使用單一登入來登入 Office 365、Azure 或 Intune 不適用於某些裝置

問題

當您嘗試透過 web 用戶端或胖用戶端應用程式使用同盟帳戶來存取 Microsoft 雲端服務(例如 Office 365、Microsoft Azure 或 Microsoft Intune)時,驗證無法從特定的用戶端電腦進行。 當您使用網頁瀏覽器從相同的電腦使用同盟帳戶存取雲端服務入口網站時,您可能會遇到下列其中一種症狀:

  • 當您連線至入口網站端點時,您會收到下列其中一則錯誤訊息:

    Internet Explorer 無法顯示網頁。

    找不到403頁面

  • 當您連線到 Active Directory Federation Services (AD FS)端點時,您會收到下列其中一則錯誤訊息:

    Internet Explorer 無法顯示網頁

    找不到403頁面

  • 當您連線到 AD FS 端點時,會收到憑證警告。

  • 當您登入公司網域時,當您連線到 AD FS 端點時,您會收到單一認證提示。 此提示您的認證不使用以表單為基礎的驗證。

  • 當您使用協力廠商網頁瀏覽器連線到 AD FS 端點時,您會收到迴圈驗證提示。 這些提示不使用以表單為基礎的驗證。

  • 當您連線到 login.microsoftonline.com 端點時,您會收到下列錯誤訊息:

    拒絕存取

原因

通常,這個問題會發生在用戶端電腦或一組用戶端裝置上。 如果單一登入(SSO)無法完整運作,則所有使用者和用戶端電腦可能會發生這個問題。 如果用戶端設定未正確設定,SSO 可能無法完整運作。 下列用戶端裝置情況可能會造成此問題:

  • 網路連線能力可能會受到限制。

  • 用戶端裝置從內部的分割大腦 DNS 實現,收到的 AD FS Federation services 的名稱解析不正確。

  • 如果電腦上已設定網際網路 proxy 伺服器,則無法將 AD FS 識別身分同盟服務名稱新增至 proxy 旁路清單中。

  • 在 [網際網路選項設定] 中,可能無法將 [AD FS 同盟服務名稱] 新增至 [本機內部網路安全區域]。

  • 用戶端電腦未針對 Active Directory 網域服務進行驗證。

  • 協力廠商網頁瀏覽器不支援針對 AD FS Federation services 驗證的延伸保護。

  • 由於 SSO 管理工具的舊版 Office 365 Beta 安裝,同盟中繼資料端點可能會硬編碼在註冊表中。

  • 特定用戶端應用程式所需的 AD FS 服務端點已停用。

繼續之前,請確認下列條件成立:

  • 存取問題不限於用戶端電腦上的胖用戶端應用程式。 如果只有胖用戶端驗證(而不是以瀏覽器為基礎的驗證)無法運作,則很可能會造成豐富的用戶端驗證問題。 例如,這可能是與先決條件或胖用戶端應用程式設定有關的問題。 如需詳細資訊,請參閱下列「Microsoft 知識庫」文章:

    2637629  如何針對無法登入 Office 365、Azure 或 Intune 的非瀏覽器應用程式進行疑難排解

  • 所有啟用 SSO 的使用者帳戶都無法使用 SSO 驗證。 如果所有啟用 SSO 的使用者都遇到相同的症狀,則更可能表示同盟問題。 如需詳細資訊,請按一下下面的文章編號,檢視「Microsoft 知識庫」中的文章:

    2530569  針對 Office 365、Intune 或 Azure 中的單一登入設定問題進行疑難排解

  • 使用者帳戶的 SSO 驗證成功在其他用戶端電腦上。 如果使用者帳戶無法登入任何雲端服務用戶端,請參閱本文稍後的涉及用戶端電腦的解決方法。 此外,探索使用者帳戶無法使用的問題,而不是用戶端電腦的可能性。 如需詳細資訊,請按一下下面的文章編號,檢視「Microsoft 知識庫」中的文章:

    2530590  Office 365、Azure 或 Intune 中的聯盟使用者帳戶問題的疑難排解

  • 用戶端電腦上的鍵盤運作正常,且需要的使用者名稱和密碼已正確輸入。

若要解決此問題,請根據問題的原因,使用下列一或多個方法。

解決方法1:無法連線到雲端服務入口網站或 AD FS 

嘗試流覽至 HTTP://www.msn.com。 如果這不起作用,請針對網路連線問題進行疑難排解。 若要執行這項操作,請依照下列步驟執行:

  1. 在命令提示字元中,使用 [ ipconfig ] 和 [ ping 工具] 來針對 IP 連線進行疑難排解。 如需詳細資訊,請參閱下列「Microsoft 知識庫」文章:

    169790 如何針對基本 TCP/IP 問題進行疑難排解。

  2. 在命令提示字元中,輸入 nslookup www.msn.com ,以判斷 DNS 是否正在解析網際網路伺服器名稱。

  3. 如果在本機網路中使用 proxy 伺服器,請確定 [網際網路選項 proxy 設定] 會反映適當的 proxy 伺服器。

  4. 如果在網路邊界上安裝了 Forefront 威脅管理閘道(TMG)防火牆,且防火牆需要用戶端驗證,您可能必須在用戶端裝置上安裝 Forefront TMG 用戶端程式來進行網際網路存取。 請與您的雲端服務管理員聯繫,以取得協助。

解決方法2:無法連接到 AD FS

如果要解決這個問題,請依照下列步驟執行:

  1. 使用 [解析度 1] 來消除 IP 連通性問題。

  2. 在命令提示字元中,輸入 nslookup <AD FS 2.0 FQDN>,然後按 enter 來判斷 DNS 是否正確解析 AD FS 服務名稱。注意: 在這個命令中,<AD FS FQDN> 代表 AD FS 服務名稱的完整功能變數名稱(FQDN)。 它不代表 AD FS 伺服器的 Windows 主機名稱。

    1. 如果用戶端連接至公司網路,請確認解析的 IP 位址 是 私人 IP 位址。 IP 位址應該符合下列其中一種模式:

      • 10.x.xpci-x

      • 172.16.xpci-x

      • 192.168.xpci-x

    2. 如果用戶端位於公司網路之外,請確定解析的 IP 位址是公用 IP 位址。 確定它 不符合下列 其中一種模式:

      • 10.x.xpci-x

      • 172.16.xpci-x

      • 192.168.xpci-x

    3. 如果解析的 IP 位址不是以步驟1和步驟2為基礎,而其他用戶端電腦不會遇到相同的行為,請執行下列動作:

      1. 在命令提示字元中,輸入 ipconfig/all,然後檢查 主要 DNS 伺服器 專案是否適合與用戶端連接的網路。

      2. 在 [記事本] 中開啟%windir%\system32\drivers\etc\hosts 檔案,然後移除 AD FS FQDN 的任何專案。 然後,儲存檔案。

      3. 在命令提示字元中,輸入 ipconfig/flushdns 以清除 DNS 快取。

    注意: 如果用戶端裝置只連接至公司網路,請移至步驟3。

  3. 將 AD FS FQDN 新增至 Proxy 略過清單。 若要這樣做,請依照下列 Microsoft 知識庫文章中的步驟進行:

    262981 即使開啟了「略過本機位址 Proxy 伺服器」選項,Internet Explorer 也會使用 proxy 伺服器來進行本機 IP 位址

解決方案3:當您連線到 AD FS 端點時的憑證警告

若要解決此問題,請使用 Microsoft 知識庫中的下列文章,以疑難排解安全通訊端層(SSL)憑證問題:

2523494 當您嘗試登入 Office 365、Azure 或 Intune 時,會收到來自 AD FS 的憑證警告

解析度4:當您從已連線至公司網路的用戶端電腦登入時,您會收到單一且不預期的認證提示。

如果要解決這個問題,請依照下列步驟執行:

  1. 確認用戶端電腦已成功登入網域。

    1. 按一下 [ 開始],按一下 [ 執行],輸入 %Logonserver%\sysvol,然後按一下 [確定]

    2. 如果出現認證提示,請先登出,然後再使用公司認證重新登入。

  2. 將 [AD FS FQDN] 新增至 [本機 intranet 區域]。

    1. 按一下 [ 安全性 ] 索引標籤上的 [ 本機內部網路],然後按一下 [ 網站]。

    2. 按一下 [ 高級],然後檢查 網站 清單以取得 AD FS 服務端點的完整 DNS 名稱(例如, sts.contoso.com)。 注意: 萬用字元(例如 "*. consoto.com")也會在此設定中運作。

  3. 將 AD FS FQDN 新增至 Proxy 略過清單。 若要這樣做,請依照下列 Microsoft 知識庫文章中的步驟進行:

    262981 即使開啟了「略過本機位址 Proxy 伺服器」選項,Internet Explorer 也會使用 proxy 伺服器來進行本機 IP 位址

解決方法5:協力廠商網頁瀏覽器不支援針對驗證進行延伸保護,而且您收到迴圈驗證提示

如果要解決這個問題,請依照下列步驟執行:

  1. 使用 Windows Internet Explorer (Internet Explorer 支援驗證的延伸保護),而不是協力廠商網頁瀏覽器,不支援針對驗證的擴充保護。

  2. 如果使用 Internet Explorer 不是選項,請使用下列 Microsoft 知識庫文章來設定 AD FS 接受來自網頁瀏覽器的要求,而不支援針對驗證的延伸保護:

    2461628 在登入 Office 365、Azure 或 Intune 期間,會重複提示聯盟使用者輸入認證

解決方法6:當您嘗試連線至 login.microsoftonline.com 時,出現「拒絕存取」錯誤訊息

重要 本節包含可告訴您如何修改註冊表的步驟。 然而,不當修改登錄可能會發生嚴重的問題。 因此,請務必謹慎地依照這些步驟執行。 為加強保護,請先備份登錄再進行修改。 這樣一來,如果發生問題,您就可以還原登錄。 如需有關如何備份和還原登錄的詳細資訊,請按下列文件編號,檢視「Microsoft 知識庫」中的文章:

322756 如何在 Windows 中備份及還原登錄如果 AD FS 使用的 Azure Active Directory SSO 端點無效,可能會發生問題。 在 AD FS 識別身分同盟服務伺服器陣列中的每個伺服器的登錄中,確認同盟端點沒有硬編碼。若要解決此問題,請使用 [登錄編輯程式] 刪除下列登錄子機碼:

HKEY_LOCAL_MACHINE\Software\Microsoft\MOCHA\IdentityFederationAD FS 將根據 SSO 信賴方信任,回到正確的端點。

解決方法7:將停用的 AD FS 服務端點設定為預設設定

如需如何執行此動作的詳細資訊,請參閱下列 Microsoft 知識庫文章:

2712957 在您變更同盟服務端點後登入 Office 365、Azure 或 Intune 失敗 

是否仍需要協助? 移至 [ Microsoft 社區 ] 或 [ Azure Active Directory 論壇 網站]。

Need more help?

Expand your skills
Explore Training
Get new features first
Join Microsoft Insiders

Was this information helpful?

Thank you for your feedback!

×