Проблемы при входе в приложение Майкрософт

Приложения Майкрософт (например, Exchange, SharePoint, Yammer и т. д.) назначаются и управляются немного отличается от сторонних приложений SaaS или других приложений, которые интегрируются с Идентификатором Microsoft Entra для единого входа.

Есть три основных способа, с помощью которых пользователь может получить доступ к приложению, опубликованному корпорацией Майкрософт.

• Для приложений в Microsoft 365 или других платных наборах пользователи получают доступ через назначение лицензий напрямую к учетной записи пользователя или через группу с помощью возможности назначения лицензий на основе групп.

• Для приложений, которые корпорация Майкрософт или третья сторона публикуют бесплатно для любого использования, пользователи могут получить доступ через согласие пользователя. Это означает, что они входят в приложение с помощью рабочей или учебной учетной записи Microsoft Entra и позволяют ему иметь доступ к некоторому ограниченному набору данных в своей учетной записи.

• Для приложений, публикуемых корпорацией Майкрософт или сторонними издателями, пользователям также может быть предоставлен доступ через согласие администратора. Это означает, что администратор определил, что приложение может использоваться всеми пользователями организации, поэтому они входят в приложение с учетной записью администратора привилегированных ролей и предоставляют доступ всем пользователям в организации.

Чтобы устранить проблему, начните с Общие проблемные области с доступом к приложениям для рассмотрения, а затем ознакомьтесь с пошаговой инструкцией: шаги для устранения неполадок с доступом в приложение Майкрософт и получения подробной информации.

Общие проблемные области при доступе к приложениям, которые необходимо учитывать

Ниже приведен список общих проблемных областей, которые можно изучить более подробно, если вы поняли, где именно нужно искать, но для быстрого начала работы мы рекомендуем прочитать руководство: Шаги по устранению неполадок с доступом к приложениям Microsoft.

• Проблемы с учетной записью пользователя

• Проблемы с группами

• Проблемы с политиками условного доступа

• Проблемы с согласием приложения

Инструкции по устранению неполадок при доступе к приложениям Майкрософт

Ниже приведены некоторые распространенные проблемы, с которыми пользователи не могут войти в приложение Майкрософт.

• Общие проблемы для первоначальной проверки

  • Убедитесь, что пользователь входит в правильный URL-адрес, а не на URL-адрес локального приложения.

  • Убедитесь, что учетная запись пользователя не заблокирована.

  • Убедитесь, что учетная запись пользователя существует в идентификаторе Microsoft Entra. Проверьте, существует ли учетная запись пользователя в идентификаторе Microsoft Entra

  • Убедитесь, что учетная запись пользователя включена для входа. Проверка состояния учетной записи пользователя

  • Убедитесь, что пароль пользователя не истек или забылся.Сброс пароля пользователя или включение самостоятельного сброса пароля

  • Убедитесь, что многофакторная проверка подлинности не блокирует доступ пользователей. Проверка состояния многофакторной проверки подлинности пользователя или проверка контактных данных для проверки подлинности пользователя

  • Убедитесь, что политика условного доступа или устаревшая политика защиты идентификации не блокирует доступ пользователей. Проверьте определенную политику условного доступа или проверьте политику условного доступа конкретного приложения или отключите определенную политику условного доступа.

  • Убедитесь, что контактные данные для проверки подлинности пользователя актуальны, чтобы разрешить применение многофакторной проверки подлинности или политик условного доступа. Проверка состояния многофакторной проверки подлинности пользователя или проверка контактных данных для проверки подлинности пользователя

• Для приложений Майкрософт, которым требуется лицензия (например, Office365), ниже приведены некоторые конкретные проблемы, чтобы проверить, как только вы исключили общие проблемы, описанные выше:

  • Убедитесь, что пользователю или группе назначена лицензия.Проверьте назначенные лицензии пользователя или проверьте назначенные лицензии группы

  • Если лицензия назначенастатической группе, убедитесь, что пользователь является членом этой группы. Проверка членства в группах пользователя

  • Если лицензия назначена динамическойгруппе, убедитесь, что правило динамической группы задано правильно. Проверка условий членства в динамической группе

  • Если лицензия назначена динамической группе, убедитесь, что динамическая группазавершила обработку его членства и что пользователь является членом (это может занять некоторое время). Проверка членства в группах пользователя

  • Убедившись, что лицензия назначена, убедитесь, что срок действия лицензии не истек.

  • Убедитесь, что лицензия для приложения, к которому они обращаются.

• Для приложений Майкрософт, которые не требуют лицензии, ознакомьтесь с другими сведениями:

  • Если приложение запрашивает разрешения на уровне пользователя (например, "Доступ к почтовому ящику этого пользователя"), убедитесь, что пользователь вошел в приложение и выполнил операцию согласия на уровне пользователя, чтобы разрешить приложению доступ к своим данным.

  • Если приложение запрашивает разрешения на уровне администратора (например, "Доступ ко всем почтовым ящикам пользователя"), убедитесь, что администратор привилегированных ролей выполнил операцию согласия на уровне администратора от имени всех пользователей в организации.

Проблемы с учетной записью пользователя

Доступ к приложению может быть заблокирован из-за проблемы с пользователем, назначенным для приложения. Ниже приведены некоторые способы устранения неполадок, связанных с параметрами учетной записи пользователя.

• Проверьте, существует ли учетная запись пользователя в идентификаторе Microsoft Entra

• Проверка состояния учетной записи пользователя

• Сброс пароля пользователя

• Включить самостоятельный сброс пароля

• Проверка состояния многофакторной проверки подлинности пользователя

• Проверка контактных данных для проверки подлинности пользователя

• Проверка членства в группах пользователя

• Проверка назначенных пользователем лицензий

• Назначение пользователю лицензии

Проверьте, существует ли учетная запись пользователя в идентификаторе Microsoft Entra

Чтобы проверить, существует ли учетная запись пользователя, сделайте следующее:

1. Войдите в Центр администрирования Microsoft Entra как минимум администратор пользователя.

2. Перейдите к Entra ID>пользователи.

3. Найдите пользователя, который вас интересует, и выберите строку с подробными сведениями пользователя.

4. Проверьте свойства объекта пользователя, чтобы убедиться, что они выглядят должным образом и что данные не отсутствуют.

Проверка состояния учетной записи пользователя

Чтобы проверить состояние учетной записи пользователя, сделайте следующее:

1. Войдите в Центр администрирования Microsoft Entra как минимум администратор пользователя.
2. Перейдите к Entra ID>пользователи.
3. Найдите пользователя, который вас интересует, и выберите строку с подробными сведениями пользователя.
4. Выберите профиль.
5. В настройках убедитесь, что блокировка входа установлена на Нет.

Сброс пароля пользователя

Чтобы сбросить пароль пользователя, сделайте следующее:

1. Войдите в Центр администрирования Microsoft Entra как минимум администратор пользователя.
2. Перейдите к Entra ID>пользователи.
3. Найдите пользователя, который вас интересует, и выберите строку с подробными сведениями пользователя.
4. Нажмите кнопку сброса пароля в верхней части области пользователя.
5. Нажмите кнопку "Сброс пароля" в появившейся области сброса пароля .
6. Скопируйте временный пароль или введите новый пароль для пользователя.
7. Сообщите этому новому паролю пользователю. Их может потребоваться изменить этот пароль во время следующего входа в Идентификатор Microsoft Entra.

Включить самостоятельный сброс паролей

Чтобы включить самостоятельный сброс пароля, выполните действия по развертыванию в следующем разделе:

• Разрешить пользователям сбрасывать пароли Microsoft Entra

• Разрешить пользователям сбрасывать или изменять локальные пароли Active Directory

Проверка состояния многофакторной проверки подлинности пользователя

Чтобы проверить состояние многофакторной проверки подлинности пользователя, выполните следующие действия.

1. Войдите в Центр администрирования Microsoft Entra как минимум администратор пользователя.

2. Перейдите к Entra ID>пользователи.

3. Нажмите кнопку многофакторной проверки подлинности в верхней части области.

4. После загрузки портала администрирования многофакторной проверки подлинности убедитесь, что на вкладке "Пользователи ".

5. Найдите пользователя в списке пользователей, выполнив поиск, фильтрацию или сортировку.

6. Выберите пользователя из списка пользователей и включите, отключите или примените многофакторную проверку подлинности по мере необходимости.

   • Примечание. Если пользователь находится в принудительном состоянии, их можно временно отключить, чтобы разрешить им вернуться в учетную запись. Как только они вернутся, вы можете изменить их состояние обратно на Включено, чтобы требовать повторной регистрации их контактной информации при следующем входе в систему. Кроме того, вы можете выполнить действия, описанные в разделе "Проверка контактных данных для проверки подлинности пользователя ", чтобы проверить или задать эти данные.

Проверка контактной информации пользователя для аутентификации

Чтобы проверить контактные данные проверки подлинности пользователя, используемые для многофакторной проверки подлинности, условного доступа и сброса пароля, выполните следующие действия.

1. Войдите в Центр администрирования Microsoft Entra как минимум администратор пользователя.

2. Перейдите к Entra ID>пользователи.

3. Найдите пользователя, который вас интересует, и выберите строку с подробными сведениями пользователя.

4. Выберите профиль.

5. Прокрутите вниз до контактных данных проверки подлинности.

6. Просмотрите данные, зарегистрированные для пользователя, и при необходимости обновите их.

Проверка членства пользователя в группах

Чтобы проверить членство пользователя в группах, сделайте следующее:

1. Войдите в Центр администрирования Microsoft Entra как минимум администратор пользователя.

2. Перейдите к Entra ID>пользователи.

3. Найдите пользователя, который вас интересует, и выберите строку с подробными сведениями пользователя.

4. Выберите группы , чтобы узнать, какие группы являются членами пользователя.

Проверка назначенных пользователю лицензий

Чтобы проверить назначенные пользователю лицензии, выполните следующее:

1. Войдите в Центр администрирования Microsoft Entra как минимум администратор пользователя.

2. Перейдите к Entra ID>пользователи.

3. Найдите пользователя, который вас интересует, и выберите строку с подробными сведениями пользователя.

4. Выберите лицензии , чтобы узнать, какие лицензии назначены пользователю.

Назначение лицензии пользователю

Чтобы назначить лицензию пользователю, выполните следующее:

1. Войдите в Центр администрирования Microsoft Entra как минимум администратор пользователя.

2. Перейдите к Entra ID>пользователи.

3. Найдите пользователя, который вас интересует, и выберите строку с подробными сведениями пользователя.

4. Выберите лицензии , чтобы узнать, какие лицензии назначены пользователю.

5. Нажмите кнопку "Назначить ".

6. Выберите один или несколько продуктов из списка доступных продуктов.

7. Необязательный выбор элемента параметров назначения для детализированного назначения продуктов. Нажмите кнопку "ОК ", когда это будет завершено.

8. Нажмите кнопку "Назначить ", чтобы назначить эти лицензии этому пользователю.

Проблемы с группами

Доступ к приложению может быть заблокирован из-за проблемы с группой, назначенной для приложения. Ниже приведены некоторые способы для устранения неполадок, связанных с группами и членством в них.

• Проверка членства в группе

• Проверка условий членства в динамической группе

• Проверьте назначенные лицензии группы

• Повторная обработка лицензий группы

• Назначение лицензии группе

Проверка членства в группе

Чтобы проверить членство в группе, выполните следующее:

1. Войдите в Центр администрирования Microsoft Entra как минимум администратор пользователей или администратор групп.
2. Перейдите к Entra ID>Группы>Все группы.
3. Найдите нужную группу и выберите строку с подробными сведениями о группе.
4. Выберите "Участники" , чтобы просмотреть список пользователей, назначенных этой группе.

Проверка критериев членства для динамической группы

Чтобы проверить критерии членства в динамической группе, сделайте следующее:

1. Войдите в Центр администрирования Microsoft Entra как минимум администратор пользователей или администратор групп.

2. Перейдите к Entra ID>Группы>Все группы.

3. Найдите нужную группу и выберите строку с подробными сведениями о группе.

4. Выберите правила динамического членства.

5. Просмотрите простое или расширенное правило, определенное для этой группы, и убедитесь, что пользователь, который вы хотите быть членом этой группы, соответствует этим критериям.

Проверка назначенных группе лицензий

Чтобы проверить назначенные группе лицензии, сделайте следующее:

1. Войдите в Центр администрирования Microsoft Entra как минимум администратор пользователей или администратор групп.

2. Перейдите к Entra ID>Группы>Все группы.

3. Найдите нужную группу и выберите строку с подробными сведениями о группе.

4. Выберите лицензии, чтобы узнать, какие лицензии назначены группе.

Повторная обработка лицензий группы

Чтобы повторно обработать назначенные группе лицензии, сделайте следующее:

1. Войдите в Центр администрирования Microsoft Entra как минимум администратор пользователей или администратор групп.

2. Перейдите к Entra ID>Группы>Все группы.

3. Найдите нужную группу и выберите строку с подробными сведениями о группе.

4. Выберите лицензии, чтобы узнать, какие лицензии назначены группе.

5. Нажмите кнопку Переработать, чтобы убедиться, что лицензии, назначенные членам этой группы, up-to-date. Это действие может занять много времени в зависимости от размера и сложности группы.

   Примечание.

   Чтобы ускорить процесс, можно временно назначить лицензию пользователю напрямую. Назначьте пользователю лицензию.

Назначение лицензии группе

Чтобы назначить лицензию группе, сделайте следующее:

1. Войдите в Центр администрирования Microsoft Entra как минимум администратор пользователей или администратор групп.

2. Перейдите к Entra ID>Группы>Все группы.

3. Найдите нужную группу и выберите строку с подробными сведениями о группе.

4. Выберите лицензии, чтобы узнать, какие лицензии назначены группе.

5. Нажмите кнопку "Назначить ".

6. Выберите один или несколько продуктов из списка доступных продуктов.

7. Необязательный выбор элемента параметров назначения для детализированного назначения продуктов. Нажмите кнопку "ОК ", когда это будет завершено.

8. Нажмите кнопку "Назначить ", чтобы назначить эти лицензии этой группе. Это действие может занять много времени в зависимости от размера и сложности группы.

   Примечание.

   Чтобы ускорить процесс, можно временно назначить лицензию пользователю напрямую. Назначьте пользователю лицензию.

Проблемы с политиками условного доступа

Проверка конкретной политики условного доступа

Чтобы проверить отдельную политику условного доступа, выполните приведенные ниже действия.

1. Войдите в Центр администрирования Microsoft Entra по крайней мере как администратор условного доступа.

2. Перейдите к Entra ID>приложениям для предприятия.

3. Выберите элемент навигации условного доступа .

4. Выберите политику, которую вы хотите проверить.

5. Убедитесь, что нет никаких условий, назначений или других параметров, которые могут блокировать доступ пользователей.

   Примечание.

   Возможно, вы хотите временно отключить эту политику, чтобы убедиться, что она не влияет на вход. Для этого задайте для параметра "Включить политику" значение "Нет" и нажмите кнопку "Сохранить".

Проверка политики условного доступа для конкретного приложения

Чтобы проверить настроенную политику условного доступа для отдельного приложения, выполните приведенные ниже действия.

1. Войдите в Центр администрирования Microsoft Entra как минимум администратор облачных приложений.

2. Откройте Entra ID>, Корпоративные приложения>, Все приложения.

3. Найдите интересующее вас приложение по отображаемому имени или идентификатору приложения, или если пользователь пытается войти в систему.

4. Выберите элемент навигации условного доступа .

5. Выберите политику, которую вы хотите проверить.

6. Убедитесь, что нет никаких условий, назначений или других параметров, которые могут блокировать доступ пользователей.

   Примечание.

   Возможно, вы хотите временно отключить эту политику, чтобы убедиться, что она не влияет на вход. Для этого задайте для параметра "Включить политику" значение "Нет" и нажмите кнопку "Сохранить".

Отключение конкретной политики условного доступа

Чтобы проверить отдельную политику условного доступа, выполните приведенные ниже действия.

1. Войдите в Центр администрирования Microsoft Entra по крайней мере как администратор условного доступа.
2. Перейдите к Entra ID>приложениям для предприятия.
3. Выберите элемент навигации условного доступа .
4. Выберите политику, которую вы хотите проверить.
5. Отключите политику, задав переключатель " Включить политику " в значение "Нет " и нажмите кнопку "Сохранить ".

Проблемы с согласием на использование приложений

Доступ к приложению может быть заблокирован, так как не произошла соответствующая операция предоставления разрешений. Ниже приведены некоторые способы для устранения неполадок, связанных с согласием для приложений.

• Выполнение операции согласия на уровне пользователя

• Выполнение операции согласия на уровне администратора для любого приложения

• Выполнение согласия на уровне администратора для однотенантного приложения

• Выполнение согласия на уровне администратора для мультитенантного приложения

Операция получения согласия на уровне пользователя

• Для любого приложения с поддержкой OpenID Connect, которое запрашивает разрешения, переход на экран входа в приложение выполняет согласие на уровне пользователя для вошедшего пользователя.

• Если вы хотите сделать это программным способом, ознакомьтесь с запросом отдельного согласия пользователя.

Операция разрешения на уровне администратора для любого приложения

• Для только приложений, разработанных с помощью модели приложений версии 1, вы можете принудительно предоставить этому уровню администратора согласие, добавив "?prompt=admin_consent" в конец URL-адреса входа приложения.

• Для любого приложения, разработанного с помощью модели приложения версии 2, вы можете применить это согласие на уровне администратора, выполнив инструкции в разделе «Запрос разрешений у администратора каталога» раздела «Использование конечной точки согласия администратора».

Операция разрешения на уровне администратора для приложения с одним клиентом

• Для приложений с одним клиентом, запрашивающих разрешения (например, которые вы разрабатываете или владеете в организации), можно выполнять операцию согласия на уровне администратора от имени всех пользователей, выполнив вход в качестве администратора привилегированных ролей и нажав кнопку "Предоставить разрешения" в верхней части реестра приложений - Все приложения - Выбор приложения> —>> область необходимых разрешений.

• Для любого приложения, разработанного с помощью модели приложения версии 1 или версии 2, вы можете применить это согласие администратора, следуя инструкциям в разделе «Запрос разрешений от администратора в каталоге» в разделе «Использование конечной точки согласия администратора».

Выполнение согласия на уровне администратора для мультитенантного приложения

• Для мультитенантных приложений , запрашивающих разрешения (например, сторонних разработчиков или Майкрософт), можно выполнять операцию согласия на уровне администратора . Войдите как администратор привилегированных ролей и нажмите кнопку "Предоставить разрешения" в разделе "Корпоративные приложения -> Все приложения -> Выбор приложения -> Разрешения" (доступно в ближайшее время).

• Вы также можете применить это согласие на уровне администратора, следуя инструкциям в разделе "Запрос разрешений у администратора каталога" в разделе "Использование конечной точки согласия администратора".

Следующие шаги

Использование конечной точки согласия администратора