共用方式為

使用需要多重要素驗證 (MFA) 的帳戶來登入 Visual Studio

  • 發行項

在本文中,您將了解如何透過需要多重要素驗證 (MFA) 的帳戶來使用 Visual Studio。

為什麼要啟用 MFA 原則?

與外部來賓使用者共同作業時,建議使用條件式存取 (CA) 原則 (例如多重要素驗證 (MFA)) 來保護應用程式和資料。

啟用之後,來賓使用者不僅需要使用者名稱和密碼才能存取您的資源,而且必須滿足額外的安全性需求。 MFA 原則可以在租用戶、應用程式或個別來賓使用者層級上施行,方式就像針對您自己組織的成員啟用這些原則一樣。

注意

16.6 之前的 Visual Studio 版本在搭配使用已啟用 CA 原則 (例如 MFA) 的帳戶,且與兩個以上的租用戶相關聯時,可能會有降級的驗證體驗。

這些問題可能會導致 Visual Studio 執行個體每天多次提示重新驗證。 您可能必須重新輸入先前已驗證租用戶的認證,即使在相同的 Visual Studio 工作階段期間也是如此。

將 Visual Studio 與 MFA 原則搭配使用

您也可以在 Visual Studio 中存取透過 CA 原則 (例如 MFA) 保護的資源。 若要使用此增強的工作流程,您必須選擇使用系統的預設網頁瀏覽器,作為新增和重新驗證 Visual Studio 帳戶的機制。

Visual Studio 2022 版本 17.11 中,Windows 驗證代理人現在是在 Visual Studio 中新增和重新驗證帳戶的預設工作流程。

Windows 驗證訊息代理程式會使用 Web 帳戶管理員 (WAM) 並提供許多優點,例如安全性、改善的 MFA 支援,以及新增至 OS 和 Visual Studio 的帳戶之間的順暢整合。 在 Visual Studio 中使用 WAM 作為驗證機制可讓您更輕鬆地存取透過 CA 原則 (例如 MFA) 保護的資源。

從下拉式清單選取 Web 驗證訊息代理程式。

如果使用 WAM 時遇到任何問題,建議您改用系統 Web 瀏覽器來新增和重新驗證 Visual Studio 帳戶。

警告

不使用此工作流程可能會觸發降級體驗,在新增或重新驗證 Visual Studio 帳戶時,產生多個額外的驗證提示。

使用 Windows 驗證代理人

若要開始使用 WAM 作為 Visual Studio 中的驗證機制:

  1. 請更新至 Visual Studio 2022 17.11 版或更新版本

  2. 出現提示時,從 WAM 對話方塊中選擇一個帳戶。 如果您的帳戶未列出,請使用「新增帳戶」來新增。

    使用 Windows 驗證代理人工作流程新增帳戶。

您可以透過 Visual Studio 中的「帳戶設定」對話方塊管理您的帳戶。

建議使用 Windows 帳戶管理員 (WAM) 作為 Visual Studio 中的驗證機制,來新增和重新驗證帳戶。 但是,如果在使用 WAM 時遇到任何問題,您可以改用系統 Web 瀏覽器。

啟用系統網頁瀏覽器

注意

為了獲得最佳體驗,建議您先清除系統的預設網頁瀏覽器資料,再繼續進行此工作流程。 此外,如果您在 [存取公司或學校] 下的 Windows 10 設定中具有公司或學校帳戶,請驗證這些帳戶是否已正確驗證。

若要啟用系統 Web 瀏覽器工作流程,請前往 [Visual Studio 選項] 對話方塊 ([工具] > [選項]...),選取 [帳戶] 索引標籤,然後從 [使用下列方式新增及重新驗證帳戶:] 下拉式清單選取 [系統 Web 瀏覽器]。

從功能表中選取系統網頁瀏覽器。

使用 MFA 原則登入其他帳戶

啟用系統網頁瀏覽器工作流程之後,您可以像往常一樣登入或新增帳戶至 Visual Studio,透過 [帳戶設定] 對話方塊 ([檔案] > [帳戶設定...])

您可以透過 [設定檔卡片] 或帳戶設定對話方塊 ([檔案]>[帳戶設定...]) 來登入或新增帳戶到 Visual Studio。

Windows 驗證訊息代理程式

啟用 Windows 驗證代理人工作流程後,您可以像平常一樣登入或新增帳戶到 Visual Studio。 Web 帳戶管理員 (WAM) 可讓使用者使用 Windows 的已知帳戶登入,例如登入 Windows 工作階段的帳戶,藉此簡化登入體驗。

使用 Windows 驗證訊息代理程式工作流程,將其他帳戶新增至 Visual Studio。

系統網頁瀏覽器

啟用系統 Web 瀏覽器工作流程後,您可以像平常一樣登入或新增帳戶到 Visual Studio。

將新的個人化帳戶新增至 Visual Studio。

此動作會開啟系統的預設網頁瀏覽器、要求您登入您的帳戶,以及驗證任何必要的 MFA 原則。

在登入過程中,您可能會收到其他提示,要求您保持登入。 此提示可能會在第二次使用帳戶登入時顯示。 若要將重新輸入認證的需求降至最低,建議您選取 [是],因為這樣可確保您的認證會在瀏覽器工作階段之間保留。

是否要保持登入狀態?

根據您的開發活動和資源設定,系統可能仍會提示您在工作階段期間重新輸入認證。 當您新增資源,或在未事先符合 CA/MFA 授權需求,而嘗試存取資源時,可能會發生這種情況。

重新驗證帳戶

如果您的帳戶發生問題,Visual Studio 可能會要求您重新輸入帳號認證。

顯示需要重新驗證之帳戶的螢幕擷取畫面。

按一下 [重新輸入您的認證] 會開啟系統的預設網頁瀏覽器,並嘗試自動重新整理您的認證。 如果失敗,系統會要求您登入您的帳戶,並驗證任何必要的 CA/MFA 原則。

如果您的帳戶與多個 Azure Active Directory 相關聯,並遇到其中一或多個存取問題,[重新輸入您的認證] 對話方塊會顯示受影響的目錄和相關聯的 AADSTS 錯誤碼

您可以取消選取任何不想重新驗證的目錄,繼續使用主目錄的一般登入作業,以及保留所選項目的任何來賓租用戶。 在移除帳戶篩選條件之前,無法存取已取消選取的目錄以供日後使用。

重新驗證您的 Visual Studio 帳戶。

注意

為了獲得最佳體驗,請讓瀏覽器保持開啟狀態,直到對您的資源驗證所有 CA/MFA 原則為止。 關閉瀏覽器可能會導致遺失先前建置的 MFA 狀態,並可能會提示其他授權提示。

對登入問題進行疑難排解

CA/MFA 問題

如果您在使用系統網頁瀏覽器時遇到 CA/MFA 問題,及/或無法登入,請嘗試下列步驟以解決問題:

  1. 登出 Visual Studio 中的帳戶。
  2. 選取 [工具]>[選項]>[帳戶]> 取消核取 [於所有 Azure Active 目錄間進行驗證]
  3. 重新登入。

注意

在這些步驟之後,您可能可以登入,但您的帳戶會處於篩選狀態。 處於篩選狀態時,只有您帳戶的預設租用戶和資源可供使用。 所有其他 Microsoft Entra 租用戶和資源都會變成無法存取,但您可以手動重新將其新增

預先授權問題

預先授權錯誤對話方塊的螢幕擷取畫面。

從 Visual Studio 2022 17.5 版開始,如果您看到先前的錯誤對話方塊,請嘗試下列步驟來解決問題:

  1. 登出 Visual Studio 中的帳戶。
  2. 重新登入。
  3. 建立新的回報問題票證,說明您在遇到問題之前嘗試存取的活動及/或資源。

注意

建立票證可協助我們找出有問題的領域,並提供所需的記錄來調查並解決問題。

Web 帳戶管理員 (WAM) 錯誤

如果您在使用 Windows 驗證訊息代理程式工作流程登入 Visual Studio 時遭遇錯誤,請依照錯誤對話方塊所列的動作來解決或回報問題。 使用對話方塊上的連結來深入瞭解錯誤,或查看錯誤記錄檔。

TPM (受信任的平台模組) 錯誤

例如,如果看到以下錯誤對話方塊,您可以嘗試按照 TPM 錯誤疑難排解的指示來解決問題。

WAM 錯誤對話方塊的螢幕擷取畫面,其中包含可解決錯誤的變更驗證機制選項。

如果您需要切換到其他身分驗證機制,而不是 Windows Broker,您可以按照啟用系統 Web 瀏覽器的指示進行切換。 如果這些指示無法解決問題,並且您有支援合約,請在技術支援中開立支援票證。

如何在 Visual Studio 中選擇不使用特定的 Microsoft Entra 租用戶

Visual Studio 2019 16.6 版和更新版本提供彈性,以個別或全域方式篩選出租用戶,有效地從 Visual Studio 中隱藏租用戶。 篩選不需要向該租用戶進行驗證,但也表示您將無法存取任何相關聯的資源。

當您有多個租用戶,但想要以特定子集為目標來最佳化您的開發環境時,這項功能很有用。 當您無法驗證特定 CA/MFA 原則時,它也對執行個體很有用,因為您可以篩選出違規的租用戶。

如何篩選出所有租用戶

若要全域篩選出所有租用戶,請開啟 [帳戶設定] 對話方塊 ([檔案] > [帳戶設定...]> [帳戶選項]),請取消選取 [於所有 Azure Active 目錄間進行驗證] 核取方塊。

取消選取該選項可確保您只會向帳戶的預設租用戶進行驗證。 這也表示您將無法存取帳戶可能為來賓之其他租用戶相關聯的任何資源。

如何篩選出個別租用戶

若要篩選與 Visual Studio 帳戶相關聯的租用戶,請開啟 [帳戶設定] 對話方塊 ([檔案] > [帳戶設定...]),然後按一下 [套用篩選]

套用篩選。

[篩選帳戶] 對話方塊隨即出現,可讓您選取要與帳戶搭配使用的租用戶。

選取要篩選的帳戶。

取消選取要篩選的租用戶之後,[帳戶設定] 和 [篩選帳戶] 對話方塊會顯示篩選的狀態。

顯示「帳戶設定」和「篩選帳戶」對話方塊上已篩選租用戶狀態的螢幕擷取畫面

Visual Studio 的網路錯誤

在登入過程中,Visual Studio 可能會遇到與網路相關的錯誤,這些錯誤通常不是 Visual Studio 產品問題,可能需要由當地 IT 支援團隊進行調查。

錯誤「需要 Proxy 授權」

如果您的機器或組織使用了如防火牆或 Proxy 等安全措施,請確保您遵循了在 Proxy 或防火牆後使用 Visual Studio 的要求

SSL 錯誤

SSL 錯誤可能以多種形式出現。 一些範例包括:

  • 「基礎連線已關閉」
  • 「無法建立 SSL 連線」
  • 「無法建立 SSL/TLS 安全通道」
  • 「遠端主機已強制關閉一個現有連線。」 (這也可能是由於防火牆封鎖了連線)
  • 「基礎連線已關閉:傳送時發生非預期的錯誤」

這些錯誤可能是由以下原因造成的:

  1. 企業 Proxy 或防火牆會封鎖特定版本的 TLS
  2. 電腦上已啟用 TLS 1.3,但網路不支援。 您可以嘗試在機器上停用 TLS 1.3,以測試是否是這個原因。
  3. 群組原則限制了 SSL 演算法,而此允許清單並不符合伺服器的要求。

以下資源可能對排解 SSL 問題有所幫助:

停用 TLS 1.3

1.3: [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.3\Client] "DisabledByDefault"=dword:00000001 "Enabled"=dword:00000000

連線被拒絕錯誤

「無法建立連線,因為目標電腦主動拒絕了」

此錯誤代表當 Visual Studio 嘗試連線到互聯網端點時,電烤拒絕了連線。

常見的原因:

  • 如果錯誤訊息中顯示了位址「127.0.0.1」,則表示嘗試連線本地 Proxy 伺服器,但本地 Proxy 伺服器未執行。

  • VPN 連線 - 嘗試中斷任何 VPN 連線,然後重新嘗試連線。 如果這樣能解決問題,請聯絡 VPN 提供者或您的網路管理員。 這包括企業 VPN 或第三方 VPN 服務。

  • DNS - 您電腦上的網域查詢已解析為位指向預期伺服器的位址。 這代表連線被轉向了另一台未執行預期服務並拒絕連線的電腦。 若要偵錯此問題,您可以使用工具如 NsLookup,並將其與 Azure IP 範圍和服務標籤進行比較。

  • IPV6 - 部分電腦啟用了 IPV6,但網路不支援該通訊協定。 在這種情況下,您可能會看到連線被拒絕的訊息,因為無法找到伺服器。 嘗試在電腦上停用 IPV6 以查看連線是否正常。

  • SSL 問題 - 請參閱 SSL 錯誤

  • 網路上的 Proxy 或防火牆 - 如果網路上有 Proxy 或防火牆,連線時會第一個嘗試向該裝置發送通訊,也有可能是它拒絕連線。 您可以透過詢問網路管理員來確定防火牆或 Proxy 伺服器是否封鎖了連線。 或者,查看網路追蹤記錄可以表示正在要與哪台電腦進行連線,並找出是哪一方拒絕了連線。 如果是內部網路位址,則代表 Proxy 或防火牆封鎖了連線。 如果是外部 IP 位址,這通常代表 DNS、IPV6 或 SSL 問題。

網路相關問題通常與機器或網路設定有關,而非 Visual Studio。 開發人員社群可能會提供一些支援,但主要集中在 Visual Studio 內的功能,而不是電腦設定。 對於特定網路的支援,Microsoft 支援社群技術支援可能會有所幫助。

相關內容