Вход в Office 365, Azure или Intune с помощью единого входа не работает на некоторых устройствах

Применимо к: Azure Active DirectoryMicrosoft IntuneAzure Backup

ПРОБЛЕМА


При попытке доступа к облачной службе Microsoft, например Office 365, Microsoft Azure или Microsoft Intune через веб-клиент или клиентское приложение с богатыми возможностями с помощью федеративной учетной записи, проверка подлинности не проходит с определенного клиентского компьютера. При использовании веб-браузера для доступа к порталу облачной службы с того же компьютера с помощью федеративной учетной записи вы можете столкнуться с одной из описанных ниже проблем.
  • При подключении к конечной точке портала появляется одно из следующих сообщений об ошибке: 
    Internet Explorer не может отобразить эту веб-страницу.
    страница 403 не найдена
  • При подключении к конечной точке служб федерации Active Directory (AD FS) появляется одно из следующих сообщений об ошибке:
    Internet Explorer не может отобразить эту веб-страницу
    страница 403 не найдена
  • При подключении к конечной точке AD FS появляется предупреждение о сертификате.
  • При подключении к конечной точке AD FS при входе в корпоративный домен вы получаете один запрос учетных данных. В этом запросе учетных данных не используется проверка подлинности на основе форм.
  • При подключении к конечной точке AD FS с помощью стороннего веб-браузера вы получаете запросы проверки подлинности. Эти запросы не используют проверку подлинности на основе форм.
  • При подключении к конечной точке login.microsoftonline.com появляется следующее сообщение об ошибке:
    Отказано в доступе

ПРИЧИНА


Обычно эта проблема возникает на клиентском компьютере или в группе клиентских устройств. Эта проблема может возникать для всех пользователей и клиентских компьютеров, если единый вход (SSO) не полностью функциональн. Однократная идентификация может быть недоступна, если параметры клиента не были настроены должным образом. Эта проблема может возникать в следующих ситуациях с клиентскими устройствами:
  • Сетевое подключение может быть ограничено.
  • Клиентскому устройству получено неправильное разрешение имен для службы федерации AD FS из внутренней реализации DNS с разделением-мозгом.
  • Если на компьютере настроен прокси-сервер Интернета, имя службы федерации AD FS не может быть добавлено в список обхода прокси-сервера.
  • Имя службы федерации AD FS не может быть добавлено в зону безопасности "Местная интрасеть" в окне "Параметры браузера".
  • Клиентский компьютер не прошел проверку подлинности в доменных службах Active Directory.
  • Сторонний веб-браузер не поддерживает расширенную защиту для проверки подлинности в службе федерации AD FS.
  • Конечная точка метаданных федерации может быть закодирована в реестре из-за более ранней версии Office 365, установленной для средства управления SSO.
  • Требуемая конечная точка службы AD FS, необходимая для определенного клиентского приложения, отключена.
Прежде чем продолжить, убедитесь, что выполнены следующие условия:
  • Проблемы Access не ограничиваются возможностями многофункциональных клиентских приложений на клиентском компьютере. Если только расширенная проверка подлинности клиента (в отличие от проверки подлинности на основе браузера) не работает, это может быть вызвано проблемой с богатыми возможностями проверки подлинности клиента. Например, это может быть проблемы, связанные с необходимыми условиями или конфигурацией многофункционального клиентского приложения. Дополнительные сведения см. в следующей статье базы знаний Майкрософт:
    2637629   Устранение неполадок, связанных с небраузерными приложениями, которые не могут войти в Office 365, Azure или Intune   
  • Не удается выполнить проверку подлинности SSO для всех учетных записей пользователей с поддержкой единого входа. Если все пользователи с включенной учетной записью будут работать одинаково, это может свидетельствовать о проблемах Федерации. Дополнительные сведения см. в следующей статье базы знаний Майкрософт:
    2530569   Устранение проблем с установкой единого входа в Office 365, Intune и Azure  
  • Проверка подлинности SSO для учетной записи пользователя выполняется на других клиентских компьютерах. Если учетной записи пользователя не удается войти в систему с помощью клиента облачных служб, ознакомьтесь с разрешениями, описанными ниже в этой статье, в которой участвует клиентский компьютер. Кроме того, вы узнаете о том, что у вас есть что-то не так с учетной записью пользователя, а не с клиентским компьютером. Дополнительные сведения см. в следующей статье базы знаний Майкрософт:  
    2530590   Устранение проблем с учетными записями федеративных пользователей в Office 365, Azure или Intune   
  • Клавиатура на клиентском компьютере работает правильно, и имя пользователя и пароль, где это необходимо, были введены правильно.

РЕШЕНИЕ


Чтобы устранить эту проблему, воспользуйтесь одним или несколькими из указанных ниже способов в зависимости от причины проблемы.

Решение 1: не удается подключиться к порталу облачных служб или к AD FS 

Попробуйте перейти на http://www.MSN.com. Если это не поудается, устраните проблемы с подключением к сети. Для этого выполните следующие действия:
  1. Для устранения проблем с IP-подключением в командной строке используйте средства ipconfig и ping . Дополнительные сведения см. в следующей статье базы знаний Майкрософт:
    169790 Устранение основных проблем с TCP/IP.
  2. В командной строке введите nslookup www.MSN.com , чтобы определить, разрешают ли DNS имена Интернет-серверов.
  3. Убедитесь в том, что параметры прокси-сервера в свойствах браузера отражают соответствующий прокси-сервер, если в локальной сети используется прокси-сервер.
  4. Если брандмауэр Forefront Threat Management Gateway (TMG) установлен на границе сети и для него требуется проверка подлинности клиента, возможно, потребуется установить клиентскую программу Forefront TMG на клиентском устройстве для доступа к Интернету. Обратитесь за помощью к администратору облачной службы.

Решение 2: не удается подключиться к AD FS

Для решения этой проблемы выполните указанные ниже действия.
  1. Устраните проблемы с подключением к IP-адресам с помощью разрешения 1.
  2. В командной строке введите nslookup <доменных имен AD fs 2,0>, а затем нажмите клавишу ВВОД, чтобы определить, правильно ли служба DNS разрешила имя службы AD FS.Примечание. В этой команде <ДОМЕНных имен AD FS> представляет полное доменное имя (FQDN) имени службы AD FS. Оно не представляет имя узла Windows для сервера AD FS.
    1. Если клиент подключен к корпоративной сети, убедитесь в том, что разрешенный IP-адрес является частным IP-адресом. IP-адрес должен соответствовать одному из указанных ниже шаблонов.
      • 10.x.x.x
      • 172.16.x.x
      • 192.168.x.x
    2. Если клиент находится за пределами корпоративной сети, убедитесь, что разрешенный IP-адрес является общедоступным IP-адресом. Убедитесь в том, что он не соответствует одному из следующих шаблонов:
      • 10.x.x.x
      • 172.16.x.x
      • 192.168.x.x
    3. Если разрешенный IP-адрес указан неправильно на этапе 1 и на этапе 2, а другие клиентские компьютеры не работают таким образом, выполните указанные ниже действия.
      1. В командной строке введите ipconfig/allи убедитесь, что основной DNS-сервер подходит для сети, к которой подключен клиент.
      2. Откройте файл%WINDIR%\System32\Drivers\Etc\hosts в блокноте, а затем удалите все записи для доменных имен AD FS. Затем сохраните файл.
      3. В командной строке введите ipconfig/flushdns , чтобы очистить DNS-кэш.
    Примечание. Если клиентские устройства подключены только к корпоративной сети, перейдите к действию 3.
  3. Добавьте полное доменное имя AD FS в список пропускаемых прокси-серверов. Для этого выполните действия, описанные в приведенной ниже статье базы знаний Майкрософт.
    262981 Internet Explorer использует прокси-сервер для локального IP-адреса, даже если включен параметр "не использовать прокси-сервер для локальных адресов"

Решение 3: предупреждение о сертификате при подключении к конечной точке AD FS.

Чтобы устранить эту проблему, устраните неполадки с сертификатом SSL (Secure Sockets Layer) с помощью следующей статьи базы знаний Майкрософт:
2523494  При попытке войти в Office 365, Azure или Intune появляется предупреждение о сертификате из AD FS.  

Решение 4: при входе в систему с клиентского компьютера, подключенного к корпоративной сети, появляется запрос с неожиданными учетными данными.

Для решения этой проблемы выполните указанные ниже действия.
  1. Убедитесь в том, что клиентский компьютер успешно вошел в домен.
    1. Нажмите кнопку Пуск, выберите команду выполнить, введите %LogonServer%\sysvolи нажмите кнопку ОК.
    2. Если появится запрос учетных данных, выйдите из системы и войдите в систему с помощью учетных данных компании.
  2. Добавьте полное доменное имя AD FS в зону "Местная интрасеть".
    1. На вкладке Безопасность щелкните Местная интрасетьи выберите пункт сайты.
    2. Нажмите кнопку Дополнительнои просмотрите список веб-сайтов с полным DNS-именем КОНЕЧНОЙ точки службы AD FS (например, STS.contoso.com). Примечание. В этой конфигурации также будет использоваться подстановочный знак, например "*. consoto.com".
  3. Добавьте полное доменное имя AD FS в список пропускаемых прокси-серверов. Для этого выполните действия, описанные в приведенной ниже статье базы знаний Майкрософт.
    262981 Internet Explorer использует прокси-сервер для локального IP-адреса, даже если включен параметр "не использовать прокси-сервер для локальных адресов"

Решение 5: сторонние веб-браузеры не поддерживают расширенную защиту для проверки подлинности и появляются запросы на проверку подлинности.

Для решения этой проблемы выполните указанные ниже действия.
  1. Используйте Windows Internet Explorer (Internet Explorer поддерживает расширенную защиту для проверки подлинности) вместо стороннего веб-браузера, не поддерживающего расширенную защиту для проверки подлинности.
  2. Если вы используете Internet Explorer не так, как можно сделать так, чтобы служба AD FS принимала запросы от веб-браузеров, не поддерживающих расширенную защиту для проверки подлинности, воспользуйтесь следующей статьей Microsoft Knowledge Base:
    2461628  При входе в Office 365, Azure или Intune у федеративных пользователей периодически запрашиваются учетные данные.

Разрешение 6: сообщение об ошибке "отказано в доступе" при попытке подключиться к login.microsoftonline.com

Важно! В этом разделе содержатся инструкции по изменению реестра. Однако неправильное изменение параметров реестра может привести к возникновению серьезных проблем. Поэтому следует точно выполнять приведенные инструкции. В качестве дополнительной защитной меры перед изменением реестра необходимо создать его резервную копию. Это позволит восстановить реестр в случае возникновения проблем. Дополнительные сведения о создании резервной копии и восстановлении реестра см. в следующей статье базы знаний Майкрософт:
322756 Как создать резервную копию и восстановить реестр в Windows
Проблемы могут возникать, если конечная точка Azure Active Directory, используемая AD FS, недействительна. Убедитесь в том, что конечная точка Федерации не жестко закодирована в реестре каждого сервера в ферме служб федерации AD FS. Чтобы устранить эту проблему, удалите следующий подраздел реестра с помощью редактора реестра:
HKEY_LOCAL_MACHINE\Software\Microsoft\MOCHA\IdentityFederation
Службы AD FS будут возвращаться к правильной конечной точке на основе отношения доверия с проверяющей стороной единого входа.

Разрешение 7: сброс отключенной конечной точки службы AD FS для параметра "Конфигурация по умолчанию"

Дополнительные сведения об этом см. в следующей статье базы знаний Майкрософт:
2712957  Вход в Office 365, Azure или Intune завершается сбоем после изменения конечной точки службы федерации 
Требуется дополнительная помощь? Перейдите на веб-сайт сообщества Майкрософт и форум Azure Active Directory .