É pedido repetidamente a um utilizador federado credenciais durante o início de sessão no Microsoft 365, no Azure ou no Intune

  • Artigo
  • Aplica-se a:
    Cloud Services (Web roles/Worker roles), Azure Active Directory, Microsoft 365, Microsoft Intune, CRM Online via Office 365 E Plans, Azure Backup

Importante

Este artigo contém informações que lhe mostram como ajudar a reduzir as definições de segurança ou como desativar as funcionalidades de segurança num computador. Pode efetuar estas alterações para contornar um problema específico. Antes de efetuar estas alterações, recomendamos que avalie os riscos associados à implementação desta solução no seu ambiente específico. Se implementar esta solução, siga os passos adicionais adequados para ajudar a proteger o computador.

Problema

É pedido repetidamente a um utilizador federado credenciais quando o utilizador tenta autenticar-se no ponto final de serviço do Serviços de Federação do Active Directory (AD FS) (AD FS) durante o início de sessão num serviço cloud da Microsoft, como o Microsoft 365, o Microsoft Azure ou Microsoft Intune. Quando o utilizador cancela, o utilizador recebe a mensagem de erro Acesso Negado .

Causa

O sintoma indica um problema com a autenticação integrada do Windows com o AD FS. Este problema pode ocorrer se uma ou mais das seguintes condições forem verdadeiras:

  • Foi utilizado um nome de utilizador ou palavra-passe incorreto.

  • As definições de autenticação dos Serviços de Informação Internet (IIS) estão configuradas incorretamente no AD FS.

  • O nome do principal de serviço (SPN) associado à conta de serviço utilizada para executar o farm de servidores de federação do AD FS é perdido ou danificado.

    Nota

    Isto só ocorre quando o AD FS é implementado como um farm de servidores de federação e não é implementado numa configuração autónoma.

  • Uma ou mais das seguintes opções são identificadas pela Proteção Expandida para Autenticação como uma origem de um ataque man-in-the-middle:

    • Alguns browsers de Internet de terceiros
    • A firewall da rede empresarial, o balanceador de carga de rede ou outro dispositivo de rede está a publicar o Serviço de Federação do AD FS na Internet de forma a que os dados de payload de IP possam potencialmente ser reescritos. Isto possivelmente inclui os seguintes tipos de dados:

      • Bridging secure Sockets Layer (SSL)

      • Descarga de SSL

      • Filtragem de pacotes com monitorização de estado

        Para obter mais informações, consulte o seguinte artigo da Base de Dados de Conhecimento da Microsoft:

        2510193 Cenários suportados para utilizar o AD FS para configurar o início de sessão único no Microsoft 365, no Azure ou no Intune

    • Uma aplicação de monitorização ou desencriptação SSL está instalada ou ativa no computador cliente

  • A resolução do Sistema de Nomes de Domínio (DNS) do ponto final de serviço do AD FS foi efetuada através da pesquisa de registos CNAME em vez de através de uma pesquisa de registo A.

  • O Windows Internet Explorer não está configurado para transmitir a autenticação integrada do Windows para o servidor do AD FS.

Antes de começar a resolução de problemas

Verifique se o nome de utilizador e a palavra-passe não são a causa do problema.

  • Certifique-se de que o nome de utilizador correto é utilizado e está no formato de nome principal de utilizador (UPN). Por exemplo, johnsmith@contoso.com.

  • Certifique-se de que é utilizada a palavra-passe correta. Para verificar novamente se é utilizada a palavra-passe correta, poderá ter de repor a palavra-passe do utilizador. Para obter mais informações, consulte o seguinte artigo do Microsoft TechNet:

    Repor uma Palavra-passe de Utilizador

  • Certifique-se de que a conta não está bloqueada, expirada ou utilizada fora das horas de início de sessão designadas. Para obter mais informações, veja o seguinte artigo do Microsoft TechNet: Gerir Utilizadores

Verificar a causa

Para verificar se os problemas do Kerberos estão a causar o problema, ignore temporariamente a autenticação Kerberos ao ativar a autenticação baseada em formulários no farm de servidores de federação do AD FS. Para tal, siga estes passos:

Passo 1: Editar o ficheiro de web.config em cada servidor no farm de servidores de federação do AD FS

  1. No Explorador do Windows, localize a pasta C:\inetpub\adfs\ls\ e, em seguida, faça uma cópia de segurança do ficheiro web.config.

  2. Clique em Iniciar, clique em Todos os Programas, clique em Acessórios, clique com o botão direito do rato em Bloco de Notas e, em seguida, clique em Executar como administrador.

  3. No menu Ficheiro , clique em Abrir. Na caixa Nome do Ficheiro , escreva C:\inetpub\adfs\ls\web.config e, em seguida, clique em Abrir.

  4. No ficheiro web.config, siga estes passos:

    1. Localize a linha que contém <o modo> de autenticação e, em seguida, altere-a para <modo de autenticação="Formulários"/>.

    2. Localize a secção que começa com <localAuthenticationTypes> e, em seguida, altere a secção para que a < entrada add name="Forms"> seja listada primeiro, da seguinte forma:

      <localAuthenticationTypes>
<add name="Forms" page="FormsSignIn.aspx" />
<add name="Integrated" page="auth/integrated/" />
<add name="TlsClient" page="auth/sslclient/" />
<add name="Basic" page="auth/basic/" />

  5. No menu Ficheiro , clique em Guardar.

  6. Numa linha de comandos elevada, reinicie o IIS com o comando iisreset.

Passo 2: Testar a funcionalidade do AD FS

  1. Num computador cliente ligado e autenticado no ambiente do AD DS no local, inicie sessão no portal do serviço cloud.

    Em vez de uma experiência de autenticação totalmente integrada, deve ser registado um início de sessão baseado em formulários. Se o início de sessão for bem-sucedido através da autenticação baseada em formulários, isto confirma que existe um problema com o Kerberos no Serviço de Federação do AD FS.

  2. Reverta a configuração de cada servidor no farm de servidores de federação do AD FS para as definições de autenticação anteriores antes de seguir os passos na secção "Resolução". Para reverter a configuração de cada servidor no farm de servidores de federação do AD FS, siga estes passos:

    1. No Explorador do Windows, localize a pasta C:\inetpub\adfs\ls\ e, em seguida, elimine o ficheiro web.config.
    2. Mova a cópia de segurança do ficheiro de web.config que criou na secção "Passo 1: Editar o ficheiro de web.config em cada servidor no farm de servidores de federação do AD FS" para a pasta C:\inetpub\adfs\ls\.

  3. Numa linha de comandos elevada, reinicie o IIS com o comando iisreset.

  4. Verifique se o comportamento de autenticação do AD FS reverte para o problema original.

Solução

Para resolver o problema do Kerberos que limita a autenticação do AD FS, utilize um ou mais dos seguintes métodos, conforme adequado para a situação.

Resolução 1: Repor as definições de autenticação do AD FS para os valores predefinidos

Se as definições de autenticação do IIS do AD FS estiverem incorretas ou se as definições de autenticação do IIS dos Serviços de Federação do AD FS e dos Serviços Proxy não corresponderem, uma solução é repor todas as definições de autenticação do IIS para as predefinições do AD FS.

As predefinições de autenticação estão listadas na tabela seguinte.

Aplicação virtual Níveis de autenticação
Web Site/adfs predefinidos Autenticação anónima
Web Site/adfs/ls predefinido Autenticação anónima, autenticação do Windows

Em cada servidor de federação do AD FS e em cada proxy de servidor de federação do AD FS, utilize as informações no seguinte artigo do Microsoft TechNet para repor as aplicações virtuais do IIS do AD FS para as predefinições de autenticação:

Configurar a Autenticação no IIS 7

Resolução 2: Corrigir o SPN do farm de servidores de federação do AD FS

Nota

Experimente esta resolução apenas quando o AD FS for implementado como um farm de servidores de federação. Não experimente esta resolução numa configuração autónoma do AD FS.

Para resolver o problema se o SPN do serviço AD FS estiver perdido ou danificado na conta de serviço do AD FS, siga estes passos num servidor no farm de servidores de federação do AD FS:

  1. Abra o snap-in Gestão de serviços. Para tal, clique em Iniciar, clique em Todos os Programas, clique em Ferramentas Administrativas e, em seguida, clique em Serviços.

  2. Faça duplo clique em Serviço Windows do AD FS (2.0).

  3. No separador Iniciar Sessão , anote a conta de serviço que é apresentada em Esta Conta.

  4. Clique em Iniciar, clique em Todos os Programas, clique em Acessórios, clique com o botão direito do rato em Linha de Comandos e, em seguida, clique em Executar como administrador.

  5. Escreva o seguinte comando e, em seguida, prima Enter.

    SetSPN –f –q host/<AD FS service name>

    Nota

    Neste comando, <o nome> do serviço do AD FS representa o nome de serviço do nome de domínio completamente qualificado (FQDN) do ponto final de serviço do AD FS. Não representa o nome do anfitrião do Windows do servidor do AD FS.

    • Se for devolvida mais do que uma entrada para o comando e o resultado estiver associado a uma conta de utilizador diferente daquela que foi indicada no passo 3, remova essa associação. To do this, run the following command:

      SetSPN –d host/<AD FS service name><bad_username>

    • Se for devolvida mais do que uma entrada para o comando e o SPN utilizar o mesmo nome que o nome do computador do servidor do AD FS no Windows, o nome do ponto final de federação do AD FS está incorreto. O AD FS tem de ser implementado novamente. O FQDN do farm de servidores de federação do AD FS não pode ser idêntico ao nome do anfitrião do Windows de um servidor existente.

    • Se o SPN ainda não existir, execute o seguinte comando:

      SetSPN –a host/<AD FS service name><username of service account>

      Nota

      Neste comando, <o nome de utilizador da conta> de serviço representa o nome de utilizador que foi anotado no passo 3.

  6. Após estes passos serem executados em todos os servidores no farm de servidores de federação do AD FS, clique com o botão direito do rato em Serviço Windows do AD FS (2.0) no snap-in Gestão de serviços e, em seguida, clique em Reiniciar.

Resolução 3: Resolver problemas de Proteção Alargada para Autenticação

Para resolver o problema se a Proteção Expandida para Autenticação impedir a autenticação com êxito, utilize um dos seguintes métodos recomendados:

  • Método 1: Utilize o Windows Internet Explorer 8 (ou uma versão posterior do programa) para iniciar sessão.
  • Método 2: publicar serviços do AD FS na Internet de forma a que a bridge SSL, a descarga de SSL ou a filtragem de pacotes com monitorização de estado não reescrevam os dados de payload de IP. A recomendação de melhores práticas para esta finalidade é utilizar um Servidor Proxy do AD FS.
  • Método 3: Fechar ou desativar a monitorização ou aplicações de desencriptação SSL.

Se não conseguir utilizar nenhum destes métodos, para resolver este problema, a Proteção Expandida para Autenticação pode ser desativada para clientes passivos e ativos.

Solução: Desativar a Proteção Expandida para Autenticação

Aviso

Não recomendamos que utilize este procedimento como uma solução a longo prazo. Desativar a Proteção Alargada para Autenticação enfraquece o perfil de segurança do serviço AD FS ao não detetar determinados ataques man-in-the-middle nos pontos finais da Autenticação Integrada do Windows.

Nota

Quando esta solução é aplicada à funcionalidade de aplicações de terceiros, também deve desinstalar correções no sistema operativo cliente para Proteção Expandida para Autenticação.

Para clientes passivos

Para desativar a Proteção Expandida para Autenticação para clientes passivos, execute o seguinte procedimento para as seguintes aplicações virtuais do IIS em todos os servidores no farm de servidores de federação do AD FS:

  • Web Site/adfs predefinidos
  • Web Site/adfs/ls predefinido

Para tal, siga estes passos:

  1. Abra o Gestor do IIS e navegue para o nível que pretende gerir. Para obter informações sobre como abrir o Gestor do IIS, veja Open IIS Manager (IIS 7).
  2. Na Vista de Funcionalidades, faça duplo clique em Autenticação.
  3. Na página Autenticação, selecione Autenticação do Windows.
  4. No painel Ações , clique em Definições Avançadas.
  5. Quando a caixa de diálogo Definições Avançadas for apresentada, selecione Desativado no menu pendente Proteção Expandida .

Para clientes ativos

Para desativar a Proteção Expandida para Autenticação para clientes ativos, execute o seguinte procedimento no servidor primário do AD FS:

  1. Abra Windows PowerShell.

  2. Execute o seguinte comando para carregar o Windows PowerShell para o snap-in do AD FS:

    Add-PsSnapIn Microsoft.Adfs.Powershell

  3. Execute o seguinte comando para desativar a Proteção Expandida para Autenticação:

    Set-ADFSProperties –ExtendedProtectionTokenCheck "None"

Reativar a Proteção Expandida para Autenticação

Para clientes passivos

Para reativar a Proteção Expandida para Autenticação para clientes passivos, execute o seguinte procedimento para as seguintes aplicações virtuais do IIS em todos os servidores no farm de servidores de federação do AD FS:

  • Web Site/adfs predefinidos
  • Web Site/adfs/ls predefinido

Para tal, siga estes passos:

  1. Abra o Gestor do IIS e navegue para o nível que pretende gerir. Para obter informações sobre como abrir o Gestor do IIS, veja Open IIS Manager (IIS 7).
  2. Na Vista de Funcionalidades, faça duplo clique em Autenticação.
  3. Na página Autenticação, selecione Autenticação do Windows.
  4. No painel Ações , clique em Definições Avançadas.
  5. Quando for apresentada a caixa de diálogo Definições Avançadas , selecione Aceitar no menu pendente Proteção Expandida .

Para clientes ativos

Para reativar a Proteção Expandida para Autenticação para clientes ativos, execute o seguinte procedimento no servidor primário do AD FS:

  1. Abra Windows PowerShell.

  2. Execute o seguinte comando para carregar o Windows PowerShell para o snap-in do AD FS:

    Add-PsSnapIn Microsoft.Adfs.Powershell

  3. Execute o seguinte comando para ativar a Proteção Expandida para Autenticação:

    Set-ADFSProperties –ExtendedProtectionTokenCheck "Allow"

Resolução 4: Substituir registos CNAME por registos A para o AD FS

Utilize ferramentas de gestão de DNS para substituir cada registo DNS Alias (CNAME) utilizado para o serviço de federação por um registo de endereço DNS (A). Além disso, verifique ou considere as definições de DNS empresariais quando uma configuração de DNS dividido é implementada. Para obter mais informações sobre como gerir registos DNS, veja Managing DNS Records (Gerir Registos DNS).

Resolução 5: Configurar o Internet Explorer como um cliente do AD FS para o início de sessão único (SSO)

Para obter mais informações sobre como configurar o Internet Explorer para acesso ao AD FS, consulte É pedido inesperadamente a um utilizador federado que introduza credenciais de conta escolar ou profissional.

Mais informações

Para ajudar a proteger uma rede, o AD FS utiliza a Proteção Expandida para Autenticação. A Proteção Expandida para Autenticação pode ajudar a impedir ataques man-in-the-middle nos quais um atacante interceta as credenciais de um cliente e as reencaminha para um servidor. A proteção contra estes ataques é possibilitada através da utilização de Trabalhos de Enlace de Canal (CBT). O CBT pode ser necessário, permitido ou não exigido pelo servidor quando as comunicações são estabelecidas com clientes.

A definição ExtendedProtectionTokenCheck AD FS especifica o nível de proteção expandida para autenticação suportada pelo servidor de federação. Estes são os valores disponíveis para esta definição:

  • Exigir: o servidor está totalmente protegido. A proteção alargada é imposta.
  • Permitir: esta é a predefinição. O servidor está parcialmente protegido. A proteção alargada é imposta para sistemas envolvidos que são alterados para suportar esta funcionalidade.
  • Nenhum: o servidor está vulnerável. A proteção expandida não é imposta.

As tabelas seguintes descrevem como a autenticação funciona para três sistemas operativos e browsers, consoante as diferentes opções de Proteção Expandida que estão disponíveis no AD FS com o IIS.

Nota

Os sistemas operativos cliente Windows têm de ter atualizações específicas instaladas para utilizar eficazmente as funcionalidades de Proteção Expandida. Por predefinição, as funcionalidades estão ativadas no AD FS.

Por predefinição, o Windows 7 inclui os binários adequados para utilizar a Proteção Expandida.

Windows 7 (ou versões atualizadas adequadamente do Windows Vista ou do Windows XP)

Definição Exigir Permitir (a predefinição) Nenhum
Cliente Windows Communication Foundation (WCF) (Todos os pontos finais) Trabalhos Trabalhos Trabalhos
Internet Explorer 8 e versões posteriores Trabalhos Trabalhos Trabalhos
Firefox 3.6 Falha Falha Trabalhos
Safari 4.0.4 Falha Falha Trabalhos

Windows Vista sem atualizações adequadas

Definição Exigir Permitir (a predefinição) Nenhum
Cliente WCF (Todos os pontos finais) Falha Trabalhos Trabalhos
Internet Explorer 8 e versões posteriores Trabalhos Trabalhos Trabalhos
Firefox 3.6 Falha Trabalhos Trabalhos
Safari 4.0.4 Falha Trabalhos Trabalhos

Windows XP sem atualizações adequadas

Definição Exigir Permitir (a predefinição) Nenhum
Internet Explorer 8 e versões posteriores Trabalhos Trabalhos Trabalhos
Firefox 3.6 Falha Trabalhos Trabalhos
Safari 4.0.4 Falha Trabalhos Trabalhos

Para obter mais informações sobre a Proteção Expandida para Autenticação, veja o seguinte recurso da Microsoft:

Configurar Opções Avançadas para o AD FS 2.0

Para obter mais informações sobre o cmdlet Set-ADFSProperties, aceda ao seguinte site da Microsoft:

Set-ADFSProperties

Ainda necessita de ajuda? Aceda ao site Microsoft Community ou Microsoft Entra Forums.

Os produtos de terceiros referidos neste artigo são fabricados por empresas independentes da Microsoft. A Microsoft não concede qualquer garantia, implícita ou de outra natureza, relativamente ao desempenho ou à fiabilidade destes produtos.