应用程序登录故障排除

“我的应用”是一个基于 Web 的门户，在 Microsoft Entra ID 中拥有工作或学校帐户的用户可以使用它来查看和启动 Microsoft Entra 管理员已授权他们访问的基于云的应用程序。 使用 Web 浏览器在 https://myapps.microsoft.com 中访问“我的应用”。

若要详细了解如何将 Microsoft Entra ID 用作应用的标识提供者，请参阅 Microsoft Entra ID 中的“什么是应用程序管理”。 若要快速掌握速度，请查看 有关应用程序管理的快速入门系列。

这些应用程序是在 Microsoft Entra 管理中心内代表用户配置的。 应用程序必须正确配置并分配到用户或用户所属的组，才能在“我的应用”中看到应用程序。

用户看到的应用类型分为以下几类：

• Microsoft 365 应用程序
• 使用基于联合的 SSO 配置的 Microsoft 应用程序与第三方应用程序
• 基于密码的 SSO 应用程序
• 使用现有 SSO 解决方案的应用程序

下面是检查应用是否显示的某些操作：

• 确保已将应用添加到 Microsoft Entra ID，并确保已分配用户。 若要了解详细信息，请参阅 有关应用程序管理的快速入门系列。
• 如果最近添加了某个应用，请让用户注销并重新登录。
• 如果应用需要许可证（如 Office），请确保已向用户分配适当的许可证。
• 授权更改所用的时间可能因组的大小和复杂程度而异。

首先要检查的常规问题

• 确保 Web 浏览器满足要求，请参阅 “我的应用”支持的浏览器。
• 确保用户的浏览器已将应用程序的 URL 添加到其 受信任的站点。
• 请检查应用程序是否已正确配置。
• 确保用户帐户 已启用 以便登录。
• 确保用户帐户 未锁定。
• 确保用户 的密码未过期或忘记。
• 确保“多重身份验证”未阻止用户访问。
• 确保 条件访问策略 或 旧标识保护 策略不会阻止用户访问。
• 确保用户的 身份验证联系人信息 是最新的，以允许强制执行多重身份验证或条件访问策略。
• 同时还务必尝试清除浏览器 Cookie，并尝试重新登录。

用户帐户问题

对“我的应用”的访问可能会由于用户帐户存在的问题而被阻止。 下面是可以用来排除和解决用户及其帐户设置存在的问题的一些方法：

• 检查Microsoft Entra ID 中是否存在用户帐户
• 检查用户的帐户状态
• 重置用户的密码
• 启用自助密码重置
• 检查用户的多重身份验证状态
• 检查用户的身份验证联系人信息
• 检查用户的组成员身份
• 检查用户是否有超过 999 个应用角色分配
• 检查用户的已分配许可证
• 向用户分配许可证

检查 Microsoft Entra ID 中是否存在用户帐户

若要检查是否存在某个用户帐户，请执行以下步骤：

1. 以至少用户管理员身份登录到 Microsoft Entra 管理中心。
2. 浏览到 Entra ID>用户。
3. 搜索你感兴趣的用户，然后选择对应的行以查看该用户的详细信息。
4. 检查用户对象的属性，确保它们看上去与预期一致并且未丢失任何数据。

检查用户帐户的状态

若要检查用户帐户的状态，请执行以下步骤：

1. 以至少用户管理员身份登录到 Microsoft Entra 管理中心。
2. 浏览到 Entra ID>用户。
3. 搜索你感兴趣的用户，然后选择包含该用户详细信息的行。
4. 选择“配置文件”。
5. 在“设置”下，确保“阻止登录”设置为“否”。

重置用户的密码

若要重置用户的密码，请执行以下步骤：

1. 以至少用户管理员身份登录到 Microsoft Entra 管理中心。
2. 浏览到 Entra ID>用户。
3. 搜索你感兴趣的用户，然后选择包含该用户详细信息的行。
4. 选择用户窗格顶部的“重置密码”按钮。
5. 在出现的“重置密码”窗格上，选择“重置密码”按钮。
6. 复制 临时密码 或输入用户 的新密码 。
7. 向用户传达此新密码。 在下次登录期间，可能需要更改此密码才能登录 Microsoft Entra ID。

启用自助式密码重置

若要启用自助式密码重置，请执行以下部署步骤：

• 允许用户重置其Microsoft Entra 密码
• 允许用户重置或更改其 Active Directory 本地密码

检查用户的多重身份验证状态

若要检查用户的多重身份验证状态，请执行以下步骤：

1. 以至少用户管理员身份登录到 Microsoft Entra 管理中心。
2. 浏览到 Entra ID>用户。
3. 选择页面顶部的“每个用户的 MFA”按钮。
4. 在“多重身份验证”管理门户加载后，确保位于“用户”选项卡上。
5. 通过搜索、筛选或排序在用户列表中找到用户。
6. 从用户列表中选择用户，根据需要 启用、 禁用或 强制实施 多重身份验证。

   注意

   如果用户处于 “强制” 状态，可以暂时将其设置为 “已禁用 ”，以让他们重新进入其帐户。 重新登录后，可以再次将其状态更改为 “已启用” ，要求他们在下次登录期间重新注册其联系信息。 或者，可以按照 “检查用户的身份验证联系信息 ”中的步骤来验证或设置这些数据。

检查用户的身份验证联系信息

若要检查用于多重身份验证、条件访问和密码重置的用户身份验证联系信息，请执行以下步骤：

1. 以至少用户管理员身份登录到 Microsoft Entra 管理中心。
2. 浏览到 Entra ID>用户。
3. 搜索你感兴趣的用户，然后选择包含该用户详细信息的行。
4. 在“管理”下选择“身份验证方法”。
5. 查看 为用户注册的数据，并根据需要进行更新。

检查用户的组成员身份

若要检查用户的组成员身份，请执行以下步骤：

1. 以至少用户管理员身份登录到 Microsoft Entra 管理中心。
2. 浏览到 Entra ID>用户。
3. 搜索你感兴趣的用户，然后选择包含该用户详细信息的行。
4. 选择“组”查看用户所属的组。

检查用户是否具有超过 999 个应用角色分配

如果用户具有超过 999 个应用角色分配，则他们可能无法在“我的应用”中看到其所有应用。

这是因为“我的应用”当前最多可读取 999 个应用角色分配，以确定向其分配用户的应用。 如果将用户分配给 999 个以上的应用，则无法控制将在“我的应用”门户中显示的应用。

若要检查用户是否具有超过 999 个应用角色分配，请执行以下步骤：

1. 安装 Microsoft.Graph PowerShell 模块。
2. 至少以Connect-MgGraph -Scopes "User.ReadBasic.All Application.Read.All"身份运行并登录。
3. 运行 (Get-MgUserAppRoleAssignment -UserId "<user-id>" -PageSize 999).Count 以确定当前已授予用户的应用角色分配数。
4. 如果结果为 999，则用户可能具有超过 999 个应用角色分配。

检查用户的已分配许可证

若要检查用户的已分配许可证，请执行以下步骤：

1. 以至少用户管理员身份登录到 Microsoft Entra 管理中心。
2. 浏览到 Entra ID>用户。
3. 搜索你感兴趣的用户，然后选择包含该用户详细信息的行。
4. 选择“许可证”查看当前已分配给用户的许可证。

为用户分配许可证

若要将许可证分配给用户，请执行以下步骤：

1. 以至少用户管理员身份登录到 Microsoft Entra 管理中心。
2. 浏览到 Entra ID>用户。
3. 搜索你感兴趣的用户，然后选择包含该用户详细信息的行。
4. 选择“许可证”查看当前已分配给用户的许可证。
5. 选择“分配”按钮。
6. 从可用产品列表中选择一个或多个许可证。
7. 可选：选择“查看许可证选项”以精细分配产品。
8. 选择“保存”。

深层链接疑难解答

深层链接或用户访问 URL 是用户可用来直接从其浏览器 URL 栏访问其密码 - SSO 应用程序的链接。 通过导航到此链接，用户会自动登录到应用程序，而不必先转到“我的应用”。 此链接与用户从 Microsoft 365 应用程序启动器访问这些应用程序时使用的链接相同。

检查深层链接

若要检查是否具有正确的深层链接，请执行以下步骤：

1. 以至少云应用程序管理员身份登录到 Microsoft Entra 管理中心。
2. 浏览到 Entra ID>企业应用程序>所有应用程序。
3. 在“搜索”框中输入现有应用程序的名称，然后从搜索结果中选择该应用程序。
4. 找到“用户访问 URL”标签。 深层链接应与此 URL 匹配。

联系支持人员

打开支持票证，并提供以下信息（如有）：

• 相关错误 ID
• UPN（用户电子邮件地址）
• TenantID
• 浏览器类型
• 错误发生的时区和时间/时间段
• Fiddler 跟踪

后续步骤

• 有关应用程序管理的快速入门系列