O usuário federado é solicitado inesperadamente a inserir credenciais de conta

  • Artigo

Este artigo descreve um cenário em que um usuário federado é solicitado inesperadamente a inserir suas credenciais de conta corporativa ou escolar ao acessar Office 365, Azure ou Microsoft Intune.

Versão original do produto: Microsoft Entra ID, Microsoft Intune, Backup do Azure, Office 365 Identity Management
Número de KB original: 2535227

Sintomas

Quando um usuário federado entra Office 365, Microsoft Azure ou Microsoft Intune, o usuário é solicitado inesperadamente a inserir as credenciais de conta corporativa ou escolar. Depois que o usuário insere as credenciais, o usuário recebe acesso ao serviço de nuvem.

Observação

Nem todas as experiências federadas de autenticação de usuário estão sem um prompt de credencial. Em determinados cenários, é por design e esperado que os usuários federados sejam solicitados a inserir suas credenciais. Verifique se o prompt de credencial é inesperado antes de continuar.

Motivo

Esse problema poderá ocorrer para clientes de domínio interno se uma ou mais das seguintes condições forem verdadeiras:

  • Um cliente interno resolve o ponto de extremidade Serviços de Federação do Active Directory (AD FS) (AD FS) para o endereço IP do serviço proxy do AD FS em vez de para o endereço IP do serviço de federação do AD FS.
  • As configurações de segurança na Internet Explorer não estão configuradas para logon único no AD FS.
  • As configurações do servidor proxy na Internet Explorer não estão configuradas para logon único no AD FS.
  • O navegador da Web não dá suporte a autenticação do Windows integradas.
  • O computador cliente não pode se conectar ao domínio Active Directory local.

Resolução 1: verifique se o servidor DNS tem um registro de host para o ponto de extremidade do AD FS

Verifique se o servidor DNS tem um registro de host para o ponto de extremidade do AD FS apropriado para o computador cliente que está enfrentando esse problema. Para clientes internos, isso significa que o servidor DNS interno deve resolve o nome do ponto de extremidade do AD FS para um endereço IP interno. Para clientes da Internet, isso significa que o nome do ponto de extremidade deve resolve para um endereço IP público. Para testar isso no cliente, siga estas etapas:

  1. Selecione Iniciar, selecione Executar, digite cmd e pressione Enter.

  2. No prompt de comando, digite o seguinte comando, em que o espaço reservado sts.contoso.com representa o nome do ponto de extremidade do AD FS:

    nslookup sts.contoso.com

  3. Se a saída do comando mostrar um endereço IP incorreto, atualize o registro A no servidor DNS interno ou externo. Para obter mais informações sobre como fazer isso, consulte O navegador da Internet não pode exibir a página da Web de entrada do AD FS para usuários federados O navegador da Internet não pode exibir a página da Web do AD FS quando um usuário federado tenta entrar no Office 365, no Azure ou no Intune

Resolução 2: verifique as configurações locais da zona de intranet e do servidor proxy na Internet Explorer

Use um dos procedimentos a seguir, conforme apropriado para sua situação.

Procedimento A

Verifique as configurações locais da zona de intranet e do servidor proxy no Explorer da Internet. Para fazer isso, siga estas etapas:

  1. Inicialize o Internet Explorer.

  2. No menu Ferramentas, selecione Opções da Internet.

  3. Selecione a guia Segurança , selecione a zona de intranet local e selecione Sites.

  4. Na caixa de diálogo Intranet local , selecione Avançado. Na lista Sites , verifique se existe uma entrada (como sts.contoso.com) para o nome DNS totalmente qualificado do ponto de extremidade de serviço do AD FS.

  5. Selecione Fechar e, em seguida, selecione OK.

    Observação

    Use as seguintes etapas adicionais somente se um administrador de rede configurou um servidor de proxy Web no ambiente local:

  6. Selecione a guia Connections e selecione Configurações de LAN.

  7. Em Configuração automática, selecione para limpar as configurações de detecção automática marcar caixa e selecione para limpar a caixa Usar script de configuração automática marcar.

  8. Em Servidor proxy, selecione usar um servidor proxy para sua caixa marcar LAN, digite o endereço do servidor proxy e a porta que ele usa e selecione Avançado.

  9. Em Exceções, adicione seu ponto de extremidade do AD FS (como sts.contoso.com).

  10. Selecione OK três vezes.

Procedimento B

Configure manualmente as configurações de segurança para a zona de segurança na Internet Explorer. A configuração de segurança padrão que faz com que a zona de intranet local não solicite autenticação do Windows pode ser configurada manualmente para qualquer zona de segurança na Internet Explorer. Para personalizar a zona de segurança da qual o nome do serviço do AD FS já faz parte, siga estas etapas:

Aviso

Desencorajamos muito essa configuração porque ela pode resultar no envio não intencional do tráfego integrado de Autenticação do Windows para sites.

  1. Inicialize o Internet Explorer.
  2. No menu Ferramentas , selecione Opções de Internet.
  3. Selecione a guia Segurança , selecione a zona de segurança na qual o nome do serviço do AD FS já está contido e selecione nível personalizado.
  4. Na caixa de diálogo Configurações de Segurança , role até a parte inferior para localizar a entrada autenticação do usuário .
  5. Em Logon, selecione Logon automático com nome de usuário e senha atuais.
  6. selecione OK duas vezes.

Resolução 3: usar o Explorer da Internet ou um navegador da Web de terceiros

Use o Explorer da Internet ou um navegador da Web de terceiros que dê suporte a autenticação do Windows integradas.

Resolução 4: verificar a conectividade com o Active Directory

Faça logon do computador cliente e faça logon como usuário do Active Directory. Se o logon for bem-sucedido, verifique a conectividade com o Active Directory usando a ferramenta de linha de comando Nltest. Nltest.exe está incluído nas Ferramentas de Administração do Servidor Remoto para Windows 10.

  1. Em um prompt de comando, digite o seguinte comando e pressione Enter: Nltest /dsgetdc:<FQDN Of Domain>. Se as configurações estiverem corretas, você receberá uma saída semelhante à seguinte:

    DC: \DC.contoso.com Endereço:\ <Endereço> IP Dom Guid: <GUID> Nome dom: contoso.com Nome da floresta: contoso.com Nome do site dc: Nome padrão do site nosso nome do site: padrão-primeiro-site-nome sinalizadores: PDC GC DS LDAP KDC TIMESERV GTIMESERV WRITABLE DNS_DC DNS_DOMAIN DNS_FOREST CLOSE_SITE O comando foi concluído com êxito

  2. Verifique a associação do site do computador. Para fazer isso, digite o seguinte comando e pressione Enter: nltest /dsgetsite. Um resultado bem-sucedido se assemelha ao seguinte:

    Nome do primeiro site padrão O comando foi concluído com êxito

Mais informações

Acessar recursos Office 365 usando uma conta não federada ou uma conta federada de uma conexão de Internet pública pode não resultar em uma única experiência de logon.

A experiência para fazer logon em conexões do Microsoft Outlook também não deve ser uma experiência de logon único.

Entre em contato conosco para obter ajuda

Se você tiver dúvidas ou precisar de ajuda, crie uma solicitação de suporte ou peça ajuda à comunidade de suporte do Azure. Você também pode enviar comentários sobre o produto para a comunidade de comentários do Azure.