Войдите в Visual Studio с учетными записями, для которых требуется многофакторная проверка подлинности (MFA)
В этой статье описано, как использовать Visual Studio с учетными записями, для которых требуется многофакторная проверка подлинности (MFA).
Зачем включать политики MFA?
При совместной работе с внешними гостевыми пользователями рекомендуется защитить приложения и данные с помощью политик условного доступа (ЦС), таких как многофакторная проверка подлинности (MFA).
Если такие политики применяются, для доступа к вашим ресурсам гостевым пользователям необходимо выполнить дополнительные требования безопасности, помимо ввода традиционных имени пользователя и пароля. Политики MFA могут применяться на уровне клиента, приложения или отдельного гостевого пользователя, так же, как они включены для членов вашей организации.
Примечание.
В версиях Visual Studio до 16.6 возможны определенные проблемы с проверкой подлинности при работе с учетными записями, которые используют политики условного доступа (например, многофакторную идентификацию) и связаны с несколькими клиентами.
В таких случаях в вашем экземпляре Visual Studio могут несколько раз в день появляться запросы на повторную проверку подлинности. Возможно, вам придется повторно ввести свои учетные данные для ранее прошедших проверку подлинности арендаторов даже в ходе одного и того же сеанса Visual Studio.
Использование Visual Studio с политиками многофакторной идентификации
Доступ к ресурсам, защищенным с помощью политик ЦС, таких как MFA в Visual Studio. Что воспользоваться этим усовершенствованным рабочим процессом, вам необходимо настроить установленный по умолчанию в системе веб-браузер в качестве механизма для добавления или повторной проверки подлинности учетных записей Visual Studio.
В Visual Studio 2022 версии 17.11 брокер проверка подлинности Windows теперь является рабочим процессом по умолчанию для добавления и повторной проверки подлинности учетных записей в Visual Studio.
Используется брокер проверка подлинности WindowsДиспетчер веб-учетных записей (WAM) и предлагает множество преимуществ, таких как безопасность, улучшенная поддержка MFA и простая интеграция между учетными записями, добавленными в ОС и Visual Studio. Использование WAM в качестве механизма проверки подлинности в Visual Studio упрощает доступ к ресурсам, защищенным с помощью политик ЦС, таких как MFA.
При возникновении проблем с использованием WAM рекомендуется использовать системный веб-браузер в качестве альтернативы для добавления и повторной проверки подлинности учетных записей Visual Studio.
Предупреждение
Если вы не используете этот рабочий процесс, могут возникать проблемы, связанные с многократными запросами на ввод учетных данных при добавлении или повторной проверке подлинности учетных записей Visual Studio.
Использование брокера проверка подлинности Windows
Чтобы начать использовать WAM в качестве механизма проверки подлинности в Visual Studio:
Обновление до Visual Studio 2022 версии 17.11 или более поздней.
При появлении запроса выберите учетную запись в диалоговом окне WAM. Если ваша учетная запись не указана, добавьте ее с помощью добавления учетной записи.
Вы можете управлять учетными записями в диалоговом окне "Параметры учетной записи" в Visual Studio.
Использование диспетчера учетных записей Windows (WAM) в качестве механизма проверки подлинности в Visual Studio является рекомендуемым рабочим процессом для добавления и повторной проверки подлинности учетных записей. Однако при возникновении проблем с использованием WAM можно переключиться на использование системного веб-браузера.
Настройка использования системного веб-браузера
Примечание.
Для оптимального взаимодействия рекомендуется очистить данные веб-браузера по умолчанию, прежде чем продолжать работу с этим рабочим процессом. Кроме того, если у вас зарегистрированы рабочие или учебные учетные записи в параметрах Windows 10 в разделе Доступ к учетной записи места работы или учебного заведения, убедитесь, что они должным образом прошли проверку подлинности.
Чтобы включить рабочий процесс системного веб-браузера, перейдите в диалоговое окно "Параметры" Visual Studio (Параметры инструментов>...), перейдите на вкладку "Учетные записи" и выберите "Системный веб-браузер" в раскрывающемся списке "Добавить и повторно выполнить проверку подлинности" с помощью раскрывающегося списка.
Вход в дополнительные учетные записи с помощью политик MFA
После включения рабочего процесса веб-браузера системы вы можете войти или добавить учетные записи в Visual Studio, как правило, с помощью диалогового окна "Параметры учетной записи" (параметры учетной записи...>).
Вы можете войти или добавить учетные записи в Visual Studio с помощью карточки профиля или диалогового окна "Параметры учетной записи" (параметры учетной записи файла>...).
брокер проверка подлинности Windows
После включения рабочего процесса брокера проверка подлинности Windows вы можете войти или добавить учетные записи в Visual Studio, как правило. Диспетчер веб-учетных записей (WAM) упрощает вход, позволяя пользователям входить с учетными записями, известными в Windows, например учетной записью, вошедшем в сеанс Windows.
Системный веб-браузер
После включения рабочего процесса веб-браузера системы вы можете войти или добавить учетные записи в Visual Studio, как правило.
В результате этого действия откроется установленный по умолчанию в системе веб-браузер и появится запрос на вход в учетную запись и прохождение проверки с использованием заданной политики многофакторной идентификации.
При выполнении входа может отобразиться дополнительный запрос с предложением не выполнять выход. В этом запросе, скорее всего, второй раз отобразится учетная запись, используемая для входа. Чтобы избежать повторного ввода учетных данных, рекомендуется выбрать Да. Это гарантирует, что учетные данные будут сохранены в сеансах браузера.
На основе действий разработки и конфигурации ресурсов вам может быть предложено повторно ввести учетные данные во время сеанса. Это может произойти при добавлении нового ресурса или при попытке получить доступ к ресурсу без предварительного соблюдения требований к авторизации ЦС или MFA.
Повторная проверка подлинности учетной записи
При возникновении проблемы с учетной записью в Visual Studio может появиться запрос на повторный ввод учетных данных.
Щелкните Еще раз введите учетные данные. Откроется установленный по умолчанию в системе веб-браузер, и будет предпринята попытка автоматически обновить ваши учетные данные. Если это не поможет, вам будет предложено войти в учетную запись и пройти проверку с использованием заданной политики ЦС или MFA.
Если ваша учетная запись связана с несколькими каталогами Azure Active Directory и возникает проблема с доступом к одной или нескольким из них, диалоговое окно повторно введите учетные данные, отобразит затронутые каталоги и связанные коды ошибок AADSTS.
Вы сможете отменять выбор любых каталогов, которые вы не хотите повторно выполнить проверку подлинности и продолжить обычную операцию входа с помощью домашнего каталога, а также всех гостевых клиентов, которые остаются выбранными. Удаленные каталоги не будут доступны для дальнейшего использования, пока фильтр учетной записи не будет удален.
Примечание.
Чтобы обеспечить оптимальное взаимодействие, не закрывайте браузер, пока не будут проверены все политики ЦС или MFA для ваших ресурсов. Закрытие браузера может привести к потере ранее созданного состояния MFA, а вам могут отображаться дополнительные запросы на авторизацию.
Решение проблем при входе
Проблемы С ЦС/MFA
Если возникли проблемы с ЦС или MFA и (или) вы не можете выполнить вход даже при использовании системного веб-браузера, попробуйте устранить эту проблему, выполнив следующие действия:
- Выйдите из учетной записи в Visual Studio.
- Выберите учетные> записи параметров>инструментов>снимите флажок "Проверка подлинности" во всех каталогах Azure Active.
- Выполните вход снова.
Примечание.
После выполнения этих действий вы, скорее всего, сможете войти в систему, но ваша учетная запись будет помещена в состояние "Отфильтровано". В этом состоянии будут доступны только арендатор и ресурсы по умолчанию вашей учетной записи. Все остальные клиенты и ресурсы Microsoft Entra становятся недоступными, но их можно добавить вручную.
Проблемы с предварительной авторизацией
Начиная с Visual Studio 2022 версии 17.5, если отображается предыдущее диалоговое окно об ошибке, выполните следующие действия, чтобы устранить проблему:
- Выйдите из учетной записи в Visual Studio.
- Выполните вход снова.
- Создайте запрос отчета о проблеме, объясняющий действия, которые вы выполняли, и (или) ресурс, к которым вы пытались получить доступ, прежде чем столкнуться с проблемой.
Примечание.
Создание билета поможет нам определить проблемные области и предоставить необходимые журналы для изучения и решения проблемы.
Ошибки диспетчера веб-учетных записей (WAM)
Если при использовании рабочего процесса брокера проверка подлинности Windows для входа в Visual Studio возникают ошибки, выполните действия, перечисленные в диалоговом окне ошибки, чтобы устранить или сообщить о проблеме. Используйте ссылки в диалоговом окне, чтобы узнать больше об ошибке или просмотреть журналы ошибок.
Ошибка TPM (доверенный модуль платформы)
Например, если появится следующее диалоговое окно об ошибке, можно попытаться устранить проблему, выполнив инструкции по устранению ошибок доверенного платформенного модуля.
Если необходимо переключиться на механизм проверки подлинности, отличный от брокера Windows, можно переключиться, выполнив инструкции по включению системного веб-браузера. Если эти инструкции не работают и у вас есть контракт на поддержку, откройте запрос в службу технической поддержки
Как отказаться от использования определенного клиента Microsoft Entra в Visual Studio
В Visual Studio 2019 версии 16.6 и выше доступен фильтр, с помощью которого можно отключать арендаторов по отдельности или глобально, эффективно скрывая их в Visual Studio. В этом случае вам не придется проходить проверку подлинности для таких клиентов, но при этом вы не сможете получить доступ к связанным с ними ресурсам.
Эта возможность может быть полезна, если вам требуется оптимизировать среду разработки, ограничив круг клиентов. Кроме того, она пригодится в тех случаях, когда вы не можете пройти проверку с использованием какой-либо политики условного доступа (многофакторной идентификации) из-за нарушений со стороны отдельных клиентов.
Как отфильтровать всех клиентов
Чтобы глобально отфильтровать все клиенты, откройте диалоговое окно "Параметры учетной записи" (параметры учетной записи файла > ... > Параметры учетной записи) и отмените проверку подлинности во всех каталогах Azure Active Directory.
При снятии этого флажка проверка подлинности выполняется только в клиенте учетной записи по умолчанию. Это также означает, что вы не сможете получать доступ к ресурсам, связанным с другими клиентами, в которых ваша учетная запись может быть гостевой.
Как отфильтровать отдельных клиентов
Чтобы отфильтровать клиенты, связанные с учетной записью Visual Studio, откройте диалоговое окно "Параметры учетной записи" (Параметры учетной записи файла > ...) и нажмите кнопку "Применить фильтр".
Появится диалоговое окно Фильтровать по учетной записи, где вы можете выбрать клиентов, которые будут использоваться с вашей учетной записью.
Когда вы отмените выбор арендатора для фильтрации, в диалоговых окнах Параметры учетной записи и Фильтровать по учетной записи будет отображаться состояние "Отфильтровано".
Сетевые ошибки с Помощью Visual Studio
Во время входа Visual Studio может столкнуться с ошибками, связанными с сетью, которые обычно не являются проблемами с продуктом Visual Studio и могут быть изучены локальной ИТ-поддержкой.
Ошибка "Требуется авторизация прокси-сервера
Если компьютер или организация используют такие меры безопасности, как брандмауэр или прокси-сервер, убедитесь, что вы выполняете требования к использованию Visual Studio за прокси-сервером или брандмауэром.
Ошибки SSL
Ошибки SSL могут возникать в различных формах. Некоторые примеры:
- "Базовое подключение было закрыто"
- "Не удалось установить SSL-подключение"
- "Не удалось создать безопасный канал SSL/TLS"
- "Существующее подключение было принудительно закрыто удаленным узлом". (Это также может быть связано с брандмауэрами, блокирующими подключение)
- "Базовое подключение было закрыто: произошла непредвиденная ошибка при отправке"
Эти ошибки могут быть вызваны следующими причинами:
- Корпоративный прокси-сервер или брандмауэр блокирует определенные версии TLS
- ПРОТОКОЛ TLS 1.3 включен на компьютере, но сеть не поддерживает ее. Вы можете попытаться отключить TLS 1.3 на компьютере, чтобы проверить, является ли это так.
- Групповая политика, ограничивающая разрешенные алгоритмы SSL, и этот список разрешенных разрешений не соответствует тому, что ожидает сервер.
Следующие ресурсы могут быть полезны для устранения неполадок SSL:
- Средство проверки готовности к переходу Azure DevOps TLS 1.2
- Рекомендации по использованию протокола TLS с .NET Framework
- Параметры реестра TLS
Отключение TLS 1.3
1.3: [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.3\Client] "DisabledByDefault"=dword:00000001 "Enabled"=dword:00000000
Ошибки, связанные с подключением
"Подключение не может быть сделано, так как целевой компьютер активно отказался от него"
Эта ошибка означает, что когда Visual Studio пытается подключиться к конечной точке Интернета, компьютер отказался от подключения.
Распространенные причины
Если адрес "127.0.0.1" находится в сообщении об ошибке, это означает, что была предпринята попытка подключения к локальному прокси-серверу, но локальный прокси-сервер не запущен.
VPN-подключение — попробуйте отключиться от любых виртуальных сетей и повторите попытку подключения. Если это работает, вы хотите следовать за поставщиком VPN или администратором сети. К ним относятся корпоративные VPN-службы или сторонние VPN-службы.
DNS — поиск домена на компьютере разрешен на адрес, который не указывает на ожидаемый сервер. Это означает, что подключение собирается на другой компьютер, не выполняющий ожидаемые службы и отказывающийся от подключения. Для отладки этой проблемы можно использовать такие средства, как NsLookup , и сравнить их с диапазонами IP-адресов Azure и тегами служб.
IPV6 — некоторые компьютеры с поддержкой IPV6, но сеть не поддерживает протокол. В этом случае может отображаться сообщение об отказе подключения, так как сервер не найден. Попробуйте отключить IPV6 на компьютере, чтобы узнать, работает ли подключение.
Проблемы SSL— см . ошибки SSL.
Прокси-сервер или брандмауэры в сети. Если в сети есть прокси-сервер или брандмауэр, оно будет первым устройством, с которым подключение пытается взаимодействовать, и это может быть одно из отказов подключения. Вы можете определить, блокирует ли брандмауэр или прокси-сервер подключения, запрашивая администратора сети. Кроме того, глядя на трассировки сети, можно указать, какой компьютер выполняется подключение и определить, кто отказывается от него. Если это внутренний сетевой адрес, это означает, что прокси-сервер или брандмауэр заблокированы подключение. Если это внешний IP-адрес, это обычно означает проблемы DNS, IPV6 или SSL.
Поддержка проблем, связанных с сетью
Проблемы, связанные с сетью, обычно связаны с конфигурацией компьютера или сети, а не с Visual Studio. Сообщество разработчиков может обеспечить некоторую поддержку, но она ориентирована на функции в Visual Studio, а не на конфигурацию компьютера. Для поддержки, относяющейся к сети, может оказаться полезной служба поддержки Майкрософт сообщества или технической поддержки.