En federerad användare uppmanas upprepade gånger att ange autentiseringsuppgifter under inloggningen till Microsoft 365, Azure eller Intune

Viktigt!

Den här artikeln innehåller information som visar hur du kan sänka säkerhetsinställningarna eller inaktivera säkerhetsfunktioner på en dator. Du kan göra dessa ändringar för att kringgå ett specifikt problem. Innan du gör dessa ändringar rekommenderar vi att du utvärderar de risker som är associerade med att implementera den här lösningen i din specifika miljö. Om du implementerar den här lösningen kan du vidta lämpliga ytterligare åtgärder för att skydda datorn.

Bekymmer

En federerad användare uppmanas upprepade gånger att ange autentiseringsuppgifter när användaren försöker autentisera till AD FS-tjänstslutpunkten (Active Directory Federation Services) under inloggningen till en Microsoft-molntjänst som Microsoft 365, Microsoft Azure eller Microsoft Intune. När användaren avbryter får användaren felmeddelandet Åtkomst nekad .

Orsak

Symptomet indikerar ett problem med Windows-integrerad autentisering med AD FS. Det här problemet kan inträffa om ett eller flera av följande villkor är uppfyllda:

• Ett felaktigt användarnamn eller lösenord användes.

• Autentiseringsinställningar för IIS (Internet Information Services) har konfigurerats felaktigt i AD FS.

• Tjänstens huvudnamn (SPN) som är associerat med tjänstkontot som används för att köra AD FS-federationsservergruppen går förlorat eller skadat.

  Anmärkning

  Detta inträffar endast när AD FS implementeras som en federationsservergrupp och inte implementeras i en fristående konfiguration.

• Ett eller flera av följande identifieras av Utökat skydd för autentisering som källa till en man-in-the-middle-attack:

  • Vissa webbläsare från tredje part
  • Företagets nätverksbrandvägg, nätverkslastbalanserare eller annan nätverksenhet publicerar AD FS Federation Service på Internet på ett sådant sätt att IP-nyttolastdata kan skrivas om. Detta omfattar eventuellt följande typer av data:

    • SSL-bryggning (Secure Sockets Layer)

    • SSL-avlastning

    • Tillståndskänslig paketfiltrering

      Mer information finns i följande artikel i Microsofts bibliotek med tekniska supportartiklar

      2510193 scenarier som stöds för att använda AD FS för att konfigurera enkel inloggning i Microsoft 365, Azure eller Intune

  • Ett övervaknings- eller SSL-dekrypteringsprogram installeras eller är aktivt på klientdatorn

• DNS-matchning (Domain Name System) för AD FS-tjänstslutpunkten utfördes via CNAME-postsökning i stället för genom en A-postsökning.

• Windows Internet Explorer är inte konfigurerat för att skicka Windows-integrerad autentisering till AD FS-servern.

Innan du börjar felsöka

Kontrollera att användarnamnet och lösenordet inte är orsaken till problemet.

• Kontrollera att rätt användarnamn används och har UPN-format (user principal name). Till exempel johnsmith@contoso.com.

• Kontrollera att rätt lösenord används. Om du vill kontrollera att rätt lösenord används kan du behöva återställa användarlösenordet. Mer information finns i följande Microsoft TechNet-artikel:

  Återställa ett användarlösenord

• Kontrollera att kontot inte är utelåst, upphört att gälla eller används utanför angivna inloggningstimmar. Mer information finns i följande Microsoft TechNet-artikel: Hantera användare

Kontrollera orsaken

Kontrollera att Kerberos-problem orsakar problemet genom att tillfälligt kringgå Kerberos-autentisering genom att aktivera formulärbaserad autentisering i AD FS-federationsservergruppen. Gör detta genom att följa dessa steg:

Steg 1: Redigera filen web.config på varje server i AD FS-federationsservergruppen

1. Leta upp filen C:\inetpub\adfs\ls\ folder, and then make a backup copy of the web.config i Utforskaren.

2. Klicka på Start, klicka på Alla program, klicka på Tillbehör, högerklicka på Anteckningar och klicka sedan på Kör som administratör.

3. På menyn Arkiv klickar du på Öppna. I rutan Filnamn skriver du C:\inetpub\adfs\ls\web.configoch klickar sedan på Öppna.

4. Följ dessa steg i filen web.config:

   1. Leta upp raden som innehåller autentiseringsläge<> och ändra den sedan till <autentiseringsläge="Formulär"/>.

   2. Leta upp avsnittet som börjar med <localAuthenticationTypes> och ändra sedan avsnittet så att < posten add name="Forms"> visas först enligt följande:

      <localAuthenticationTypes>
      <add name="Forms" page="FormsSignIn.aspx" />
      <add name="Integrated" page="auth/integrated/" />
      <add name="TlsClient" page="auth/sslclient/" />
      <add name="Basic" page="auth/basic/" />
      

5. På menyn File (Arkiv) klickar du på Save (Spara).

6. Starta om IIS i en upphöjd kommandotolk med hjälp av iisresetcommand.

Steg 2: Testa AD FS-funktioner

1. Logga in på molntjänstportalen på en klientdator som är ansluten och autentiserad till den lokala AD DS-miljön.

   I stället för en sömlös autentiseringsupplevelse bör en formulärbaserad inloggning upplevas. Om inloggningen lyckas med formulärbaserad autentisering bekräftar detta att det finns ett problem med Kerberos i AD FS-federationstjänsten.

2. Återställ konfigurationen av varje server i AD FS-federationsservergruppen till de tidigare autentiseringsinställningarna innan du följer stegen i avsnittet "Lösning". Följ dessa steg för att återställa konfigurationen av varje server i AD FS-federationsservergruppen:

   1. Leta upp filen C:\inetpub\adfs\ls\ folder, and then delete the web.config i Utforskaren.
   2. Flytta säkerhetskopian av den web.config fil som du skapade i avsnittet "Steg 1: Redigera filen web.config på varje server i AD FS-federationsservergruppen" till mappen C:\inetpub\adfs\ls\.

3. Starta om IIS i ett förhöjt kommandofönster med hjälp av iisreset-kommandot.

4. Kontrollera att AD FS-autentiseringsbeteendet återgår till det ursprungliga problemet.

Lösning

För att lösa Kerberos-problemet som begränsar AD FS-autentiseringen använder du en eller flera av följande metoder, beroende på vad som är lämpligt för situationen.

Lösning 1: Återställ autentiseringsinställningarna för AD FS till standardvärdena

Om autentiseringsinställningarna för AD FS IIS är felaktiga, eller om IIS-autentiseringsinställningarna för AD FS Federation Services och Proxy Services inte matchar, är en lösning att återställa alla IIS-autentiseringsinställningar till AD FS-standardinställningarna.

Standardinställningarna för autentisering visas i följande tabell.

Virtuellt program	Autentiseringsnivå(er)
Standardwebbplats/adfs	Anonym autentisering
Standardwebbplatsen/adfs/ls	Anonym autentisering, Windows-autentisering

På varje AD FS-federationsserver och på varje AD FS-federationsserverproxy använder du informationen i följande Microsoft TechNet-artikel för att återställa de virtuella AD FS IIS-programmen till standardinställningarna för autentisering:

Konfigurera autentisering i IIS 7

Lösning 2: Korrigera AD FS-federationsservergruppens SPN

Anmärkning

Prova bara den här lösningen när AD FS implementeras som en federationsservergrupp. Prova inte den här lösningen i en fristående AD FS-konfiguration.

Lös problemet om SPN för AD FS-tjänsten tappas bort eller skadas på AD FS-tjänstkontot genom att följa dessa steg på en server i AD FS-federationsservergruppen:

1. Öppna snapin-modulen för hantering av tjänster. Det gör du genom att klicka på Start, klicka på Alla program, klicka på Administrationsverktyg och sedan på Tjänster.

2. Dubbelklicka på AD FS (2.0) Windows Service.

3. På fliken Logga in noterar du tjänstkontot som visas i Det här kontot.

4. Klicka på Start, klicka på Alla program, klicka på Tillbehör, högerklicka på Kommandotolken och klicka sedan på Kör som administratör.

5. Skriv följande kommando och klicka sedan på Retur.

   SetSPN –f –q host/<AD FS service name>
   

   Anmärkning

   I det här kommandot <representerar AD FS-tjänstnamnet> det fullständigt kvalificerade domännamnet (FQDN) för AD FS-tjänstslutpunkten. Den representerar inte Windows-värdnamnet för AD FS-servern.

   • Om mer än en post returneras för kommandot och resultatet associeras med ett annat användarkonto än det som angavs i steg 3 tar du bort associationen. Gör detta genom att köra följande kommando:

     SetSPN –d host/<AD FS service name><bad_username>
     

   • Om mer än en post returneras för kommandot och SPN använder samma namn som datornamnet för AD FS-servern i Windows är federationsslutpunktens namn för AD FS felaktigt. AD FS måste implementeras igen. FQDN för AD FS-federationsservergruppen får inte vara identisk med Windows-värdnamnet för en befintlig server.

   • Om SPN inte redan finns kör du följande kommando:

     SetSPN –a host/<AD FS service name><username of service account>  
     

     Anmärkning

     I det här kommandot <representerar användarnamnet för tjänstkontot> det användarnamn som angavs i steg 3.

6. När de här stegen har utförts på alla servrar i AD FS-federationsservergruppen högerklickar du på AD FS (2.0) Windows Service i snapin-modulen För hantering av tjänster och klickar sedan på Starta om.

Lösning 3: Lösa problem med utökat skydd för autentisering

Lös problemet om utökat skydd för autentisering förhindrar lyckad autentisering genom att använda någon av följande rekommenderade metoder:

• Metod 1: Använd Windows Internet Explorer 8 (eller en senare version av programmet) för att logga in.
• Metod 2: Publicera AD FS-tjänster på Internet på ett sådant sätt att SSL-bryggning, SSL-avlastning eller tillståndskänslig paketfiltrering inte skriver om IP-nyttolastdata. Bästa praxis för detta ändamål är att använda en AD FS-proxyserver.
• Metod 3: Stäng eller inaktivera övervakning eller SSL-dekryptering av program.

Om du inte kan använda någon av dessa metoder kan utökat skydd för autentisering inaktiveras för passiva och aktiva klienter för att undvika det här problemet.

Lösning: Inaktivera utökat skydd för autentisering

Varning

Vi rekommenderar inte att du använder den här proceduren som en långsiktig lösning. Om du inaktiverar utökat skydd för autentisering försvagas AD FS-tjänstens säkerhetsprofil genom att vissa man-in-the-middle-attacker inte identifieras på integrerade Windows-autentiseringsslutpunkter.

Anmärkning

När den här lösningen används för programfunktioner från tredje part bör du även avinstallera snabbkorrigeringar i klientoperativsystemet för Utökat skydd för autentisering.

För passiva klienter

Om du vill inaktivera Utökat skydd för autentisering för passiva klienter utför du följande procedur för följande virtuella IIS-program på alla servrar i AD FS-federationsservergruppen:

• Standardwebbplats/adfs
• Standardwebbplatsen/adfs/ls

Gör detta genom att följa dessa steg:

1. Öppna IIS-hanteraren och gå till den nivå som du vill hantera. Information om hur du öppnar IIS Manager finns i Öppna IIS Manager (IIS 7).
2. Dubbelklicka på Autentisering i funktionsvyn.
3. På sidan Autentisering väljer du Windows-autentisering.
4. I fönstret Åtgärder klickar du på Avancerade inställningar.
5. När dialogrutan Avancerade inställningar visas väljer du Av i listrutan Utökat skydd .

För aktiva klienter

Om du vill inaktivera Utökat skydd för autentisering för aktiva klienter utför du följande procedur på den primära AD FS-servern:

1. Öppna Windows PowerShell.

2. Kör följande kommando för att läsa in snapin-modulen Windows PowerShell för AD FS:

   Add-PsSnapIn Microsoft.Adfs.Powershell
   

3. Kör följande kommando för att inaktivera Utökat skydd för autentisering:

   Set-ADFSProperties –ExtendedProtectionTokenCheck "None"
   

Återaktivera utökat skydd för autentisering

För passiva klienter

Om du vill återaktivera utökat skydd för autentisering för passiva klienter utför du följande procedur för följande virtuella IIS-program på alla servrar i AD FS-federationsservergruppen:

• Standardwebbplats/adfs
• Standardwebbplatsen/adfs/ls

Gör detta genom att följa dessa steg:

1. Öppna IIS-hanteraren och gå till den nivå som du vill hantera. Information om hur du öppnar IIS Manager finns i Öppna IIS Manager (IIS 7).
2. Dubbelklicka på Autentisering i funktionsvyn.
3. På sidan Autentisering väljer du Windows-autentisering.
4. I fönstret Åtgärder klickar du på Avancerade inställningar.
5. När dialogrutan Avancerade inställningar visas väljer du Acceptera på den nedrullningsbara menyn Utökat skydd .

För aktiva klienter

Utför följande procedur på den primära AD FS-servern för att återaktivera utökat skydd för autentisering för aktiva klienter:

1. Öppna Windows PowerShell.

2. Kör följande kommando för att läsa in tilläggsmodulen Windows PowerShell för AD FS:

   Add-PsSnapIn Microsoft.Adfs.Powershell
   

3. Kör följande kommando för att aktivera Utökat skydd för autentisering:

   Set-ADFSProperties –ExtendedProtectionTokenCheck "Allow"
   

Lösning 4: Ersätt CNAME-poster med A-poster för AD FS

Använd DNS-hanteringsverktyg för att ersätta varje DNS-aliaspost (CNAME) som används för federationstjänsten med en DNS-adresspost (A). Kontrollera eller överväg även företagets DNS-inställningar när en DNS-konfiguration med delad hjärna implementeras. Mer information om hur du hanterar DNS-poster finns i Hantera DNS-poster.

Lösning 5: Konfigurera Internet Explorer som en AD FS-klient för enkel inloggning (SSO)

Mer information om hur du konfigurerar Internet Explorer för AD FS-åtkomst finns i En federerad användare uppmanas oväntat att ange autentiseringsuppgifter för arbets- eller skolkontot.

Mer information

För att skydda ett nätverk använder AD FS utökat skydd för autentisering. Utökat skydd för autentisering kan hjälpa till att förhindra man-in-the-middle-attacker där en angripare fångar upp en klients autentiseringsuppgifter och vidarebefordrar dem till en server. Skydd mot sådana attacker möjliggörs med hjälp av Channel Binding Works (CBT). KBT kan krävas, tillåtas eller inte krävas av servern när kommunikationen upprättas med klienter.

Inställningen ExtendedProtectionTokenCheck AD FS anger nivån för utökat skydd för autentisering som stöds av federationsservern. Det här är de tillgängliga värdena för den här inställningen:

• Kräv: Servern är fullt säkerställd. Utökat skydd tillämpas.
• Tillåt: Det här är standardinställningen. Servern är delvis härdad. Utökat skydd tillämpas för berörda system som har ändrats för att stödja den här funktionen.
• Ingen: Servern är sårbar. Utökat skydd tillämpas inte.

I följande tabeller beskrivs hur autentisering fungerar för tre operativsystem och webbläsare, beroende på de olika alternativen för utökat skydd som är tillgängliga på AD FS med IIS.

Anmärkning

Windows-klientoperativsystem måste ha specifika uppdateringar som är installerade för att effektivt använda funktioner för utökat skydd. Som standard är funktionerna aktiverade i AD FS.

Som standard innehåller Windows 7 lämpliga binärfiler för att använda Utökat skydd.

Windows 7 (eller lämpligt uppdaterade versioner av Windows Vista eller Windows XP)

Inställning	Kräva	Tillåt (standard)	Ingen
Windows Communication Foundation-klienten (WCF) (alla slutpunkter)	Fabrik	Fabrik	Fabrik
Internet Explorer 8 och senare versioner	Fabrik	Fabrik	Fabrik
Firefox 3.6	Misslyckas	Misslyckas	Fabrik
Safari 4.0.4	Misslyckas	Misslyckas	Fabrik

Windows Vista utan lämpliga uppdateringar

Inställning	Kräva	Tillåt (standard)	Ingen
WCF-klient (alla slutpunkter)	Misslyckas	Fabrik	Fabrik
Internet Explorer 8 och senare versioner	Fabrik	Fabrik	Fabrik
Firefox 3.6	Misslyckas	Fabrik	Fabrik
Safari 4.0.4	Misslyckas	Fabrik	Fabrik

Windows XP utan lämpliga uppdateringar

Inställning	Kräva	Tillåt (standard)	Ingen
Internet Explorer 8 och senare versioner	Fabrik	Fabrik	Fabrik
Firefox 3.6	Misslyckas	Fabrik	Fabrik
Safari 4.0.4	Misslyckas	Fabrik	Fabrik

Mer information om Utökat skydd för autentisering finns i följande Microsoft-resurs:

Konfigurera avancerade alternativ för AD FS 2.0

Mer information om cmdleten Set-ADFSProperties finns på följande Microsoft-webbplats:

Set-ADFSProperties

Behöver du fortfarande hjälp? Gå till Microsoft Community eller webbplatsen Microsoft Entra Forums.

Produkter från tredje part som beskrivs i den här artikeln tillverkas av företag som är oberoende av Microsoft. Microsoft ger ingen garanti, uttrycklig eller underförstådd, angående prestandan eller tillförlitligheten hos dessa produkter.