Zaloguj się do programu Visual Studio przy użyciu kont, które wymagają uwierzytelniania wieloskładnikowego (MFA)

Z tego artykułu dowiesz się, jak używać programu Visual Studio z kontami wymagającymi uwierzytelniania wieloskładnikowego (MFA).

Dlaczego warto włączyć zasady uwierzytelniania wieloskładnikowego?

Podczas współpracy z zewnętrznymi użytkownikami-gośćmi warto chronić aplikacje i dane przy użyciu zasad dostępu warunkowego, takich jak uwierzytelnianie wieloskładnikowe (MFA).

Po włączeniu użytkownicy-goście będą potrzebować więcej niż tylko nazwy użytkownika i hasła w celu uzyskania dostępu do zasobów i muszą spełniać dodatkowe wymagania dotyczące zabezpieczeń. Zasady uwierzytelniania wieloskładnikowego można wymusić na poziomie dzierżawy, aplikacji lub pojedynczego użytkownika-gościa w taki sam sposób, w jaki są one włączone dla członków własnej organizacji.

Uwaga

Wersje programu Visual Studio wcześniejsze niż 16.6 mogą mieć obniżoną wydajność uwierzytelniania w przypadku użycia z kontami z włączonymi zasadami urzędu certyfikacji, takimi jak uwierzytelnianie wieloskładnikowe, i są skojarzone z co najmniej dwiema dzierżawami.

Te problemy mogą spowodować, że wystąpienie programu Visual Studio będzie monitować o ponowne uwierzytelnienie wiele razy dziennie. Może być konieczne ponowne wprowadzenie poświadczeń dla wcześniej uwierzytelnionych dzierżaw, nawet w trakcie tej samej sesji programu Visual Studio.

Używanie programu Visual Studio z zasadami uwierzytelniania wieloskładnikowego

W programie Visual Studio 2022 w wersji 17.11 broker uwierzytelniania systemu Windows jest teraz domyślnym przepływem pracy do dodawania i ponownego uwierzytelniania kont w programie Visual Studio.

Broker uwierzytelniania systemu Windows korzysta z Menedżera kont sieci Web (WAM) i oferuje wiele korzyści, takich jak bezpieczeństwo, ulepszona obsługa uwierzytelniania wieloskładnikowego i bezproblemowa integracja między kontami dodanymi do systemu operacyjnego i programu Visual Studio. Użycie WAM jako mechanizmu uwierzytelniania w programie Visual Studio ułatwia dostęp do zasobów zabezpieczonych za pośrednictwem zasad urzędu certyfikacji, takich jak uwierzytelnianie wieloskładnikowe.

Jeśli wystąpią jakiekolwiek problemy z używaniem WAM, zalecamy użycie przeglądarki internetowej System jako alternatywy do dodawania i ponownego uwierzytelniania kont programu Visual Studio.

Ostrzeżenie

Nieużywanie tego przepływu pracy może spowodować obniżoną wydajność, co spowoduje wyświetlenie wielu dodatkowych monitów uwierzytelniania podczas dodawania lub ponownego uwierzytelniania kont programu Visual Studio.

Korzystanie z brokera uwierzytelniania systemu Windows

Aby rozpocząć korzystanie z WAM jako mechanizmu uwierzytelniania w programie Visual Studio:

1. Aktualizacja do programu Visual Studio 2022 w wersji 17.11 lub nowszej.

2. Po wyświetleniu monitu wybierz konto w oknie dialogowym WAM. Jeśli twoje konto nie znajduje się na liście, dodaj je przy użyciu pozycji Dodaj konto.

   

Konta można zarządzać za pomocą okna dialogowego Ustawienia konta w programie Visual Studio.

Używanie Menedżera kont systemu Windows (WAM) jako mechanizmu uwierzytelniania w programie Visual Studio jest zalecanym przepływem pracy do dodawania i ponownego uwierzytelniania kont. Jeśli jednak wystąpią jakiekolwiek problemy z używaniem WAM, możesz przełączyć się na korzystanie z systemowej przeglądarki internetowej.

Włączanie systemowej przeglądarki internetowej

Uwaga

Aby uzyskać najlepsze środowisko, zalecamy wyczyszczenie domyślnych danych przeglądarki internetowej systemu przed kontynuowaniem tego przepływu pracy. Ponadto jeśli masz konta służbowe w ustawieniach systemu Windows 10 w obszarze Dostęp do miejsca pracy lub nauki, sprawdź, czy są one prawidłowo uwierzytelnione.

Aby włączyć systemowy przepływ pracy przeglądarki internetowej, przejdź do okna dialogowego Opcje programu Visual Studio (Opcje narzędzi>...), wybierz kartę Konta i wybierz pozycję System web browser z listy rozwijanej Dodaj i ponownie uwierzytelnij konta przy użyciu: .

Logowanie się do dodatkowych kont przy użyciu zasad uwierzytelniania wieloskładnikowego

Możesz zalogować się lub dodać konta do programu Visual Studio za pomocą karty profilu lub okna dialogowego Ustawienia konta (Ustawienia konta plików>...).

Broker uwierzytelniania systemu Windows

Po włączeniu przepływu pracy brokera uwierzytelniania systemu Windows możesz zalogować się lub dodać konta do programu Visual Studio, jak zwykle. Menedżer kont sieci Web (WAM) upraszcza logowanie, umożliwiając użytkownikom logowanie się przy użyciu kont znanych z systemu Windows, takich jak konto zalogowane do sesji systemu Windows.

Systemowa przeglądarka internetowa

Po włączeniu przepływu pracy przeglądarki internetowej można zalogować się lub dodać konta do programu Visual Studio, tak jak zwykle.

Ta akcja spowoduje otwarcie domyślnej przeglądarki internetowej systemu, wyświetlenie monitu o zalogowanie się na koncie i zweryfikowanie wszelkich wymaganych zasad uwierzytelniania wieloskładnikowego.

Podczas procesu logowania może zostać wyświetlony dodatkowy monit z prośbą o pozostanie zalogowanym. Ten monit prawdopodobnie pojawi się po raz drugi podczas logowania się na koncie. Aby zminimalizować konieczność ponownego wprowadzenia poświadczeń, zalecamy wybranie opcji Tak, ponieważ gwarantuje to zachowanie poświadczeń w sesjach przeglądarki.

Na podstawie działań programistycznych i konfiguracji zasobów może być nadal wyświetlany monit o ponowne wprowadzenie poświadczeń podczas sesji. Taka sytuacja może wystąpić, gdy dodasz nowy zasób lub spróbujesz uzyskać dostęp do zasobu bez wcześniejszego spełnienia wymagań dotyczących autoryzacji urzędu certyfikacji/uwierzytelniania wieloskładnikowego.

Ponowne uwierzytelnianie konta

Jeśli wystąpił problem z kontem, program Visual Studio może poprosić o ponowne wprowadzenie poświadczeń konta.

Kliknięcie pozycji Ponownie wprowadź poświadczenia spowoduje otwarcie domyślnej przeglądarki internetowej systemu i próba automatycznego odświeżenia poświadczeń. Jeśli nie powiedzie się, zostanie wyświetlony monit o zalogowanie się do konta i zweryfikowanie wszelkich wymaganych zasad urzędu certyfikacji/uwierzytelniania wieloskładnikowego.

Jeśli Twoje konto jest skojarzone z wieloma katalogami usługi Azure Active Directory i napotka problem z dostępem z co najmniej jednym z nich, w oknie dialogowym Ponowne wprowadzanie poświadczeń zostanie wyświetlone powiązane katalogi i skojarzone kody błędów usługi AADSTS.

Będzie można cofnąć wybór wszystkich katalogów, których nie chcesz ponownie uwierzytelniać i kontynuować regularne logowanie przy użyciu katalogu macierzystego, a także wszystkich wybranych dzierżaw gości. Usunięte katalogi nie będą dostępne do użytku w przyszłości, dopóki filtr konta nie zostanie usunięty.

Uwaga

Aby uzyskać najlepsze środowisko, zachowaj otwartą przeglądarkę, dopóki wszystkie zasady urzędu certyfikacji/uwierzytelniania wieloskładnikowego nie zostaną zweryfikowane dla zasobów. Zamknięcie przeglądarki może spowodować utratę wcześniej utworzonego stanu uwierzytelniania wieloskładnikowego i może spowodować wyświetlenie monitów o dodatkową autoryzację.

Rozwiązywanie problemów z logowaniem

Problemy dotyczące urzędu certyfikacji/uwierzytelniania wieloskładnikowego

Jeśli występują problemy z urzędem certyfikacji/uwierzytelnianiem wieloskładnikowym lub nie można się zalogować nawet w przypadku korzystania z systemowej przeglądarki internetowej, spróbuj wykonać następujące kroki, aby rozwiązać ten problem:

1. Wyloguj się z konta w programie Visual Studio.
2. Wybierz pozycję Narzędzia>Opcje>Konta> usuń zaznaczenie pola wyboru Uwierzytelnij we wszystkich katalogach usługi Azure Active Directory.
3. Zaloguj się ponownie.

Uwaga

Po wykonaniu tych kroków prawdopodobnie będzie można się zalogować, ale twoje konto zostanie umieszczone w stanie odfiltrowany. W stanie filtru tylko domyślna dzierżawa i zasoby twojego konta będą dostępne. Wszystkie inne dzierżawy i zasoby firmy Microsoft Entra staną się niedostępne, ale można je ręcznie dodać z powrotem.

Problemy z autoryzacją wstępną

Począwszy od programu Visual Studio 2022 w wersji 17.5, jeśli zostanie wyświetlone poprzednie okno dialogowe błędu, spróbuj wykonać następujące kroki, aby rozwiązać ten problem:

1. Wyloguj się z konta w programie Visual Studio.
2. Zaloguj się ponownie.
3. Utwórz nowy bilet Zgłoś problem wyjaśniający wykonywane działanie i/lub zasób, do którego próbowano uzyskać dostęp przed napotkaniem problemu.

Uwaga

Utworzenie biletu pomoże nam zidentyfikować problematyczne obszary i udostępnić potrzebne dzienniki do zbadania i rozwiązania problemu.

Błędy menedżera kont sieci Web (WAM)

Jeśli wystąpią błędy podczas korzystania z przepływu pracy brokera uwierzytelniania systemu Windows do logowania się do programu Visual Studio, wykonaj akcję wymienioną w oknie dialogowym błędu, aby rozwiązać lub zgłosić problem. Skorzystaj z linków w oknie dialogowym, aby dowiedzieć się więcej o błędzie lub wyświetlić dzienniki błędów.

Błąd modułu TPM (trusted platform Module)

Jeśli na przykład zostanie wyświetlone następujące okno dialogowe błędu, możesz spróbować rozwiązać ten problem, postępując zgodnie z instrukcjami rozwiązywania problemów z błędem modułu TPM.

Jeśli musisz przełączyć się na mechanizm uwierzytelniania inny niż Broker systemu Windows, możesz przełączyć się, postępując zgodnie z instrukcjami, aby włączyć systemową przeglądarkę internetową. Jeśli te instrukcje nie działają i masz umowę pomocy technicznej, otwórz bilet pomocy technicznej w pomocy technicznej

Jak zrezygnować z korzystania z określonej dzierżawy usługi Microsoft Entra w programie Visual Studio

Program Visual Studio 2019 w wersji 16.6 lub nowszej oferuje elastyczność filtrowania dzierżaw indywidualnie lub globalnie, co pozwala skutecznie ukrywać je w programie Visual Studio. Filtrowanie eliminuje konieczność uwierzytelniania w tej dzierżawie, ale oznacza to również, że nie będzie można uzyskać dostępu do żadnych skojarzonych zasobów.

Ta funkcja jest przydatna, gdy masz wiele dzierżaw, ale chcesz zoptymalizować środowisko deweloperskie, kierując się do określonego podzestawu. Może również pomóc w wystąpieniach, gdy nie można zweryfikować określonych zasad urzędu certyfikacji/uwierzytelniania wieloskładnikowego, ponieważ można odfiltrować dzierżawę powodującą naruszenia.

Jak odfiltrować wszystkie dzierżawy

Aby globalnie odfiltrować wszystkie dzierżawy, otwórz okno dialogowe Ustawienia konta (Ustawienia konta plików > ... > Opcje konta) i usuń zaznaczenie pola wyboru Uwierzytelnij we wszystkich katalogach usługi Azure Active Directory.

Usunięcie zaznaczenia tej opcji gwarantuje, że uwierzytelnisz się tylko przy użyciu domyślnej dzierżawy konta. Oznacza to również, że nie będzie można uzyskać dostępu do żadnych zasobów skojarzonych z innymi dzierżawami, na których twoje konto może być gościem.

Jak odfiltrować poszczególne dzierżawy

Aby filtrować dzierżawy skojarzone z kontem programu Visual Studio, otwórz okno dialogowe Ustawienia konta (Ustawienia konta plików > ...) i kliknij pozycję Zastosuj filtr.

Zostanie wyświetlone okno dialogowe Filtrowanie konta , umożliwiające wybranie dzierżaw, których chcesz używać z kontem.

Po usunięciu zaznaczenia dzierżawy, aby filtrować, okna dialogowe Ustawienia konta i Filtruj będą wyświetlane stan filtrowany.

Błędy sieci w programie Visual Studio

Podczas logowania program Visual Studio może napotkać błędy związane z siecią, które zwykle nie są problemami z produktem Visual Studio i mogą być badane przez lokalną pomoc techniczną IT.

Błąd "Wymagana autoryzacja serwera proxy

Jeśli maszyna lub organizacja używa środków zabezpieczeń, takich jak zapora lub serwer proxy, upewnij się, że spełniasz wymagania dotyczące używania programu Visual Studio za serwerem proxy lub zaporą.

Błędy protokołu SSL

Błędy SSL mogą występować w różnych formach. Niektóre przykłady:

• "Połączenie bazowe zostało zamknięte"
• "Nie można ustanowić połączenia SSL"
• "Nie można utworzyć bezpiecznego kanału SSL/TLS"
• "Istniejące połączenie zostało wymuszone przez hosta zdalnego. (Może to być również spowodowane blokowaniem połączenia przez zapory)
• "Połączenie bazowe zostało zamknięte: wystąpił nieoczekiwany błąd podczas wysyłania"

Te błędy mogą być spowodowane następującymi przyczynami:

1. Firmowy serwer proxy lub zapora blokująca niektóre wersje protokołu TLS
2. Protokół TLS 1.3 jest włączony na maszynie, ale sieć nie obsługuje go. Możesz spróbować wyłączyć protokół TLS 1.3 na maszynie, aby sprawdzić, czy tak jest.
3. Zasady grupy ograniczające dozwolone algorytmy SSL i ta lista dozwolonych nie jest zgodna z oczekiwaniami serwera.

Następujące zasoby mogą być przydatne do rozwiązywania problemów z protokołem SSL:

• Narzędzie sprawdzania gotowości do przejścia protokołu TLS 1.2 w usłudze Azure DevOps
• Najlepsze rozwiązania dotyczące protokołu Transport Layer Security (TLS) w programie .NET Framework
• Ustawienia rejestru TLS

Wyłączanie protokołu TLS 1.3

1.3: [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.3\Client] "DisabledByDefault"=dword:00000001 "Enabled"=dword:00000000

Błędy odmowy połączenia

"Nie można nawiązać połączenia, ponieważ maszyna docelowa aktywnie go odmówiła"

Ten błąd oznacza, że gdy program Visual Studio próbuje nawiązać połączenie z internetowym punktem końcowym, maszyna odmówiła połączenia.

Typowe przyczyny:

• Jeśli adres "127.0.0.1" znajduje się w komunikacie o błędzie, oznacza to, że podjęto próbę nawiązania połączenia z lokalnym serwerem proxy, ale lokalny serwer proxy nie był uruchomiony.

• Połączenie sieci VPN — spróbuj odłączyć się od wszystkich sieci VPN i spróbuj ponownie nawiązać połączenie. Jeśli tak się stanie, należy postępować zgodnie z dostawcą sieci VPN lub administratorem sieci. Obejmuje to firmową sieć VPN lub usługi sieci VPN innych firm.

• DNS — wyszukiwanie domeny na maszynie zostało rozpoznane jako adres, który nie wskazuje oczekiwanego serwera. Oznacza to, że połączenie przechodzi do innej maszyny, na którym nie są uruchomione oczekiwane usługi i odmawia połączenia. Aby debugować ten problem, możesz użyć narzędzi, takich jak NsLookup i porównać go z zakresami adresów IP platformy Azure i tagami usługi.

• IPV6 — niektóre komputery mają włączony protokół IPV6, ale sieć nie obsługuje protokołu. W takim przypadku może zostać wyświetlony komunikat o odmowie połączenia, ponieważ nie można odnaleźć serwera. Spróbuj wyłączyć protokół IPV6 na maszynie, aby sprawdzić, czy połączenie działa.

• Problemy z protokołem SSL — zobacz Błędy protokołu SSL.

• Serwer proxy lub zapory w sieci — jeśli istnieje serwer proxy lub zapora w sieci, będzie to pierwsze urządzenie, z którymi próbuje nawiązać połączenie, i może to być jedno odmawiające połączenia. Możesz określić, czy zapora lub serwer proxy blokują połączenia, pytając administratora sieci. Alternatywnie, patrząc na ślady sieci, może wskazywać, na której maszynie jest wykonywane połączenie, i określić, kto go odmawia. Jeśli jest to adres sieci wewnętrznej, oznacza to, że serwer proxy lub zapora zablokowała połączenie. Jeśli jest to zewnętrzny adres IP, zwykle oznacza to problemy z usługą DNS, IPV6 lub SSL.

Obsługa problemów związanych z siecią

Problemy związane z siecią są zwykle związane z konfiguracją maszyny lub sieci, a nie z programem Visual Studio. Społeczność deweloperów może zapewnić obsługę, ale koncentruje się na funkcjach w programie Visual Studio, a nie na konfiguracji komputera. W przypadku pomocy technicznej specyficznej dla sieci pomoc techniczna może być pomocna pomoc techniczna firmy Microsoft Społeczność lub Pomoc techniczna.

Powiązana zawartość

• Logowanie do programu Visual Studio