Freigeben über

Partnerbenutzer werden unerwartet aufgefordert, Kontoanmeldeinformationen einzugeben.

In diesem Artikel wird ein Szenario beschrieben, in dem ein Verbundbenutzer unerwartet aufgefordert wird, seine Geschäfts-, Schul- oder Unikontoanmeldeinformationen beim Zugriff auf Office 365, Azure oder Microsoft Intune einzugeben.

Ursprüngliche Produktversion: Microsoft Entra ID, Microsoft Intune, Azure Backup, Office 365 Identity Management
Ursprüngliche KB-Nummer: 2535227

Symptome

Wenn sich ein Verbundbenutzer bei Office 365, Microsoft Azure oder Microsoft Intune anmeldet, wird der Benutzer unerwartet aufgefordert, die Anmeldeinformationen des Geschäfts-, Schul- oder Unikontos einzugeben. Nachdem der Benutzer die Anmeldeinformationen eingegeben hat, erhält der Benutzer Zugriff auf den Clouddienst.

Notiz

Nicht alle Benutzerauthentifizierungsfunktionen des Verbunds sind ohne Anmeldeinformationsaufforderung. In bestimmten Szenarien wird beabsichtigt und erwartet, dass Verbundbenutzer aufgefordert werden, ihre Anmeldeinformationen einzugeben. Stellen Sie sicher, dass die Eingabeaufforderung für Anmeldeinformationen unerwartet ist, bevor Sie fortfahren.

Ursache

Dieses Problem kann für interne Domänenclients auftreten, wenn mindestens eine der folgenden Bedingungen zutrifft:

  • Ein interner Client löst den Active Directory-Verbunddienste (AD FS) (AD FS)-Endpunkt in die IP-Adresse des AD FS-Proxydiensts anstelle der IP-Adresse des AD FS-Verbunddiensts auf.
  • Die Sicherheitseinstellungen in Internet Explorer sind nicht für einmaliges Anmelden bei AD FS konfiguriert.
  • Die Proxyservereinstellungen in Internet Explorer sind nicht für einmaliges Anmelden bei AD FS konfiguriert.
  • Der Webbrowser unterstützt keine integrierten Windows-Authentifizierung.
  • Der Clientcomputer kann keine Verbindung mit der lokales Active Directory Domäne herstellen.

Lösung 1: Stellen Sie sicher, dass der DNS-Server über einen Hosteintrag für den AD FS-Endpunkt verfügt

Stellen Sie sicher, dass der DNS-Server über einen Hosteintrag für den AD FS-Endpunkt verfügt, der für den Clientcomputer geeignet ist, der dieses Problem aufweist. Für interne Clients bedeutet dies, dass der interne DNS-Server den AD FS-Endpunktnamen in eine interne IP-Adresse auflösen sollte. Für Internetclients bedeutet dies, dass der Endpunktname in eine öffentliche IP-Adresse aufgelöst werden soll. Führen Sie die folgenden Schritte aus, um dies auf dem Client zu testen:

  1. Wählen Sie "Start" aus, wählen Sie "Ausführen" aus, geben Sie cmd ein, und drücken Sie dann die EINGABETASTE.

  2. Geben Sie an der Eingabeaufforderung den folgenden Befehl ein, wobei der Platzhalter sts.contoso.com den AD FS-Endpunktnamen darstellt:

    nslookup sts.contoso.com

  3. Wenn die Ausgabe des Befehls eine falsche IP-Adresse anzeigt, aktualisieren Sie den A-Eintrag auf dem internen oder externen DNS-Server. Weitere Informationen dazu finden Sie unter Internetbrowser kann die AD FS-Anmeldewebseite für Verbundbenutzer nicht anzeigen, wenn ein Verbundbenutzer versucht, sich bei Office 365, Azure oder Intune anzumelden.

Auflösung 2: Überprüfen der Lokalen Intranetzone und der Proxyservereinstellungen in Internet Explorer

Verwenden Sie eines der folgenden Verfahren, je nach Bedarf für Ihre Situation.

Prozedur A

Überprüfen Sie die Einstellungen für die lokale Intranetzone und die Proxyservereinstellungen in Internet Explorer. Gehen Sie dazu wie folgt vor:

  1. Starten Sie Internet Explorer.

  2. Klicken Sie im Menü Extras auf Internetoptionen.

  3. Wählen Sie die Registerkarte Sicherheit, dann die Zone Lokales Intranet und dann Websites aus.

  4. Wählen Sie im Dialogfeld "Lokales Intranet" die Option "Erweitert" aus. Stellen Sie in der Liste "Websites " sicher, dass ein Eintrag (z sts.contoso.com. B. ) für den vollqualifizierten DNS-Namen des AD FS-Dienstendpunkts vorhanden ist.

  5. Klicken Sie auf Schließen und anschließend auf OK.

    Notiz

    Führen Sie die folgenden zusätzlichen Schritte nur aus, wenn ein Netzwerkadministrator einen Webproxyserver in der lokalen Umgebung konfiguriert hat:

  6. Wählen Sie die Registerkarte "Verbindungen" und dann "LAN-Einstellungen" aus.

  7. Aktivieren Sie unter "Automatische Konfiguration", um das Kontrollkästchen "Einstellungen automatisch erkennen" zu deaktivieren, und aktivieren Sie dann das Kontrollkästchen "Skript für automatische Konfiguration verwenden".

  8. Wählen Sie unter Proxyserver das Kontrollkästchen "Proxyserver für Lan verwenden" aus, geben Sie die Proxyserveradresse und den verwendeten Port ein, und wählen Sie dann "Erweitert" aus.

  9. Fügen Sie unter Ausnahmen Ihren AD FS-Endpunkt (z. B sts.contoso.com. ) hinzu.

  10. Klicken Sie dreimal auf OK.

Verfahren B

Konfigurieren Sie die Sicherheitseinstellungen für die Sicherheitszone in Internet Explorer manuell. Die Standardsicherheitseinstellung, die bewirkt, dass die lokale Intranetzone nicht zur Eingabe von Windows-Authentifizierung aufgefordert wird, kann manuell für jede Sicherheitszone in Internet Explorer konfiguriert werden. Führen Sie die folgenden Schritte aus, um die Sicherheitszone anzupassen, in der der AD FS-Dienstname bereits Teil ist:

Warnung

Diese Konfiguration wird dringend abgeraten, da dies zu einer unbeabsichtigten Übermittlung des integrierten Windows-Authentifizierungsdatenverkehrs an Websites führen könnte.

  1. Starten Sie Internet Explorer.
  2. Wählen Sie im Menü "Extras" Die Internetoptionen aus.
  3. Wählen Sie die Registerkarte "Sicherheit " aus, wählen Sie die Sicherheitszone aus, in der der AD FS-Dienstname bereits enthalten ist, und wählen Sie dann "Benutzerdefinierte Ebene" aus.
  4. Scrollen Sie im Dialogfeld "Sicherheitseinstellungen" nach unten, um den Eintrag "Benutzerauthentifizierung" zu finden.
  5. Wählen Sie unter "Anmeldung" die Option "Automatische Anmeldung mit dem aktuellen Benutzernamen und Kennwort" aus.
  6. wählen Sie zweimal OK aus.

Auflösung 3: Verwenden von Internet Explorer oder einem Webbrowser eines Drittanbieters

Verwenden Sie Internet Explorer oder einen Drittanbieter-Webbrowser, der integrierte Windows-Authentifizierung unterstützt.

Lösung 4: Überprüfen der Verbindung mit Active Directory

Melden Sie sich vom Clientcomputer ab, und melden Sie sich dann als Active Directory-Benutzer an. Wenn die Anmeldung erfolgreich ist, überprüfen Sie die Verbindung mit Active Directory mithilfe des Befehlszeilentools Nltest. Nltest.exe ist in den Remoteserver-Verwaltungstools für Windows 10 enthalten.

  1. Geben Sie an einer Eingabeaufforderung den folgenden Befehl ein, und drücken Sie dann die EINGABETASTE: Nltest /dsgetdc:<FQDN Of Domain> Wenn die Einstellungen korrekt sind, erhalten Sie eine Ausgabe, die wie folgt aussieht:

    DC: \DC.contoso.com Address:\ <IP Address> Dom Guid: <GUID> Dom Name: contoso.com Gesamtstrukturname: contoso.com Dc-Standortname: Default-First-Site-Name Unser Websitename: Default-First-Site-Name Flags: PDC GC DS LDAP KDC TIMESERV GTIMESERV WRITABLE DNS_DC DNS_DOMAIN DNS_FOREST CLOSE_SITE Der Befehl wurde erfolgreich abgeschlossen.

  2. Überprüfen Sie die Websitemitgliedschaft des Computers. Geben Sie dazu den folgenden Befehl ein, und drücken Sie dann die EINGABETASTE: nltest /dsgetsite Ein erfolgreiches Ergebnis sieht wie folgt aus:

    Default-First-Site-Name Der Befehl wurde erfolgreich abgeschlossen

Weitere Informationen

Der Zugriff auf Office 365-Ressourcen mithilfe eines Nicht-Verbundkontos oder eines Verbundkontos über eine öffentliche Internetverbindung führt möglicherweise nicht zu einer Einmaligen Anmeldung.

Die Erfahrung für die Anmeldung bei Microsoft Outlook-Verbindungen wird auch nicht erwartet, dass es sich um eine Einmalige Anmeldung handelt.

Kontaktieren Sie uns für Hilfe

Wenn Sie Fragen haben oder Hilfe mit Ihren Azure-Gutschriften benötigen, dann erstellen Sie beim Azure-Support eine Support-Anforderung oder fragen Sie den Azure Community-Support. Sie können auch Produktfeedback an die Azure Feedback Community senden.