小窍门
若要诊断并自动解决常见的 Office 登录问题,请运行 Microsoft 365 登录疑难解答。
默认情况下,Microsoft 365 企业应用版(2016 版)使用基于 Azure Active Directory 身份验证库(ADAL)框架的身份验证。 从内部版本 16.0.7967 开始,Office 使用 Web 帐户管理器(WAM)在低于 15000 的 Windows 内部版本(Windows 10 版本 1703 内部版本 15063.138)上使用登录工作流。
如果在 Windows 10 上的 Office 应用程序中遇到身份验证问题,请执行以下步骤:
- 根据 Microsoft 365 企业应用版的更新历史记录更新到您的频道的最新版本。
- 请确保正在运行 Windows 10 版本 22H2。
症状
在 Windows 10 上更新到 Microsoft Office 2016 内部版本 16.0.7967 或更高版本后,可能会遇到以下症状之一。
症状 1
当整个网络在设备上工作时,Office 应用程序可能会遇到连接问题。 你可能会收到类似于以下示例的消息:
需要 Internet 才能实现此要求。
我们无法连接到用于登录的必要服务之一。 请检查连接,然后重试。
0xCAA70007
若要确定是否遇到此问题,请执行以下步骤:
请确保运行的是 Office 内部版本 16.0.9126.2259 或更高版本。
打开事件查看器。
转到 应用程序和服务日志>Microsoft>Windows>AAD>操作。
查找提及
XMLHTTPWebRequest并包含显示以下模式的错误代码的条目:0x?AA7????, 0x?AA8????, 0x?AA3????, 0x102, 0x80070102请确保发生这些错误的时间与实际连接到 Internet 的时间相对应。 此外,请确保连接错误不是由 Wi-Fi 连接丢失或系统在网络堆栈休眠和初始化后唤醒引起的间歇性网络问题。
然后,若要确定问题是由网络环境、本地防火墙还是防病毒软件引起的,请执行以下步骤:
- 打开 Edge (不是 Internet Explorer),然后转到 https://login.microsoftonline.com。 你应该被带到 https://www.office.com 或你公司的默认登陆页面。 如果导航失败,则问题由网络环境或本地防火墙或防病毒软件引起。
- 在 InPrivate 模式下打开 Edge(而不是 Internet Explorer),然后转到 https://login.microsoftonline.com。 输入凭据后,应进入 https://www.office.com 或公司的默认登录页面。 如果导航失败,则问题由网络环境或本地防火墙或防病毒软件引起。
若要解决此问题,请确保本地防火墙、防病毒软件和 Windows Defender 不会阻止参与令牌获取的以下过程:
- C:\Windows\SystemApps\Microsoft.AAD.BrokerPlugin_cw5n1h2txyewy\Microsoft.AAD.BrokerPlugin.exe
- C:\Windows\System32\backgroundTaskHost.exe
此外,请确保网络环境不会阻止主要目标 https://login.microsoftonline.com。
注意:此主地址涵盖许多 IP 地址和许多服务。 其中一些地址可能在您所在的环境中无缘无故地被阻止。 此条件可能会导致间歇性问题影响某些设备,而其他设备继续正常工作。
症状 2
尝试在 Microsoft 365 中打开或保存 SharePoint 和 OneDrive 中的文档时,或者尝试在 Microsoft Outlook 中同步电子邮件或日历条目时,系统会提示输入凭据。 输入凭据后,系统会再次提示你。
此问题可能由于以下原因而发生:
受信任的平台模块(TPM)芯片或固件出现故障。 Windows 使用 TPM 芯片来保护凭据。 在某些情况下,芯片可能会损坏或重置。 若要确定是否遇到此类问题,请执行以下步骤:
打开事件查看器。
转到 应用程序和服务日志>Microsoft>Windows>AAD>操作。
查找显示以下模式的错误:
0x?028????, 0x?029????, 0x?009????
若要避免将来出现此问题,建议更新 TPM 固件。
对于 Windows 10 版本 1709 或更高版本:操作系统会自动检测与 TPM 故障相关的情况,并提供用户恢复过程,该过程应自动发生。 如果未自动执行此过程,建议使用 手动恢复 方法。
由于安全问题或错误,用户、管理员或策略禁用了设备。 若要确定是否遇到此问题,请执行以下步骤:
打开事件查看器。
转到 应用程序和服务日志>Microsoft>Windows>AAD>操作。
查找以下消息:
说明:AADSTS70002:验证凭据时出错。 AADSTS135011:禁用身份验证期间使用的设备。
若要解决此问题,我们建议管理员在 Active Directory 或Microsoft Entra ID 中启用设备。 有关如何在 Microsoft Entra ID 中管理设备的信息,请参阅 使用 Microsoft Entra 管理中心管理设备标识。
由于安全问题或错误,管理员或策略删除了设备。 若要确定是否遇到此问题,请执行以下步骤:
打开事件查看器。
转到 应用程序和服务日志>Microsoft>Windows>AAD>操作。
寻找以下消息:
说明:AADSTS70002:验证凭据时出错。 AADSTS50155:设备未进行身份验证。**
若要解决此问题,建议使用 手动恢复 方法恢复设备。
注意:如果组织中没有人删除该设备,请提交支持请求并提供未恢复的设备示例。
手动恢复
若要执行手动恢复,请遵循相应的步骤,具体取决于设备加入方式(Microsoft Entra 混合联接、添加工作帐户或Microsoft Entra 联接)。
Microsoft Entra 混合联接
运行
dsregcmd /status命令。 结果输出应包含 “设备状态 ”部分下的以下字段:
AzureAdJoined : YES DomainJoined : YES DomainName : <CustomerDomain>当前登录用户应为域用户。 受影响的身份应为当前登录用户。
若要执行恢复,请在
dsregcmd /leave提升的命令提示符窗口中运行该命令,然后重启设备。添加工作帐户
运行
dsregcmd /status命令。结果输出应包含 “用户状态 ”部分下的以下字段:
WorkplaceJoined : YES设备状态可以设置为任何选项。 当前登录用户可以是任何用户。 受影响的身份应该是 设置>帐户>访问工作或学校中的工作或学校帐户。
若要执行恢复,请在 设置>帐户>访问工作或学校中删除工作帐户,然后还原工作帐户。
Microsoft Entra 加入
运行
dsregcmd /status命令。结果应包含 “设备状态 ”部分下的以下字段:
AzureAdJoined : YES DomainJoined : NO当前登录用户应为 Microsoft Entra 用户。 受影响的身份应为当前登录用户。
若要执行恢复,请执行以下步骤:
- 备份数据。
- 创建新的本地管理员。
- 断开当前登录用户帐户与域的连接。 为此,请转到 “设置>帐户>访问工作或学校”,选择该帐户,然后选择“ 断开连接”。
- 使用新的本地管理员帐户登录,并重新连接到 Microsoft Entra ID。
症状 3
登录工作流停止,或者屏幕上未显示任何进度。 登录窗口显示“登录”消息或空白身份验证屏幕。
出现此问题的原因是 WAM 禁用非 HTTPS 流量以防止安全威胁,例如有人窃取用户凭据。 若要确定是否遇到此问题,请执行以下步骤:
打开事件查看器。
转到 应用程序和服务日志>Microsoft>Windows>AAD>操作。
寻找以下消息:
导航到非 SSL 目标。 禁止使用非安全通信。 取消导航。
若要解决此问题并保护用户凭据,建议在标识服务器上启用 HTTPS。
症状 4
你有一个非持久性虚拟桌面基础结构(VDI)环境,该环境具有配置为 Single-Sign“开”(SSO)的联合标识提供者(IdP)。 由于配置了 SSO,因此不必担心会被提示激活或登录。 但是,系统会提示你登录每个新会话。 此外, Office ULS 日志 还显示以下错误消息:
{“Action”: “BlockedRequest”, “HRESULT”: “0xc0f10005”
若要解决此问题,请提交支持请求。 我们需要更多日志报告来帮助查明问题。