Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Problembeschreibung
Verbundbenutzer auf Apple iOS-Geräten mit gültigen Benutzerzertifikaten erkennen, dass sie keine zertifikatbasierte Authentifizierung (Certificate-Based Authentication, CBA) für Die Microsoft Entra-ID ausführen können. Verbundbenutzer auf Android- und Windows-Geräten können sich jedoch mithilfe von CBA erfolgreich authentifizieren. Dieselben iOS-Benutzer haben keine Probleme, wenn sie sich mithilfe ihres Benutzernamens und Kennworts authentifizieren.
Dies ist die typische Erfahrung für iOS-Benutzer, die sich nicht authentifizieren können, wenn sie sich bei ADAL-fähigen Office-App lizenzen unter iOS anmelden:
- Der Benutzer durchläuft die Office-App Einrichtungsumgebung. Auf der Anmeldeseite "Office365" wählt der Benutzer die Anmeldung aus.
- Die ADAL-Anmeldeseite wird angezeigt, auf der der Benutzer seine Verbund-E-Mail-Adresse eingibt und dann "Weiter" auswählt.
- Der ADAL-Anmeldevorgang hängt auf einer leeren Seite auf, bis es zu einem Ausbruch kommt und gibt ein "Es gibt ein Problem mit Ihrem Konto. Versuchen Sie es später erneut". Diese Seite enthält die Option zum Tippen auf "OK".
- Wenn der Benutzer auf "OK" tippt, befindet er sich auf derselben leeren Anmeldeseite mit der Option oben, um auf "Zurück" zu tippen.
- Wenn Sie auf "Zurück" tippen, wird der Benutzer zur ADAL-Anmeldeseite zurückgegeben, auf der der Vorgang vollständig gestartet wird: Der Benutzer wird aufgefordert, seine Verbund-E-Mail-Adresse einzugeben, und wählt dann "Weiter" aus.
- Durch Tippen auf "OK" wird ein leerer Anmeldebildschirm angezeigt, auf dem der Benutzer seinen UserPrincipalName eingeben und den Vorgang wiederholen kann.
Um Office-App lizenzierungen als Faktor zu beseitigen, empfehlen wir, Verbundbenutzer in einer iOS-Umgebung zertifikatbasierte Authentifizierung im Safari-Browser zu testen, indem Sie die Schritte im Abschnitt "Weitere Informationen" ausführen. Die typische Erfahrung für iOS-Benutzer, die sich nicht über einen Safari-Browser authentifizieren https://portal.office.com können, lautet wie folgt:
Der Benutzer wird nicht wie erwartet aufgefordert, die Verwendung seines Benutzerzertifikats zu genehmigen, nachdem er die Anmeldung mit einem X.509-Zertifikatlink ausgewählt hat.
Der Verbundbenutzer befindet sich entweder auf einer nicht reagierenden STS-Anmeldeseite oder wechselt zur Standard-STS-Anmeldeseite, auf der er wie folgt aufgefordert wird:
Wählen Sie ein Zertifikat aus, das Sie für die Authentifizierung verwenden möchten. Wenn Sie den Vorgang abbrechen, schließen Sie Ihren Browser, und versuchen Sie es erneut.
Hinweis : Wenn andere Authentifizierungsmethoden in AD FS aktiviert sind, wird den Benutzern auch ein Link mit dem Hinweis "Anmelden mit anderen Optionen" angezeigt. Wenn sie diesen Link auswählen, kehren sie zur STS-Anmeldeseite zurück.
Beide Erfahrungen schlagen mit dem folgenden Fehler fehl:
Safari konnte die Seite nicht öffnen, da der Server nicht mehr reagierte.
Ursache
Die Zertifikatkette ist unvollständig, da das ausstellende untergeordnete Zertifizierungsstellenzertifikat nicht wie erwartet vom Gerät abgerufen wird, wenn die MDM-Richtlinie nur das Stammzertifikat zusammen mit dem SCEP-Profil an das Apple-Gerät überträgt.
Das iOS-Gerät erwirbt die CRT-Datei nicht ordnungsgemäß von der Ausstellenden Zertifizierungsstelle, obwohl der AIA-Pfad des Benutzerzertifikats über eine gültige URL verfügt, die auf die Datei "*.crt" in der untergeordneten Zertifizierungsstelle "*.crt" verweist.
Lösung
Wenn der Kunde Intune zum Verwalten des Geräts verwendet, empfehlen Sie ihnen, eine neue Konfigurationsrichtlinie für ein vertrauenswürdiges iOS-Stammzertifikat zu erstellen, das auf das *der Zwischenzertifizierungsstellen verweist. CER-Datei. Bitten Sie sie dann, das Unternehmensportal auf dem Gerät zu öffnen und die Richtlinie zu aktualisieren. Die Verbindung sollte jetzt erfolgreich sein.
Weitere Informationen
Wenn Sie eine "Apple-Konfigurator 2"-Ablaufverfolgung von einem OS X-Client, der mit dem iPad verbunden ist, mit dem Blitzkabel aufnehmen, ähnelt das Ablaufverfolgungsprotokoll dem folgenden Beispiel:
Nov 2 15:53:49 CSSs-iPad MobileSafari(Accounts)[618] <Notice>: __51-[ACRemoteAccountStoreSession _configureConnection]_block_invoke.62 (57) "The connection to ACDAccountStore was invalidated."
Nov 2 15:53:49 CSSs-iPad MobileSafari(ProtectedCloudStorage)[618] <Notice>: KeychainGetStatus(PCSiCloudServiceMarkerName): keychain: -25300
Nov 2 15:53:49 CSSs-iPad MobileSafari(ProtectedCloudStorage)[618] <Notice>: KeychainGetStatus(PCSiCloudServiceMarkerName): status: off
Nov 2 15:53:49 CSSs-iPad accountsd(AccountsDaemon)[216] <Notice>: -[ACDServer listener:shouldAcceptNewConnection:] (320) "<private> (<private>) received"
Nov 2 15:53:49 CSSs-iPad MobileSafari(ProtectedCloudStorage)[618] <Notice>: PCSIdentitySetCreate: CloudKit { kPCSSetupDSID = "<<VALUE>>";
}
Nov 2 15:53:49 CSSs-iPad MobileSafari(Accounts)[618] <Notice>: __51-[ACRemoteAccountStoreSession _configureConnection]_block_invoke.62 (57) "The connection to ACDAccountStore was invalidated."
Nov 2 15:53:49 CSSs-iPad MobileSafari(ProtectedCloudStorage)[618] <Notice>: KeychainGetStatus(PCSiCloudServiceMarkerName): keychain: -25300
Nov 2 15:53:49 CSSs-iPad MobileSafari(ProtectedCloudStorage)[618] <Notice>: KeychainGetStatus(PCSiCloudServiceMarkerName): status: off
Nov 2 15:53:49 CSSs-iPad MobileSafari(ProtectedCloudStorage)[618] <Notice>: PCSIdentitySetCreate: CloudKit { kPCSSetupDSID = "<<VALUE>>";
}
...
Nov 2 15:54:33 CSSs-iPad com.apple.WebKit.Networking(libsystem_network.dylib)[619] <Info>: nw_connection_endpoint_report [8 sts.<name>.info:49443 in_progress resolver (satisfied)] reported event flow:finish_transport
Nov 2 15:54:33 CSSs-iPad com.apple.WebKit.Networking(CFNetwork)[619] <Notice>: TIC TCP Conn Cancel [1:0x13dd17990]
Nov 2 15:54:33 CSSs-iPad com.apple.WebKit.Networking(libsystem_network.dylib)[619] <Info>: nw_endpoint_handler_cancel [1 portal.office.com:443 ready resolver (satisfied)]
Nov 2 15:54:33 CSSs-iPad com.apple.WebKit.Networking(libsystem_network.dylib)[619] <Info>: nw_endpoint_handler_cancel [1.1 13.107.7.190:443 ready socket-flow (satisfied)]
Nov 2 15:54:33 CSSs-iPad com.apple.WebKit.Networking(libsystem_network.dylib)[619] <Notice>: __nw_socket_service_writes_block_invoke sendmsg(fd 4, 85 bytes): socket has been closed
Nov 2 15:54:33 CSSs-iPad com.apple.WebKit.Networking(libsystem_network.dylib)[619] <Info>: nw_endpoint_flow_protocol_disconnected [1.1 13.107.7.190:443 cancelled socket-flow (null)] Output protocol disconnected
Nov 2 15:54:33 CSSs-iPad com.apple.WebKit.Networking(CFNetwork)[619] <Notice>: TIC TCP Conn Destroyed [1:0x13dd17990]
Nov 2 15:54:33 CSSs-iPad com.apple.WebKit.Networking(CFNetwork)[619] <Notice>: TIC TLS Event [8:0x13dd4e0c0]: 2, Pending(0)
Nov 2 15:54:33 CSSs-iPad com.apple.WebKit.Networking(CFNetwork)[619] <Notice>: TIC TLS Event [8:0x13dd4e0c0]: 11, Pending(0)
Nov 2 15:54:33 CSSs-iPad com.apple.WebKit.Networking(CFNetwork)[619] <Notice>: TIC TLS Event [8:0x13dd4e0c0]: 12, Pending(0)
Nov 2 15:54:33 CSSs-iPad com.apple.WebKit.Networking(CFNetwork)[619] <Notice>: TIC TLS Event [8:0x13dd4e0c0]: 13, Pending(0)
Nov 2 15:54:34 CSSs-iPad securityd[88] <Notice>: items matching issuer parent: Error Domain=NSOSStatusErrorDomain Code=-25300 "no matching items found" UserInfo={NSDescription=no matching items found}