A inscrição no Office 365, Azure ou Intune usando um único sinal não funciona a partir de alguns dispositivos

PROBLEMA

Quando tenta aceder a um serviço de cloud da Microsoft, como o Office 365, Microsoft Azure ou Microsoft Intune através de um cliente baseado na Web ou de uma aplicação de cliente rico através de uma conta federada, a autenticação falha a partir de um computador cliente específico. Quando utiliza um navegador web para aceder ao portal de serviço de nuvem a partir do mesmo computador utilizando uma conta federada, poderá experimentar um dos seguintes sintomas:

  • Quando se liga ao ponto final do portal, recebe uma das seguintes mensagens de erro:

    O Internet Explorer não pode exibir a página web.

    403 Página não encontrada

  • Quando se liga ao ponto final dos Serviços da Federação de Diretórios Ativos (AD FS), recebe uma das seguintes mensagens de erro:

    O Internet Explorer não pode exibir a página web

    403 Página não encontrada

  • Recebe um aviso de certificado quando se liga ao ponto final da AD FS.

  • Quando se conecta ao ponto final do AD FS enquanto está ligado ao domínio corporativo, recebe uma única solicitação de credencial. Este pedido para as suas credenciais não utiliza a autenticação baseada em formulários.

  • Quando se conecta ao ponto final do AD FS utilizando um navegador web de terceiros, recebe instruções de autenticação em loop. Estes avisos não utilizam a autenticação baseada em formulários.

  • Quando se liga ao ponto final login.microsoftonline.com, recebe a seguinte mensagem de erro:

    Acesso Negado

CAUSA

Normalmente, este problema ocorre num computador cliente ou num grupo de dispositivos clientes. Este problema pode ocorrer para todos os utilizadores e computadores clientes se uma única sindes (SSO) não estiver totalmente funcional. A SSO pode não estar totalmente funcional se as definições do cliente não estiverem corretamente configurada. As seguintes situações do dispositivo cliente podem causar este problema:

  • A conectividade da rede pode ser limitada.

  • O dispositivo cliente está a receber uma resolução de nome incorreta para o serviço da Federação FS AD da implementação interna de DNS de cérebro dividido.

  • Se um servidor de procuração da Internet estiver configurado no computador, o nome de serviço da Federação FS AD não pode ser adicionado à lista de bypass de procuração.

  • O nome de serviço da Federação AD FS não pode ser adicionado à zona de segurança intranet local nas definições de Opções de Internet.

  • O computador cliente não é autenticado para os Serviços de Domínio do Diretório Ativo.

  • O navegador web de terceiros não suporta proteção alargada para autenticação ao serviço da Federação AD FS.

  • O ponto final dos metadados da federação pode ser codificado no registo devido a uma instalação beta do Office 365 anterior da Ferramenta de Gestão SSO.

  • O ponto final de serviço AD FS necessário para uma aplicação específica do cliente é desativado.

Antes de continuar, certifique-se de que as seguintes condições são verdadeiras:

  • Os problemas de acesso não se limitam a aplicações ricas de clientes no computador cliente. Se apenas a autenticação de clientes ricos (em oposição à autenticação baseada no navegador) não estiver a funcionar, é mais provável que indique um problema de autenticação de clientes rico. Por exemplo, pode ser um problema relacionado com os pré-requisitos ou a configuração da aplicação de cliente rico. Para mais informações, consulte o seguinte artigo da Base de Conhecimento da Microsoft:

    2637629  Como resolver aplicações não-navegador que não podem entrar no Office 365, Azure ou Intune

  • A autenticação SSO não falha em todas as contas de utilizador ativadas pelo SSO. Se todos os utilizadores ativados por SSO experimentarem os mesmos sintomas, é mais provável que indique um problema de federação. Para mais informações, clique no número de artigo que se segue para ver o artigo na Base de Dados de Conhecimento Microsoft:

    2530569  Resolução de problemas únicos problemas de configuração de assinatura no Office 365, Intune ou Azure

  • A autenticação SSO para a conta de utilizador tem sucesso noutros computadores clientes. Se a conta de utilizador não puder aceder a qualquer cliente de serviços na nuvem, consulte as resoluções mais tarde neste artigo que envolvem o computador do cliente. Além disso, explore a possibilidade de haver algo de errado com a conta do utilizador e não com o computador cliente. Para mais informações, clique no número de artigo que se segue para ver o artigo na Base de Dados de Conhecimento Microsoft:

    2530590  Problemas de conta para utilizadores federados no Office 365, Azure ou Intune

  • O teclado do computador cliente está a funcionar corretamente, e o nome de utilizador e a palavra-passe, sempre que necessário, foram introduzidos corretamente.

SOLUÇÃO

Para resolver este problema, utilize um ou mais dos seguintes métodos, dependendo da causa da questão.

Resolução 1: Não é possível ligar-se ao portal de serviços na nuvem ou ao AD FS 

Tente navegar até http://www.msn.com. Se isto não funcionar, resolve problemas de conectividade de rede. Para tal, siga estes passos:

  1. Num pedido de comando, utilize as ferramentas ipconfig e ping para resolver problemas de conectividade IP. Para mais informações, consulte o seguinte artigo da Base de Conhecimento da Microsoft:

    169790 Como resolver problemas básicos de TCP/IP.

  2. Numa decisão de comando, o tipo nslookup www.msn.com para determinar se o DNS está a resolver os nomes dos servidores da Internet.

  3. Certifique-se de que as definições de procuração de Opções de Internet refletem o servidor proxy apropriado se um servidor proxy for utilizado na rede local.

  4. Se uma firewall do Gateway de Gestão de Ameaças da Vanguarda (TMG) for instalada no limite da rede, e a firewall necessitar de autenticação do cliente, poderá ter de instalar um programa de Cliente TMG da Vanguarda no dispositivo cliente para acesso à Internet. Contacte o seu administrador de serviço de nuvem para obter ajuda com isto.

Resolução 2: Não pode ligar-se ao AD FS

Para resolver este problema, siga estes passos:

  1. Eliminar problemas de conectividade IP utilizando a Resolução 1.

  2. Na hora do comando, digite nslookup <AD FS 2.0 FQDN>, e, em seguida, prima Enter para determinar se o DNS está a resolver corretamente o nome do serviço AD FS.Nota Neste comando, <> AD FS FQDN representa o nome de domínio totalmente qualificado (FQDN) do nome de serviço AD FS. Não representa o nome de anfitrião do Windows do servidor AD FS.

    1. Se o cliente estiver ligado à rede corporativa, certifique-se de que o endereço IP que está resolvido é um endereço IP privado. O endereço IP deve corresponder a um dos seguintes padrões:

      • 10.x.x.x

      • 172.16.x.x

      • 192.168.x.x

    2. Se o cliente estiver fora da rede corporativa, certifique-se de que o endereço IP que está resolvido é um endereço IP público. Certifique-se de que não corresponde a um dos seguintes padrões:

      • 10.x.x.x

      • 172.16.x.x

      • 192.168.x.x

    3. Se o endereço IP que está resolvido estiver incorreto com base no passo 1 e no passo 2, e outros computadores clientes não experimentarem o mesmo comportamento, faça o seguinte:

      1. Na solicitação de comando, escreva ipconfig /all, e verifique se a entrada do Servidor DNS Primário é adequada para a rede à qual o cliente está ligado.

      2. Abra o ficheiro %windir%\system32\drivers\etc\hosts no Bloco de Notas e, em seguida, remova quaisquer entradas para o FQDN AD FQDN. Então, guarde o ficheiro.

      3. Na indicação de comando, escreva ipconfig /flushdns para limpar a cache DNS.

    Nota Se os dispositivos clientes estiverem ligados apenas à rede corporativa, vá para o passo 3.

  3. Adicione o FQDN AD FQDN à lista de Bypass Proxy. Para isso, siga os passos do seguinte artigo na Base de Conhecimento da Microsoft:

    262981 O Internet Explorer utiliza servidor de procuração para endereço IP local, mesmo que a opção "Bypass Proxy Server for Local Addresses" seja ligada

Resolução 3: Aviso de certificado quando se liga ao ponto final da AD FS

Para resolver este problema, resolução de problemas Problemas Problemas Problemas Problemas Camada de Tomadas Seguras (SSL) problemas de certificados usando o seguinte artigo na Base de Conhecimento da Microsoft:

2523494 Recebe um aviso de certificado da AD FS quando tenta entrar no Office 365, Azure ou Intune

Resolução 4: Recebe uma única e inesperada solicitação de credencial quando inicia sessão a partir de um computador cliente que está ligado à rede corporativa

Para resolver este problema, siga estes passos:

  1. Certifique-se de que o computador cliente está ligado com sucesso ao domínio.

    1. Clique em Iniciar,clique em Executar, escreva %logonserver%\sysvole, em seguida, clique em OK.

    2. Se aparecer uma solicitação de credencial, faça login e volte a entrar utilizando credenciais corporativas.

  2. Adicione o AD FS FQDN à zona intranet local.

    1. No separador Segurança, clique em Intranet Locale, em seguida, clique em Sites.

    2. Clique em Advanced, e, em seguida, examine a listagem de Websites para o nome DNS totalmente qualificado do ponto final do serviço AD FS (por exemplo, sts.contoso.com). Nota Um valor wildcard, como "*.consoto.com" também funcionará nesta configuração.

  3. Adicione o FQDN AD FQDN à lista de Bypass Proxy. Para isso, siga os passos do seguinte artigo na Base de Conhecimento da Microsoft:

    262981 O Internet Explorer utiliza servidor de procuração para endereço IP local, mesmo que a opção "Bypass Proxy Server for Local Addresses" seja ligada

Resolução 5: O navegador web de terceiros não suporta proteção alargada para autenticação, e recebe pedidos de autenticação em loop

Para resolver este problema, siga estes passos:

  1. Utilize o Windows Internet Explorer (Internet Explorer suporta proteção alargada para autenticação) em vez de um navegador web de terceiros que não suporta proteção alargada para autenticação.

  2. Se utilizar o Internet Explorer não é uma opção, utilize o seguinte artigo da Base de Conhecimento do Microsoft para configurar AD FS para aceitar pedidos de navegadores web que não suportam proteção estendida para autenticação:

    2461628 Um utilizador federado é repetidamente solicitado para credenciais durante a entrada no Office 365, Azure ou Intune

Resolução 6: Mensagem de erro "Access Denied" quando tenta ligar-se a login.microsoftonline.com

Importante Esta secção contém passos que lhe dizem como modificar o registo. No entanto, poderão ocorrer problemas graves se modificar o registo de forma incorreta. Por conseguinte, certifique-se de que segue estes passos cuidadosamente. Para maior segurança, faça uma cópia de segurança do registo antes de o modificar. Deste modo, pode restaurar o registo se ocorrer um problema. Para mais informações sobre como fazer uma cópia de segurança e restaurar o registo, clique no número de artigo que se segue para ver o artigo na Base de Dados de Conhecimento Microsoft:

322756 Como fazer uma cópia de segurança e restaurar o registo no WindowsPodem ocorrer problemas se o ponto final do Azure Ative Directory SSO que é usado pela AD FS não for válido. Certifique-se de que o ponto final da federação não está codificado no registo de cada servidor na fazenda de serviços da Federação FS da AD. Para resolver este problema, utilize o Editor de Registo para eliminar o seguinte sub-chave de registo:

HKEY_LOCAL_MACHINE\Software\Microsoft\MOCHA\IdentityFederationA AD FS vai recuar para o ponto final correto com base no SSO Relying Party Trust.

Resolução 7: Redefinir a definição de ponto final de serviço AD FS desativada para a configuração predefinida

Para obter mais informações sobre como fazê-lo, consulte o seguinte artigo da Base de Conhecimento do Microsoft:

2712957 Inscreva-se no Office 365, Azure ou Intune falha depois de alterar o ponto final do serviço da federação 

Ainda precisa de ajuda? Vá ao Microsoft Community ou ao website Azure Ative Directory Forums.

Precisa de mais ajuda?

Aumente os seus conhecimentos
Explore as formações
Seja o primeiro a obter novas funcionalidades
Aderir ao Microsoft insiders

As informações foram úteis?

Obrigado pelos seus comentários!

Obrigado pelo seu feedback! Parece que poderá ser benéfico reencaminhá-lo para um dos nossos agentes de suporte do Office.

×