Federasyon kullanıcısına beklenmedik şekilde hesap kimlik bilgilerini girmesi istenir

  • Makale

Bu makalede, federasyon kullanıcısına Office 365, Azure veya Microsoft Intune erişirken beklenmedik şekilde iş veya okul hesabı kimlik bilgilerini girmesinin istendiği bir senaryo açıklanmaktadır.

Özgün ürün sürümü: Microsoft Entra ID, Microsoft Intune, Azure Backup Office 365 Kimlik Yönetimi
Özgün KB numarası: 2535227

Belirtiler

Federasyon kullanıcısı Office 365, Microsoft Azure veya Microsoft Intune oturum açtığında, kullanıcıdan beklenmedik şekilde iş veya okul hesabı kimlik bilgilerini girmesi istenir. Kullanıcı kimlik bilgilerini girdikten sonra kullanıcıya bulut hizmetine erişim izni verilir.

Not

Federasyon kullanıcı kimlik doğrulaması deneyimlerinin tümü kimlik bilgisi istemine sahip değildir. Bazı senaryolarda, tasarım gereğidir ve federasyon kullanıcılarından kimlik bilgilerini girmelerinin istendiği beklenir. Devam etmeden önce kimlik bilgisi isteminin beklenmeyen olduğundan emin olun.

Neden

Bu sorun, aşağıdaki koşullardan biri veya daha fazlası doğruysa iç etki alanı istemcileri için oluşabilir:

  • İç istemci, Active Directory Federasyon Hizmetleri (AD FS) (AD FS) uç noktasını AD FS federasyon hizmetinin IP adresi yerine AD FS proxy hizmetinin IP adresine çözümler.
  • Internet Explorer'daki güvenlik ayarları AD FS'de çoklu oturum açma için yapılandırılmamış.
  • Internet Explorer'daki proxy sunucu ayarları AD FS'de çoklu oturum açma için yapılandırılmamış.
  • Web tarayıcısı tümleşik Windows kimlik doğrulamasını desteklemez.
  • İstemci bilgisayar şirket içi Active Directory etki alanına bağlanamıyor.

1. Çözüm: DNS sunucusunun AD FS uç noktası için bir konak kaydı olduğundan emin olun

DNS sunucusunun AD FS uç noktası için bu sorunla karşılaşan istemci bilgisayara uygun bir konak kaydı olduğundan emin olun. İç istemciler için bu, iç DNS sunucusunun AD FS uç noktası adını bir iç IP adresine çözümlemesi gerektiği anlamına gelir. İnternet istemcileri için bu, uç nokta adının bir genel IP adresine çözümlenmesi gerektiği anlamına gelir. Bunu istemcide test etmek için şu adımları izleyin:

  1. Başlat'ı seçin, Çalıştır'ı seçin, cmd yazın ve enter tuşuna basın.

  2. Komut isteminde aşağıdaki komutu yazın; burada yer tutucu sts.contoso.com AD FS uç noktası adını temsil eder:

    nslookup sts.contoso.com

  3. Komutun çıkışı yanlış bir IP adresi gösteriyorsa, iç veya dış DNS sunucusundaki A kaydını güncelleştirin. Bunun nasıl yapacağı hakkında daha fazla bilgi için bkz. İnternet tarayıcısı federasyon kullanıcıları için AD FS oturum açma web sayfasını görüntüleyemiyor Federasyon kullanıcısı Office 365, Azure veya Intune oturum açmaya çalıştığında İnternet tarayıcısı AD FS web sayfasını görüntüleyemiyor

Çözüm 2: Internet Explorer'da yerel intranet bölgesi ve ara sunucu ayarlarını denetleyin

Durumunuz için uygun olan aşağıdaki yordamlardan birini kullanın.

Yordam A

Internet Explorer'da yerel intranet bölgesi ve ara sunucu ayarlarını denetleyin. Bunu yapmak için şu adımları uygulayın:

  1. Internet Explorer'ı başlatın.

  2. Araçlar menüsünde, İnternet Seçenekleri'ni seçin.

  3. Güvenlik sekmesini seçin, Yerel intranet bölgesini ve ardından Siteler'i seçin.

  4. Yerel intranet iletişim kutusunda Gelişmiş'i seçin. Web Siteleri listesinde, AD FS hizmet uç noktasının tam DNS adı için bir girdinin (örneğinsts.contoso.com) var olduğundan emin olun.

  5. Kapat'ı ve ardından Tamam'ı seçin.

    Not

    Aşağıdaki ek adımları yalnızca ağ yöneticisi şirket içi ortamda bir web proxy sunucusu yapılandırdıysa kullanın:

  6. Connections sekmesini ve ardından LAN Ayarları'nı seçin.

  7. Otomatik yapılandırma'nın altında Ayarları otomatik olarak algıla onay kutusunu temizleyin ve ardından Otomatik yapılandırma betiğini kullan onay kutusunu temizleyin.

  8. Ara sunucu altında, LAN'ınız için ara sunucu kullan onay kutusunu seçin, ara sunucu adresini ve kullandığı bağlantı noktasını yazın ve gelişmiş'i seçin.

  9. Özel Durumlar'ın altında AD FS uç noktanızı (örneğin) sts.contoso.comekleyin.

  10. Üç kez Tamam'ı seçin.

B Yordamı

Internet Explorer'da güvenlik bölgesi için güvenlik ayarlarını el ile yapılandırın. Yerel intranet bölgesinin Windows kimlik doğrulaması istemesine neden olan varsayılan güvenlik ayarı, Internet Explorer'daki herhangi bir güvenlik bölgesi için el ile yapılandırılabilir. AD FS hizmet adının zaten bir parçası olduğu güvenlik bölgesini özelleştirmek için şu adımları izleyin:

Uyarı

Tümleşik Windows Kimlik Doğrulaması trafiğinin web sitelerine istenmeyen bir şekilde gönderilmesine neden olabileceğinden bu yapılandırmayı kesinlikle önerilmez.

  1. Internet Explorer'ı başlatın.
  2. Araçlar menüsünde İnternet seçenekleri'ni seçin.
  3. Güvenlik sekmesini seçin, AD FS hizmet adının zaten bulunduğu güvenlik bölgesini seçin ve ardından Özel düzey'i seçin.
  4. Kullanıcı Kimlik Doğrulaması girdisini bulmak için Güvenlik Ayarları iletişim kutusunda ekranı aşağı kaydırın.
  5. Oturum Aç'ın altında Geçerli kullanıcı adı ve parolayla otomatik oturum açma'yı seçin.
  6. tamam'ı iki kez seçin.

Çözüm 3: Internet Explorer veya üçüncü taraf bir web tarayıcısı kullanma

Internet Explorer'ı veya tümleşik Windows kimlik doğrulamasını destekleyen bir üçüncü taraf web tarayıcısı kullanın.

Çözüm 4: Active Directory bağlantısını doğrulama

İstemci bilgisayardan oturumu kapatın ve ardından Active Directory kullanıcısı olarak oturum açın. Oturum açma başarılı olursa, Nltest komut satırı aracını kullanarak Active Directory bağlantısını doğrulayın. Nltest.exe, Windows 10 için Uzak Sunucu Yönetim Araçları'na dahildir.

  1. Komut isteminde aşağıdaki komutu yazın ve Enter tuşuna basın: Nltest /dsgetdc:<FQDN Of Domain>. Ayarlar doğruysa, aşağıdakine benzer bir çıkış alırsınız:

    DC: \DC.contoso.com Adres:\ <IP Adresi> Dom Guid: <GUID> Dom Adı: contoso.com Orman Adı: contoso.com Dc Site Adı: Default-First-Site-Name Our Site Name: Default-First-Site-Name Flags: PDC GC DS LDAP KDC TIMESERV GTIMESERV WRITABLE DNS_DC DNS_DOMAIN DNS_FOREST CLOSE_SITE Komut başarıyla tamamlandı

  2. Bilgisayarın site üyeliğini denetleyin. Bunu yapmak için aşağıdaki komutu yazın ve Enter tuşuna basın: nltest /dsgetsite. Başarılı bir sonuç aşağıdakine benzer:

    Default-First-Site-Name Komutu başarıyla tamamlandı

Daha fazla bilgi

Office 365 kaynaklarına federasyon hesabı olmayan bir hesap veya genel bir İnternet bağlantısından federasyon hesabı kullanarak erişmek, çoklu oturum açma deneyimine neden olmayabilir.

Microsoft Outlook bağlantılarında oturum açma deneyiminin de çoklu oturum açma deneyimi olması beklenmemektedir.

Yardım için bize ulaşın

Sorularınız veya yardıma ihtiyacınız varsa bir destek isteği oluşturun veya Azure topluluk desteği isteyin. Ürün geri bildirimini Azure geri bildirim topluluğuna da gönderebilirsiniz.