Conectarea la Office 365, Azure sau Intune utilizând sign-on unic nu funcționează de pe unele dispozitive

Se aplică la: Azure Active DirectoryMicrosoft IntuneAzure Backup

PROBLEMĂ


Atunci când încercați să accesați un serviciu cloud Microsoft, cum ar fi Office 365, Microsoft Azure sau Microsoft Intune printr-un client bazat pe web sau o aplicație client bogată, utilizând un cont federativ, autentificarea nu reușește de la un anumit computer client. Atunci când utilizați un browser web pentru a accesa portalul de servicii cloud de pe același computer utilizând un cont federativ, este posibil să vă confruntați cu una dintre următoarele simptome:
  • Atunci când vă conectați la punctul final de portal, primiți unul dintre următoarele mesaje de eroare: 
    Internet Explorer nu poate afișa pagina web.
    Pagina 403 nu a fost găsită
  • Atunci când vă conectați la Endpoint Active Directory Federation Services (AD FS), primiți unul dintre următoarele mesaje de eroare:
    Internet Explorer nu poate afișa pagina web
    Pagina 403 nu a fost găsită
  • Primiți un avertisment de certificat atunci când vă conectați la punctul final AD FS.
  • Atunci când vă conectați la punctul final AD FS în timp ce sunteți conectat la domeniul corporativ, veți primi o singură solicitare de acreditare. Această solicitare pentru acreditările dumneavoastră nu utilizează autentificarea bazată pe formulare.
  • Atunci când vă conectați la punctul final AD FS utilizând un browser web de la terți, primiți solicitări de autentificare în buclă. Aceste solicitări nu utilizează autentificarea bazată pe formulare.
  • Atunci când vă conectați la punctul final login.microsoftonline.com, veți primi următorul mesaj de eroare:
    Access Denied

CAUZA


De obicei, această problemă apare pe un computer client sau pe un grup de dispozitive client. Această problemă poate apărea pentru toți utilizatorii și computerele client dacă sign-on unic (SSO) nu este complet funcțional. Este posibil ca SSO să nu fie complet funcțional dacă setările clientului nu au fost configurate corect. Următoarele situații ale dispozitivului client pot provoca această problemă:
  • Conectivitatea rețelei poate fi limitată.
  • Dispozitivul client primește o rezolvare incorectă a numelui pentru serviciul de federalizare AD FS din implementarea DNS internă Split-Brain.
  • Dacă este configurat un server proxy Internet pe computer, este posibil ca numele serviciului de federalizare AD FS să nu fie adăugat la lista de bypass proxy.
  • Este posibil ca numele serviciului de federalizare AD FS să nu fie adăugat la zona de securitate intranet local din setările Opțiuni Internet.
  • Computerul client nu este autentificat în serviciile de domeniu Active Directory.
  • Browserul Web terț nu acceptă protecție extinsă pentru autentificarea la serviciul de federalizare AD FS.
  • Punctul final de metadate Federation poate fi hardcoded în registry din cauza unei instalări anterioare de Office 365 Beta a instrumentului de gestionare SSO.
  • Punctul final de serviciu AD FS necesar pentru o aplicație client specifică este dezactivat.
Înainte de a continua, asigurați-vă că următoarele condiții sunt adevărate:
  • Problemele de acces nu se limitează la aplicațiile client îmbogățite de pe computerul client. În cazul în care doar autentificarea client îmbogățit (spre deosebire de autentificarea bazată pe browser) nu funcționează, este mai probabil să indice o problemă de autentificare client bogată. De exemplu, poate fi o problemă legată de cerințele preliminare sau de configurația aplicației client bogat. Pentru mai multe informații, consultați următorul articol din baza de cunoștințe Microsoft:
    2637629   Cum se depanează aplicațiile non-browser care nu se pot conecta la Office 365, Azure sau Intune   
  • Autentificarea SSO nu reușește pentru toate conturile de utilizator activate pentru SSO. Dacă toți utilizatorii cu SSO activat au aceleași simptome, indică mai probabil o problemă de federalizare. Pentru mai multe informații, faceți clic pe următorul număr de articol pentru a-l vedea în Baza de cunoștințe Microsoft:
    2530569   Depanarea problemelor de configurare pentru sign-on unic în Office 365, Intune sau Azure  
  • Autentificarea SSO pentru contul de utilizator reușește pe alte computere client. Dacă contul de utilizator nu se poate conecta la niciun client din Cloud Services, consultați rezoluțiile de mai jos în acest articol care implică computerul client. De asemenea, explorați posibilitatea ca există ceva în neregulă cu contul de utilizator și nu cu computerul client. Pentru mai multe informații, faceți clic pe următorul număr de articol pentru a-l vedea în Baza de cunoștințe Microsoft:  
    2530590   Depanarea problemelor de cont pentru utilizatorii federativi din Office 365, Azure sau Intune   
  • Tastatura de pe computerul client funcționează corect, iar numele de utilizator și parola, acolo unde este necesar, au fost introduse corect.

SOLUȚIE


Pentru a depana această problemă, utilizați una sau mai multe dintre metodele următoare, în funcție de cauza problemei.

Rezoluția 1: nu se poate conecta la portalul de servicii cloud sau la AD FS 

Încercați să navigați la http://www.MSN.com. Dacă acest lucru nu funcționează, depanați problemele de conectivitate în rețea. Pentru a face acest lucru, urmați acești pași:
  1. În linia de comandă, utilizați instrumentele ipconfig și ping pentru a depana conectivitatea IP. Pentru mai multe informații, consultați următorul articol din baza de cunoștințe Microsoft:
    169790 Cum se depanează problemele de bază TCP/IP.
  2. În linia de comandă, tastați nslookup www.MSN.com pentru a determina dacă DNS rezolvă numele de servere de internet.
  3. Asigurați-vă că setările proxy pentru Opțiuni Internet reflectă serverul proxy corespunzător dacă se utilizează un server proxy în rețeaua locală.
  4. Dacă un paravan de protecție Forefront Threat Management Gateway (TMG) este instalat pe marginea rețelei și Paravanul de protecție necesită autentificarea clientului, poate fi necesar să instalați un program client Forefront TMG pe dispozitivul client pentru acces la internet. Contactați administratorul serviciului cloud pentru ajutor cu acest lucru.

Rezoluția 2: nu se poate conecta la AD FS

Pentru a rezolva această problemă, urmați acești pași:
  1. Eliminarea problemelor de conectivitate IP utilizând rezoluția 1.
  2. În linia de comandă, tastați nslookup <AD fs 2,0 FQDN>, apoi apăsați pe Enter pentru a determina dacă DNS rezolvă corect numele serviciului AD FS.Notă În această comandă, <AD FS FQDN> reprezintă numele de domeniu complet (FQDN) al numelui de serviciu AD FS. Nu reprezintă numele de gazdă Windows al serverului AD FS.
    1. Dacă clientul este atașat la rețeaua corporativă, asigurați-vă că adresa IP care s-a rezolvat este o adresă IP privată. Adresa IP trebuie să corespundă unuia dintre următoarele modele:
      • 10.x.x.x
      • 172.16.x.x
      • 192.168.x.x
    2. Dacă clientul este în afara rețelei corporative, asigurați-vă că adresa IP care s-a rezolvat este o adresă IP publică. Asigurați-vă că nu se potrivește cu unul dintre următoarele modele:
      • 10.x.x.x
      • 172.16.x.x
      • 192.168.x.x
    3. Dacă adresa IP care s-a rezolvat este incorectă în funcție de pasul 1 și pasul 2 și alte computere client nu au același comportament, procedați astfel:
      1. În linia de comandă, tastați ipconfig/all, apoi verificați dacă intrarea principală DNS Server este adecvată pentru rețeaua la care este atașat clientul.
      2. Deschideți fișierul%WINDIR%\system32\drivers\etc\hosts în Notepad, apoi eliminați toate intrările pentru FQDN-ul AD FS. Apoi, Salvați fișierul.
      3. În linia de comandă, tastați ipconfig/flushdns pentru a goli memoria cache DNS.
    Notă Dacă dispozitivele client sunt atașate doar la rețeaua corporativă, treceți la pasul 3.
  3. Adăugați FQDN-ul AD FS la lista de bypass proxy. Pentru a face acest lucru, urmați pașii din următorul articol din baza de cunoștințe Microsoft:
    262981 Internet Explorer utilizează serverul proxy pentru adresa IP locală, chiar dacă opțiunea "Bypass server proxy pentru adrese locale" este activată

Rezoluția 3: avertisment de certificat atunci când vă conectați la punctul final AD FS

Pentru a rezolva această problemă, depanați problemele cu certificatele Secure Sockets Layer (SSL) utilizând următorul articol din baza de cunoștințe Microsoft:
2523494  Primiți un avertisment de certificat din AD FS atunci când încercați să vă conectați la Office 365, Azure sau Intune  

Rezoluția 4: primiți o singură solicitare de acreditare neașteptată atunci când vă conectați de la un computer client care este conectat la rețeaua corporativă

Pentru a rezolva această problemă, urmați acești pași:
  1. Asigurați-vă că s-a conectat cu succes computerul client la domeniu.
    1. Faceți clic pe Start, pe rulare, tastați %logonserver%\sysvol, apoi faceți clic pe OK.
    2. Dacă apare o solicitare de acreditare, deconectați-vă, apoi conectați-vă din nou utilizând acreditările de firmă.
  2. Adăugați FQDN-ul AD FS la zona intranet local.
    1. Pe fila Securitate , faceți clic pe intranet local, apoi faceți clic pe site-uri.
    2. Faceți clic pe Complex, apoi examinați listarea site-urilor web pentru numele DNS complet calificat al punctului final de serviciu AD FS (de exemplu, STS.contoso.com). Notă O valoare wildcard, cum ar fi "*. consoto.com" va funcționa și în această configurație.
  3. Adăugați FQDN-ul AD FS la lista de bypass proxy. Pentru a face acest lucru, urmați pașii din următorul articol din baza de cunoștințe Microsoft:
    262981 Internet Explorer utilizează serverul proxy pentru adresa IP locală, chiar dacă opțiunea "Bypass server proxy pentru adrese locale" este activată

Rezoluția 5: browser Web terț nu acceptă protecție extinsă pentru autentificare și primiți solicitări de autentificare în buclă

Pentru a rezolva această problemă, urmați acești pași:
  1. Utilizați Windows Internet Explorer (Internet Explorer acceptă protecție extinsă pentru autentificare) în loc de un browser Web terț care nu acceptă protecție extinsă pentru autentificare.
  2. Dacă utilizarea Internet Explorer nu este o opțiune, utilizați următorul articol din baza de cunoștințe Microsoft pentru a configura AD FS pentru a accepta solicitările din browsere web care nu acceptă protecție extinsă pentru autentificare:
    2461628  Unui utilizator federativ i se solicită în mod repetat acreditările în timpul conectării la Office 365, Azure sau Intune

Rezoluția 6: mesaj de eroare "acces refuzat" atunci când încercați să vă conectați la login.microsoftonline.com

Important Această secțiune conține pașii care vă arată cum să modificați registry. Totuși, dacă modificați incorect sistemul registry, pot apărea probleme serioase. De aceea, asiguraţi-vă că urmaţi aceşti paşi cu atenţie. Pentru o protecție mai bună, înainte de a face modificări, realizați o copie de rezervă a sistemului registry. După aceea, sistemul registry poate fi restaurat dacă apare o problemă. Pentru informații suplimentare despre copierea de rezervă și restaurarea sistemului registry, faceți clic pe următorul număr de articol din Baza de cunoștințe Microsoft:
322756 Cum se creează copii de rezervă și cum se pot restaura cheile de registry în Windows
Problemele pot apărea dacă punctul final pentru Azure Active Directory SSO utilizat de AD FS nu este valid. Asigurați-vă că punctul final al Federației nu este codificat în registry-ul fiecărui server din ferma de servicii de federalizare AD FS. Pentru a rezolva această problemă, utilizați Registry Editor pentru a șterge următoarea subcheie de registry:
HKEY_LOCAL_MACHINE\Software\Microsoft\MOCHA\IdentityFederation
AD FS va reveni la punctul final corect pe baza funcției de încredere a terților SSO.

Rezoluția 7: Resetarea punctului final al serviciului AD FS dezactivat pentru configurarea implicită

Pentru mai multe informații despre cum să procedați, consultați următorul articol din baza de cunoștințe Microsoft:
2712957  Conectați-vă la Office 365, Azure sau Intune nu reușește după ce modificați punctul final de serviciu al Federației 
Încă aveți nevoie de ajutor? Accesați comunitatea Microsoft sau site-ul web forumuri Azure Active Directory .