Problemi di connessione durante l'accesso dopo l'aggiornamento a Office 2016 build 16.0.7967 in Windows 10

Nota

Office 365 ProPlus viene rinominato in Microsoft 365 Apps for enterprise. Per ulteriori informazioni su questa modifica, leggere questo post di blog.

Suggerimento

Per diagnosticare e risolvere automaticamente diversi problemi comuni di accesso a Office, è possibile scaricare ed eseguire l'Assistente supporto e ripristino di Microsoft.

Panoramica

Questo articolo contiene informazioni su un nuovo framework di autenticazione per Microsoft Office 2016.

Per impostazione predefinita, Microsoft 365 Apps for enterprise (versione 2016) usa l'autenticazione basata su framework di Azure Active Directory Authentication Library (ADAL). A partire dalla build 16.0.7967, Office utilizza Gestione account Web per i flussi di lavoro di accesso nelle build di Windows successive a 15000 (Windows 10, versione 1703, build 15063.138).

Indicazioni generali

Se si verificano problemi di autenticazione nell'applicazione di Office in Windows 10, si consiglia di procedere come segue:

Sintomi

Dopo l'aggiornamento a Microsoft Office 2016 build 16.0.7967 o a una versione successiva di Windows 10, è possibile che si verifichi uno dei seguenti sintomi.

Sintomo 1

Quando la rete complessiva funziona sui dispositivi, le applicazioni di Office potrebbero riscontrare problemi di connessione. È possibile che venga visualizzato un messaggio analogo al seguente:

Screenshot del messaggio di errore che indica che è necessaria la connessione Internet.

Per determinare se si tratta di un problema di questo tipo, attenersi alla seguente procedura:

  1. Assicurarsi di eseguire Office, build 16.0.9126.2259 o versione successiva.  (L'ultima build sul canale è fantastica. Vedere le indicazioni generali nella sezione Informazioni generali.)

  2. Aprire Visualizzatore eventi.

  3. Passare a Registri applicazioni e servizi > Microsoft > Windows > AAD.

  4. Nei registri operativi, individuare i messaggi da XMLHTTPWebRequest che hanno il seguente schema:

    0x?aa7????,  0x?aa8????, 0x?aa3????, 0x102, 0x80070102
    
  5. Assicurarsi che l'ora di questi errori sia correlata all'ora in cui si disponeva effettivamente di una connessione Internet. Questo non è un problema di rete intermittente a causa della perdita di una connessione Wi-Fi o di una riattivazione dopo l'ibernazione e l'inizializzazione dello stack di rete.

Per determinare se il problema è dovuto all'ambiente di rete o al software firewall/antivirus locale, attenersi alla seguente procedura:

  1. Aprire Edge (non Internet Explorer) e passare a https://login.microsoftonline.com. La navigazione dovrebbe visualizzare https://www.office.com o la pagina di destinazione predefinita dell'azienda. In caso di errore, il problema riguarda un ambiente di rete o un software firewall/antivirus locale.

  2. Aprire Edge (non Internet Explorer) in modalità InPrivate e passare a https://login.microsoftonline.com. Dopo aver immesso le credenziali, la navigazione dovrebbe visualizzare https://www.office.com o la pagina di destinazione predefinita dell'azienda. In caso di errore, il problema riguarda un ambiente di rete o un software firewall/antivirus locale.

Per risolvere questo problema, assicurarsi che il firewall locale, il software antivirus e Windows Defender non blocchino i seguenti processi di plug-in AAD WAM coinvolti nell'acquisizione di token:

C:\Windows\SystemApps\Microsoft.AAD.BrokerPlugin_cw5n1h2txyewy\Microsoft.AAD.BrokerPlugin.exe

C:\Windows\System32\backgroundTaskHost.exe

Nota Il PackageFamilyName del plugin è il seguente:

Microsoft.AAD.BrokerPlugin_cw5n1h2txyewy

Assicurarsi inoltre che l'ambiente di rete non blocchi la destinazione primaria:

https://login.microsoftonline.com/

Nota Questo indirizzo primario riguarda molti indirizzi IP (e molti servizi). Alcuni di questi indirizzi possono essere bloccati nell'ambiente senza un motivo valido, il che causa problemi intermittenti in alcuni dispositivi mentre altri funzionano senza problemi.

Sintomo 2

Quando si tenta di aprire o salvare un documento in Microsoft SharePoint Online, OneDrive for Business o SharePoint, o si tenta di sincronizzare i messaggi di posta elettronica o il calendario in Microsoft Outlook, verranno richieste le credenziali. Dopo aver immesso le credenziali, la richiesta verrà ripetuta. Questo problema può verificarsi per i seguenti motivi:

  • Il chip o il firmware del Trusted Platform Module (TPM) non funziona correttamente. Windows utilizza il chip TPM per proteggere le credenziali. Il chip potrebbe essere danneggiato o reimpostato in alcune situazioni. Per determinare se si sta verificando questo tipo di problema, attenersi alla seguente procedura:

    1. Aprire Visualizzatore eventi.
    2. Passare a Registri applicazioni e servizi > Microsoft > Windows > AAD.
    3. Nei registri operativi, individuare gli errori che visualizzano lo schema seguente: 0x?028????, 0x?029???? o 0x?009????

    Per evitare questo problema in futuro, si consiglia di aggiornare il firmware TPM.

    Per Windows 10, versione 1709 o versioni successive: Il sistema operativo rileva automaticamente le situazioni correlate agli errori del TPM e fornisce un processo di ripristino dell'utente in modo automatico. Se questo processo non si verifica automaticamente, si consiglia di utilizzare questo metodo di ripristino manuale.

    Per Windows 10, versione 1703: Viene fornito un processo automatico per l'aggiunta ad Azure AD ibrido. Non viene fornito alcun processo automatico per altre configurazioni di ambiente. Se il processo di aggiunta ad Azure AD ibrido non si verifica automaticamente, è consigliabile usare questo metodo di ripristino manuale.

  • Un dispositivo è disabilitato dall'utente, dall'amministratore dell'organizzazione o da un criterio a causa di un problema di sicurezza o per errore. Per determinare se si sta verificando questo problema, attenersi alla seguente procedura:

    1. Aprire Visualizzatore eventi.
    2. Passare a Registri applicazioni e servizi > Microsoft > Windows > AAD.
    3. Nei registri operativi, individuare il seguente messaggio:

    Descrizione: AADSTS70002: Errore durante la convalida delle credenziali. AADSTS135011: Il dispositivo utilizzato durante l'autenticazione è disabilitato.

    Per risolvere questo problema, è consigliabile che l'amministratore dell'organizzazione abiliti il dispositivo in Active Directory o in Azure Active Directory (Azure AD). Per informazioni su come gestire i dispositivi in Azure AD, vedere la sezione Attività di gestione dei dispositivi dell'argomento "Come gestire i dispositivi tramite il portale di Azure" nel sito Web Microsoft Docs.

  • L'amministratore dell'organizzazione o un criterio ha eliminato un dispositivo per motivi di sicurezza o per errore. Per verificare che si sta verificando questo problema, attenersi alla seguente procedura:

    1. Aprire Visualizzatore eventi.
    2. Passare a Registri applicazioni e servizi > Microsoft > Windows > AAD.
    3. Nei registri operativi, individuare il seguente messaggio:

    Descrizione: AADSTS70002: Errore durante la convalida delle credenziali. AADSTS50155: Il dispositivo non è autenticato.

    Per risolvere questo problema, si consiglia di ripristinare il dispositivo utilizzando il metodo di ripristino manuale. Nota Se nessuno nell'organizzazione ha eliminato il dispositivo, si prega di aprire un ticket di supporto e fornire un esempio di un dispositivo che non è stato ripristinato.

Ripristino manuale

Per eseguire un ripristino manuale del computer, seguire la procedura appropriata a seconda di come il dispositivo è stato aggiunto al cloud (aggiunta ad Azure AD ibrido, aggiunta a un account aziendale o aggiunta ad Azure AD).

  • Aggiunta ad Azure AD ibrido

    Eseguire il comando seguente: >dsregcmd /status

    Il risultato dovrebbe contenere i seguenti campi (in Stato dispositivo):

    AzureAdJoined : YES
    DomainJoined : YES
    DomainName : <CustomerDomain>
    

    L'accesso utente corrente deve essere un utente di dominio. L'identità interessata deve essere l'accesso utente corrente.

    Recupero (metodo sicuro):

    Eseguire il comando Dsregcmd /leave in una finestra del prompt dei comandi amministrativa e quindi riavviare il sistema.

  • Aggiungere un account aziendale

    Eseguire il comando seguente:   >dsregcmd /status

    Il risultato deve contenere il seguente campo (in Stato utente):

    WorkplaceJoined : YES
    

    Lo stato del dispositivo può essere impostato su qualsiasi opzione. L'utente corrente che ha effettuato l'accesso può essere qualsiasi utente. L'identità interessata deve essere un account aziendale o dell'istituto di istruzione che è possibile visualizzare in Impostazione > Account > Accedi all'azienda o all'istituto di istruzione.

    Recupero (metodo sicuro):

    Rimuovere l'account aziendale in Impostazione > Account > Accedi all'azienda o all'istituto di istruzione e quindi ripristinare l'account aziendale.

  • Aggiunta ad Azure AD

    Eseguire il comando seguente:   >dsregcmd /status

    Il risultato dovrebbe contenere i seguenti campi (in Stato dispositivo):

    AzureAdJoined : YES
    DomainJoined : NO
    

    L'accesso utente corrente deve essere un utente di Azure Active Directory (AAD). L'identità interessata deve essere l'accesso utente corrente.

    Ripristino:

    Nota: Per prima cosa eseguire il backup dei dati.

    Creare un nuovo amministratore locale. Disconnettersi dal dominio (Impostazione > Account > Accedi all'azienda o all'istituto di istruzione > Disconnetti). Accedere quindi come nuovo amministratore locale e riconnettersi ad Azure AD.

Sintomo 3

Il flusso di lavoro di accesso di Office si interrompe o non mostra alcuno stato di avanzamento sullo schermo. La finestra di accesso mostra un messaggio "Accesso in corso" o una schermata di autenticazione vuota.

Screenshot della pagina di accesso.

Questo problema si verifica perché WAM sta disabilitando il traffico non HTTPS per prevenire minacce alla sicurezza, ad esempio il furto delle credenziali degli utenti. Per verificare che si sta verificando questo problema, attenersi alla seguente procedura:

  1. Aprire Visualizzatore eventi.

  2. Passare a Registri applicazioni e servizi > Microsoft > Windows > AAD.

  3. Nei registri operativi, individuare il seguente messaggio:

    Passaggio a una destinazione non SSL. La comunicazione non sicura non è consentita. Annullamento del passaggio in corso.

Per risolvere questo problema e proteggere le credenziali utente, è consigliabile abilitare HTTPS sui server di identità.

Sintomo 4

Si dispone di un ambiente VDI (Virtual Desktop Infrastructure) non permanente che presenta un provider di identità federato (IdP) configurato come Single Sign-On (SSO). Non è previsto che venga richiesta l'attivazione o l'accesso perché l'SSO è configurato. Tuttavia, viene richiesto di accedere ad ogni nuova sessione. I registri ULS di Office visualizzano il seguente messaggio di errore:

{"Azione": "BlockedRequest", "HRESULT": "0xc0f10005"

Nota

Se si verifica questo problema, aprire un caso di supporto. Per isolare il problema sono necessari più report di voci di registro.

Ulteriori informazioni

Le linee guida seguenti si applicano a questo articolo:

  • Nelle build di Windows 7, Windows 8, Windows 8.1 o Windows 10 precedenti a 15000, l'autenticazione ADAL è l'unica opzione.
  • La build di Windows deve essere successiva a 15000 (Windows 10, versione 1703, build 15063.138, generalmente disponibile). Per ulteriori informazioni, vedere Informazioni sulla versione di Windows 10.
  • Questo articolo è valido sia per le soluzioni Microsoft Federation che per quelle che non sono Microsoft Federation.

Per ulteriori informazioni, vedere il seguente articolo della Microsoft Knowledge Base:

4347010 Codice di errore: 0x8004deb4 quando si accede a OneDrive for Business