Пользователи не могут войти в Windows, если назначен профиль киоска с несколькими приложениями

Эта статья поможет устранить проблему, из-за которой пользователь не может войти в Microsoft Entra, присоединенный Windows 10 компьютером, если назначен профиль киоска с несколькими приложениями.

Симптомы

Когда пользователь пытается войти в Microsoft Entra присоединенный Windows 10 компьютер, которому назначен профиль киоска с несколькими приложениями, попытка завершается ошибкой непосредственно перед загрузкой профиля пользователя.

В этом случае тип входа в профиль киоска — Microsoft Entra пользователя или группы. Кроме того, компьютер Windows 10 использует локальную учетную запись, и в журналах Просмотр событий вы заметите следующие сообщения об ошибках:

• Microsoft Entra ID — операционные журналы (пример 1 — MFA требуется с помощью условного доступа):

  Имя журнала: Microsoft-Windows-AAD/Operational
  Источник: Microsoft-Windows-AAD
  Дата: <метка> времени
  Идентификатор события: 1098
  Категория задач: операция AadTokenBrokerPlugin
  Уровень: ошибка
  Ключевые слова: Ошибка,Ошибка
  Пользователь: <идентификатор безопасности> пользователя
  Компьютер: <имя> компьютера
  Описание:
  Ошибка: 0xCAA2000C Запрос требует взаимодействия с пользователем.
  Код: interaction_required
  Описание: AADSTS50076. Из-за изменения конфигурации, внесенного администратором, или из-за перемещения в новое расположение необходимо использовать многофакторную проверку подлинности для доступа к 00000003-0000-0000-c000-00000000000.

• Microsoft Entra ID — операционные журналы (пример 2 . Условия использования (TOU) требуются с помощью условного доступа):

  Имя журнала: Microsoft-Windows-AAD/Operational
  Источник: Microsoft-Windows-AAD
  Дата: <метка> времени
  Идентификатор события: 1098
  Категория задач: операция AadTokenBrokerPlugin
  Уровень: ошибка
  Ключевые слова: Ошибка,Ошибка
  Пользователь: <идентификатор безопасности> пользователя
  Компьютер: <имя> компьютера
  Описание:
  Ошибка: 0xCAA2000C Запрос требует взаимодействия с пользователем.
  Код: interaction_required
  Описание: AADSTS50158: внешняя проблема безопасности не удовлетворена. Пользователь будет перенаправлен на другую страницу или поставщик проверки подлинности для удовлетворения дополнительных задач проверки подлинности.

• Назначенный доступ — журналы Администратор:

  Имя журнала: Microsoft-Windows-AssignedAccess/Администратор
  Источник: Microsoft-Windows-AssignedAccess
  Дата: <метка> времени
  Идентификатор события: 31000
  Категория задачи: применение назначенного доступа для текущего пользователя.
  Уровень: ошибка
  Пользователь: <идентификатор безопасности> пользователя
  Компьютер: <имя> компьютера
  Описание:
  Ошибка Не указанная ошибка при применении назначенного доступа для текущего пользователя, выходе из...

Причина

Такое поведение является особенностью данного продукта.

Эта проблема возникает из-за того, что для пользователей применяются политики условного доступа, требующие взаимодействия с пользователем. Например, многофакторная проверка подлинности (MFA) или Условия использования (TOU).

Решение

Чтобы устранить эту проблему, исключите пользователей киоска из политик условного доступа, требующих взаимодействия с пользователем, таких как MFA или TOU.

Если для пользователя киоска включена многофакторная проверка подлинности, отключите ее, так как В настоящее время MFA не поддерживается в сценариях режима киоска с несколькими приложениями.