostęp do Internetu. Aby uzyskać pomoc, skontaktuj się z administratorem usługi w chmurze.

Rozwiązanie 2: nie można połączyć się z usługami AD FS

Aby rozwiązać ten problem, należy wykonać poniższe kroki:

  1. Usuń problemy z łącznością IP, korzystając z rozwiązania 1.

  2. W wierszu polecenia wpisz ciąg nslookup <>FQDN usługi AD fs 2,0 , a następnie naciśnij klawisz ENTER, aby ustalić, czy system DNS ma poprawnie rozpoznawać nazwę usługi AD FS.Uwaga W tym poleceniu <nazwy FQDN programu AD FS> reprezentuje w pełni kwalifikowaną nazwę domeny (FQDN) nazwy usługi AD FS. Nie odpowiada nazwie hosta systemu Windows serwera usług AD FS.

    1. Jeśli klient jest podłączony do sieci firmowej, upewnij się, że adres IP, który został rozpoznany, jest prywatnym adresem IP. Adres IP powinien być zgodny z jednym z następujących wzorców:

      • 10.x.x.ActiveX

      • 172.16.x.ActiveX

      • 192.168.x.ActiveX

    2. Jeśli klient znajduje się poza siecią firmową, upewnij się, że adres IP, który został rozpoznany, jest publicznym adresem IP. Upewnij się, że nie jest on zgodny z jednym z następujących wzorców:

      • 10.x.x.ActiveX

      • 172.16.x.ActiveX

      • 192.168.x.ActiveX

    3. Jeśli rozpoznany adres IP jest nieprawidłowy na podstawie kroku 1 i kroku 2, a inne komputery klienckie nie działają tak samo, wykonaj następujące czynności:

      1. W wierszu polecenia wpisz ciąg ipconfig/all, a następnie sprawdź, czy wpis podstawowy serwer DNS jest odpowiedni dla sieci, do której klient jest podłączony.

      2. Otwórz plik%windir%\system32\drivers\etc\hosts w Notatniku, a następnie usuń wszystkie wpisy w nazwie FQDN programu AD FS. Następnie Zapisz plik.

      3. W wierszu polecenia wpisz polecenie ipconfig/flushdns , aby wyczyścić pamięć podręczną DNS.

    Uwaga Jeśli urządzenia klienckie są dołączone tylko do sieci firmowej, przejdź do kroku 3.

  3. Dodaj nazwę FQDN programu AD FS do listy pomijania proxy. Aby to zrobić, wykonaj czynności opisane w następującym artykule z bazy wiedzy Microsoft Knowledge Base:

    262981 Program Internet Explorer używa serwera proxy dla lokalnego adresu IP, nawet jeśli opcja "Obejdź serwer proxy dla adresów lokalnych" jest włączona

Rozwiązanie 3: ostrzeżenie dotyczące certyfikatu podczas nawiązywania połączenia z punktem końcowym usług AD FS

Aby rozwiązać ten problem, Rozwiąż problemy z certyfikatem protokołu SSL (Secure Sockets Layer) za pomocą następującego artykułu z bazy wiedzy Microsoft Knowledge Base:

2523494 Podczas próby zalogowania się do usługi Office 365, Azure lub Intune jest wyświetlane ostrzeżenie o certyfikacie z usług AD FS

Rozwiązanie 4: podczas logowania z komputera klienckiego podłączonego do sieci firmowej jest wyświetlany jeden nieoczekiwany monit o poświadczenia.

Aby rozwiązać ten problem, należy wykonać poniższe kroki:

  1. Upewnij się, że komputer kliencki został pomyślnie zalogowany do domeny.

    1. Kliknij przycisk Start, kliknij polecenie Uruchom, wpisz %logonserver%\SYSVOL, a następnie kliknij przycisk OK.

    2. Jeśli zostanie wyświetlony monit o poświadczenia, Wyloguj się, a następnie zaloguj się ponownie, korzystając z poświadczeń firmowych.

  2. Dodaj nazwę FQDN programu AD FS do strefy Lokalny intranet.

    1. Na karcie zabezpieczenia kliknij pozycję Lokalny intranet, a następnie kliknij pozycję witryny.

    2. Kliknij pozycję Zaawansowane, a następnie zapoznaj się z listą witryn internetowych w celu uzyskania w pełni kwalifikowanej nazwy DNS punktu końcowego usługi AD FS (na przykład STS.contoso.com). Uwaga W tej konfiguracji będzie także działać wartość wieloznaczna, taka jak "*. consoto.com".

  3. Dodaj nazwę FQDN programu AD FS do listy pomijania proxy. Aby to zrobić, wykonaj czynności opisane w następującym artykule z bazy wiedzy Microsoft Knowledge Base:

    262981 Program Internet Explorer używa serwera proxy dla lokalnego adresu IP, nawet jeśli opcja "Obejdź serwer proxy dla adresów lokalnych" jest włączona

Rozwiązanie 5: przeglądarka sieci Web innych firm nie obsługuje rozszerzonej ochrony przed uwierzytelnieniem i jest wyświetlany monity o uwierzytelnienie w pętli

Aby rozwiązać ten problem, należy wykonać poniższe kroki:

  1. Korzystanie z programu Windows Internet Explorer (program Internet Explorer obsługuje rozszerzoną ochronę przed uwierzytelnieniem) zamiast przeglądarki sieci Web innej firmy, która nie obsługuje rozszerzonej ochrony uwierzytelniania.

  2. Jeśli w programie Internet Explorer nie jest dostępna opcja, w celu skonfigurowania usług AD FS w celu akceptowania żądań z przeglądarek sieci Web, które nie obsługują rozszerzonej ochrony uwierzytelniania, należy użyć następującego artykułu z bazy wiedzy Microsoft Knowledge Base:

    2461628 Użytkownik federacyjny jest wielokrotnie monitowany o poświadczenia podczas logowania się do usługi Office 365, Azure lub Intune

Komunikat o błędzie: "odmowa dostępu" podczas próby nawiązania połączenia z login.microsoftonline.com

Ważne W tej sekcji przedstawiono procedurę modyfikowania rejestru. Niepoprawne zmodyfikowanie rejestru może jednak być przyczyną poważnych problemów. Dlatego należy uważnie wykonywać podane czynności. Dla większego bezpieczeństwa przed zmodyfikowaniem rejestru należy wykonać jego kopię zapasową. Dzięki temu będzie można przywrócić rejestr w przypadku wystąpienia problemu. Aby uzyskać więcej informacji dotyczących wykonywania kopii zapasowej i przywracania rejestru, kliknij następujący numer artykułu w celu jego wyświetlenia z bazy wiedzy Microsoft Knowledge Base:

322756 Jak wykonać kopię zapasową rejestru i przywrócić go w systemie WindowsProblemy mogą wystąpić, jeśli punkt końcowy usługi Azure Active Directory, który jest wykorzystywany przez program AD FS, jest nieprawidłowy. Upewnij się, że punkt końcowy Federacji nie jest zakodowany w rejestrze każdego serwera w farmie usług federacyjnych AD FS. Aby rozwiązać ten problem, usuń następujący podklucz rejestru za pomocą edytora rejestru:

HKEY_LOCAL_MACHINE\Software\Microsoft\MOCHA\IdentityFederationProgram AD FS powróci do właściwego punktu końcowego na podstawie zaufania jednostki uzależnionej SSO.

Rozwiązanie 7: Resetowanie ustawienia wyłączonego punktu końcowego usługi AD FS na konfigurację domyślną

Aby uzyskać więcej informacji o tym, jak to zrobić, zobacz następujący artykuł z bazy wiedzy Microsoft Knowledge Base:

2712957 Logowanie się do pakietu Office 365, Azure lub Intune nie powiodło się po zmianie punktu końcowego usługi federacyjnej 

Nadal potrzebujesz pomocy? Przejdź do społeczności Microsoft lub witryny usługi Azure Active Directory forum .

Facebook LinkedIn Adres e-mail
ZASUBSKRYBUJ KANAŁY INFORMACYJNE RSS

Potrzebujesz dalszej pomocy?

Chcesz uzyskać więcej opcji?

Odkryj Społeczność

Poznaj korzyści z subskrypcji, przeglądaj kursy szkoleniowe, dowiedz się, jak zabezpieczyć urządzenie i nie tylko.

Korzyści z subskrypcji platformy Microsoft 365

Szkolenia dotyczące platformy Microsoft 365

Rozwiązania dotyczące zabezpieczeń firmy Microsoft

Centrum ułatwień dostępu

Społeczności pomagają zadawać i odpowiadać na pytania, przekazywać opinie i słuchać ekspertów z bogatą wiedzą.

Zapytaj społeczność firmy Microsoft

Społeczność techniczna firmy Microsoft

Niejawny program testów systemu Windows

Microsoft 365 Insiders

Czy te informacje były pomocne?

Jaka jest jakość języka?
Co wpłynęło na Twoje wrażenia?
Jeśli naciśniesz pozycję „Wyślij”, Twoja opinia zostanie użyta do ulepszania produktów i usług firmy Microsoft. Twój administrator IT będzie mógł gromadzić te dane. Oświadczenie o ochronie prywatności.

Dziękujemy za opinię!

×