症状
Azure AD 身份验证库 (ADAL) 启用后,用户不能登录到 Skype 的业务,并收到以下错误消息︰
您不能获取签名。它可能是您的登录地址或登录凭据,因此那些再试一次。如果不起作用,请联系您的支持团队。
原因
由于启用集成 Windows 身份验证了 ADAL 安全令牌服务 (STS) 的 url,将出现此问题。因此,用户登录到业务的 Skype 使用不同的用户凭据的帐户登录到操作系统的比。
解决方案
若要解决此问题,请更改 Internet Explorer 受影响的客户端计算机上的"用户身份验证"设置为"提示输入用户名和密码"的安全区域中。为此,使用下列方法之一。
方法 1︰ 更改设置手动
-
在 Internet Explorer 中单击工具,单击Internet 选项,然后单击安全性选项卡。
-
选择包含 STS URL 安全区域。通常,这是本地 Intranet区域。
-
单击自定义级别按钮,然后向下滚动到设置列表的末尾。
-
在用户验证部分中,选择提示输入用户名和密码的选项。
方法 2︰ 使用组策略
使用下面的组策略对象的受影响的客户端计算机推送以下注册表项︰
-
位置︰ HKEY_LOCAL\MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\1
-
值的名称︰ 1A00
-
类型︰ REG_DWORD
-
值︰ 0x10000
0x10000 的值表示"提示输入用户名和密码"设置。
详细信息
当 ADAL 的 STS URL 解析为内部 ADFS 服务器,并在浏览器中启用集成 Windows 身份验证时,计算机的多个用户登录到客户端应用程序可能不会验证尝试登录的次数。若要避免此问题,浏览器必须显式配置来提示用户输入其凭据在给定浏览器安全区域中。例如,展台被以这种方式配置。帐户登录到操作系统,可能不同于用来在登录 Skype 业务客户端的用户帐户。在此情况下,您可能会看到"症状"一节中描述的故障。
如果必须启动业务客户端的 Skype 的用户与不同的信息亭 (即有另一个帐户) 登录到计算机的用户,您可能想要测试打开这些计算机组策略中的用户名称和密码提示选项的方法。