Um utilizador federado é repetidamente solicitado para credenciais durante a entrada no Office 365, Azure ou Intune

Nota

O Office 365 ProPlus está a ser renomeado para Aplicações do Microsoft 365 para empresas. Para obter mais informações sobre essa alteração, leia este post no blog.

Importante

Este artigo contém informações que mostram como ajudar a reduzir as definições de segurança ou como desativar as funcionalidades de segurança num computador. Pode fazer estas alterações para resolver um problema específico. Antes de fazer estas alterações, recomendamos que avalie os riscos associados à implementação desta solução no seu ambiente específico. Se implementar esta solução alternativa, tome quaisquer medidas adicionais apropriadas para ajudar a proteger o computador.

Problema

Um utilizador federado é repetidamente solicitado para credenciais quando o utilizador tenta autenticar o ponto final de serviço da Federação de Diretórios Ativos (AD FS) durante a sação para um serviço de cloud da Microsoft, como o Office 365, Microsoft Azure ou Microsoft Intune. Quando o utilizador cancela, o utilizador recebe a mensagem de erro Access Negado.

Causa

O sintoma indica um problema com a autenticação integrada do Windows com FS AD. Esta questão pode ocorrer se uma ou mais das seguintes condições forem verdadeiras:

  • Foi utilizado um nome de utilizador ou palavra-passe incorreto.

  • As definições de autenticação dos Serviços de Informação da Internet (IIS) são configuradas incorretamente em FS AD.

  • O nome principal do serviço (SPN) que está associado à conta de serviço que é usada para gerir a fazenda de servidores da federação de FS da AD está perdido ou corrompido.

    Nota

    Isto ocorre apenas quando o AD FS é implementado como uma fazenda de servidores da federação e não implementado numa configuração autónoma.

  • Uma ou mais das seguintes pessoas são identificadas pela Proteção Alargada para a Autenticação como fonte de um ataque homem-no-meio:

    • Alguns navegadores de Internet de terceiros
    • O firewall da rede corporativa, o balanceador de carga de rede ou outro dispositivo de rede está a publicar o Serviço de Federação AD FS para a Internet de forma a que os dados de carga útil IP possam potencialmente ser reescritos. Isto inclui, possivelmente, os seguintes tipos de dados:
      • Ponte de camada de tomadas seguras (SSL)

      • Descarga SSL

      • Filtragem de pacotes imponentes

        Para mais informações, consulte o seguinte artigo da Base de Conhecimento da Microsoft:

        2510193   Cenários apoiados para a utilização de FS AD para configurar um único registo no Office 365, Azure ou Intune

    • Uma aplicação de monitorização ou desencriptação SSL é instalada ou está ativa no computador cliente
  • A resolução do Sistema de Nomes de Domínio (DNS) do ponto final do serviço AD FS foi realizada através de um exame de registo CNAME em vez de através de uma procura de registo A.

  • O Windows Internet Explorer não está configurado para passar a autenticação integrada do Windows para o servidor AD FS.

Antes de começar a resolver problemas

Verifique se o nome de utilizador e a palavra-passe não são a causa do problema.

  • Certifique-se de que o nome de utilizador correto é utilizado e está no formato nome principal do utilizador (UPN). Por exemplo, johnsmith@contoso.com .

  • Certifique-se de que a palavra-passe correta é utilizada. Para verificar duas vezes se a palavra-passe correta é utilizada, poderá ter de redefinir a palavra-passe do utilizador. Para mais informações, consulte o seguinte artigo da Microsoft TechNet:

    Redefinir uma palavra-passe do utilizador

  • Certifique-se de que a conta não está bloqueada, expirada ou utilizada fora do horário de início de s. Para mais informações, consulte o seguinte artigo da Microsoft TechNet: Managing Users

Verifique a causa

Para verificar se os problemas da Kerberos estão a causar o problema, contornar temporariamente a autenticação de Kerberos, permitindo a autenticação baseada em formulários na exploração de servidores da federação de FS da AD. Para tal, siga estes passos:

Passo 1: Editar o ficheiro web.config em cada servidor na fazenda de servidores da federação de FS AD

  1. No Windows Explorer, localize a pasta C:\inetpub\adfs\ls\ls\ e, em seguida, faça uma cópia de cópia de segurança do ficheiro web.config.

  2. Clique em Iniciar, clique em Todos os Programas, clique em Acessórios, clique com o botão direito Notepade, em seguida, clique em Executar como administrador. Accessories

  3. No menu 'Ficheiro', clique em Abrir. Na caixa 'Nome do Ficheiro', escreva C:\inetpub\adfs\ls\web.config e, em seguida, clique em Abrir.

  4. No ficheiro web.config, siga estes passos:

    1. Localize a linha que contém <authentication mode> , e, em seguida, altere-a para <authentication mode="Forms"/> .

    2. Localize a secção que começa com <localAuthenticationTypes> , e, em seguida, altere a secção de modo a que o <adicionar nome="Formulários"> entrada seja listada primeiro, da seguinte forma:

      <localAuthenticationTypes>
      <add name="Forms" page="FormsSignIn.aspx" />
      <add name="Integrated" page="auth/integrated/" />
      <add name="TlsClient" page="auth/sslclient/" />
      <add name="Basic" page="auth/basic/" />
      
  5. No menu 'Ficheiro', clique em Guardar.

  6. Com um pedido de comando elevado, reinicie o IIS utilizando o iisresetcommand.

Passo 2: Testar a funcionalidade AD FS

  1. Num computador cliente que esteja conectado e autenticado no ambiente AD DS no local, inscreva-se no portal de serviços na nuvem.

    Em vez de uma experiência de autenticação sem emenda, deve ser experimentado um sign-in baseado em formulários. Se a entrada for bem sucedida utilizando a autenticação baseada em formulários, isto confirma que existe um problema com kerberos no Serviço de Federação de FS da AD.

  2. Reverta a configuração de cada servidor na quinta do servidor da federação AD FS para as definições de autenticação anteriores antes de seguir os passos na secção "Resolução". Para reverter a configuração de cada servidor na fazenda de servidores da federação AD FS, siga estes passos:

    1. No Windows Explorer, localizar a pasta C:\inetpub\adfs\ls\ls\ e, em seguida, eliminar o ficheiro web.config.
    2. Mova a cópia de segurança do ficheiro web.config que criou no "Passo 1: Edite o ficheiro web.config em cada servidor da quinta do servidor da federação AD FS" para a pasta C:\inetpub\adfs\ls\ls\ .
  3. Com um pedido de comando elevado, reinicie o IIS utilizando o iisresetcommand.

  4. Verifique se o comportamento de autenticação da AD FS reverte para a questão original.

Solução

Para resolver a questão dos Kerberos que limita a autenticação da AD FS, utilize um ou mais dos seguintes métodos, conforme adequado para a situação.

Resolução 1: Redefinir as definições de autenticação AD FS para os valores predefinidos

Se as definições de autenticação AD FS IIS estiverem incorretas ou as definições de autenticação IIS para serviços da Federação de FS AD e serviços de procuração não corresponderem, uma solução é redefinir todas as definições de autenticação do IIS nas definições de AD FS predefinidos.

As definições de autenticação predefinido estão listadas na tabela seguinte.

Aplicação virtual Nível de autenticação
Web Site/adfs predefinidos Autenticação anónima
Web Site/adfs/ls predefinido Autenticação anónima, autenticação do Windows

Em cada servidor da federação AD FS e em cada proxy de servidor da federação AD FS, utilize as informações no seguinte artigo da Microsoft TechNet para redefinir as aplicações virtuais AD FS IIS para as definições de autenticação predefinido:

Autenticação configurante no IIS 7

Para obter mais informações sobre como resolver este erro, consulte os seguintes artigos da Base de Conhecimento do Microsoft:

  • 907273 Resolução de problemas HTTP 401 erros no IIS

  • 871179 Recebe uma mensagem de erro "HTTP Error 401.1 - Unauthorized: Access is deniedd due to invalid credentials" error message when you try to access a Web site that is part of a IIS 6.0 application pool

Resolução 2: Corrigir a exploração de servidores da federação AD FS SPN

Nota

Experimente esta resolução apenas quando o AD FS for implementado como uma fazenda de servidores da federação. Não tente esta resolução numa configuração autónoma da AD FS.

Para resolver o problema se o SPN para o serviço AD FS for perdido ou corrompido na conta de serviço AD FS, siga estes passos num servidor na fazenda de servidores da federação AD FS:

  1. Abra o snap-in de gestão de serviços. Para isso, clique em Iniciar, clique em Todos os Programas, clique em Ferramentas Administrativase, em seguida, clique em Serviços. Administrative Tools

  2. Clique duas vezes no Serviço de Windows (2.0) do Windows.

  3. No separador Registar Aba, note a conta de serviço que é apresentada nesta Conta.

  4. Clique em Iniciar, clique em Todos os Programas, clique em Acessórios, clique no pedido de comandoà direita e, em seguida, clique em Executar como administrador. Accessories

  5. Digite o seguinte comando e, em seguida, prima Enter.

    SetSPN –f –q host/<AD FS service name>
    

    Nota

    Neste comando, <AD FS service name> representa o nome de serviço de nome de domínio totalmente qualificado (FQDN) do ponto final do serviço AD FS. Não representa o nome de anfitrião do Windows do servidor AD FS.

    • Se mais do que uma entrada for devolvida para o comando, e o resultado estiver associado a uma conta de utilizador diferente da que foi notada no passo 3, remova essa associação. To do this, run the following command:

      SetSPN –d host/<AD FS service name><bad_username>
      
    • Se mais de uma entrada for devolvida para o comando, e o SPN usar o mesmo nome do nome de computador do servidor AD FS no Windows, o nome final da federação para AD FS está incorreto. A AD FS tem de ser implementada novamente. O FQDN da fazenda de servidores da federação AD FS não deve ser idêntico ao nome anfitrião do Windows de um servidor existente.

    • Se o SPN já não existir, executar o seguinte comando:

      SetSPN –a host/<AD FS service name><username of service account>  
      

      Nota

      Neste comando, <username of service account> representa o nome de utilizador que foi anotado no passo 3.

  6. Depois de estes passos serem realizados em todos os servidores da fazenda de servidores da federação AD FS, clique com o botão direito AD FS (2.0) Serviço windows no snap-in de gestão de serviços e, em seguida, clique em Restart.

Resolução 3: Resolver preocupações de proteção alargada para a autenticação

Para resolver o problema se a Proteção Alargada de Autenticação previne a autenticação bem sucedida, utilize um dos seguintes métodos recomendados:

  • Método 1: Utilize o Windows Internet Explorer 8 (ou uma versão posterior do programa) para iniciar sinsuções.
  • Método 2: Publicar serviços AD FS na Internet de modo a que a ponte SSL, a descarga SSL ou a filtragem de pacotes imponentes não reescrevam os dados de carga útil IP. A recomendação de boas práticas para este fim é usar um Servidor Proxy AD FS.
  • Método 3: Fechar ou desativar as aplicações de monitorização ou desencriptação SSL.

Se não puder utilizar nenhum destes métodos, para contornar este problema, a Proteção Alargada de Autenticação pode ser desativada para clientes passivos e ativos.

Solução alternativa: Desativar proteção alargada para autenticação

Aviso

Não recomendamos que utilize este procedimento como solução a longo prazo. A desativação da Proteção Alargada de Autenticação enfraquece o perfil de segurança do serviço AD FS ao não detetar certos ataques man-in-the-middle nos pontos finais integrados de autenticação do Windows.

Nota

Quando esta solução é aplicada para funcionalidades de aplicações de terceiros, também deverá desinstalar hotfixes no sistema operativo do cliente para Proteção Alargada para Autenticação.

Para clientes passivos

Para desativar a Proteção Alargada de Autenticação para clientes passivos, execute o seguinte procedimento para as seguintes aplicações virtuais IIS em todos os servidores da fazenda de servidores da federação AD FS:

  • Web Site/adfs predefinidos
  • Web Site/adfs/ls predefinido

Para tal, siga estes passos:

  1. Abra o IIS Manager e navegue até ao nível que pretende gerir. Para obter informações sobre a abertura do IIS Manager, consulte Open IIS Manager (IIS 7).
  2. Na visualização de funcionalidades, a autenticaçãode duplo clique .
  3. Na página autenticação, selecione Autenticação do Windows.
  4. No painel de Ações, clique em Definições Avançadas.
  5. Quando aparecer a caixa de diálogo de definições avançadas, selecione Offdo menu suspenso   de proteção estendida.

Para clientes ativos

Para desativar a Proteção Alargada de Autenticação para clientes ativos, execute o seguinte procedimento no servidor AD FS primário:

  1. Abrir janelas PowerShell.

  2. Executar o seguinte comando para carregar o Windows PowerShell para o snap-in AD FS:

    Add-PsSnapIn Microsoft.Adfs.Powershell
    
  3. Executar o seguinte comando para desativar a Proteção Alargada para Autenticação:

    Set-ADFSProperties –ExtendedProtectionTokenCheck "None"
    

Reativar a Proteção Alargada para a Autenticação

Para clientes passivos

Para reativar a Proteção Alargada de Autenticação para clientes passivos, execute o seguinte procedimento para as seguintes aplicações virtuais IIS em todos os servidores da fazenda de servidores da federação AD FS:

  • Web Site/adfs predefinidos
  • Web Site/adfs/ls predefinido

Para tal, siga estes passos:

  1. Abra o IIS Manager e navegue até ao nível que pretende gerir. Para obter informações sobre a abertura do IIS Manager, consulte Open IIS Manager (IIS 7).
  2. Na visualização de funcionalidades, a autenticaçãode duplo clique .
  3. Na página autenticação, selecione Autenticação do Windows.
  4. No painel de Ações, clique em Definições Avançadas.
  5. Quando aparecer a caixa de diálogo de definições avançadas, selecione Aceite no menu suspenso de proteção estendida.

Para clientes ativos

Para reativar a Proteção Alargada de Autenticação para clientes ativos, execute o seguinte procedimento no servidor AD FS primário:

  1. Abrir janelas PowerShell.

  2. Executar o seguinte comando para carregar o Windows PowerShell para o snap-in AD FS:

    Add-PsSnapIn Microsoft.Adfs.Powershell
    
  3. Executar o seguinte comando para permitir a Proteção Alargada para Autenticação:

    Set-ADFSProperties –ExtendedProtectionTokenCheck "Allow"
    

Resolução 4: Substituir os registos cname por registos A para AD FS

Utilize ferramentas de gestão de DNS para substituir cada registo DNS Alias (CNAME) que é utilizado para o serviço da federação por um registo de endereço DNS (A). Além disso, verifique ou considere as definições de DNS corporativos quando uma configuração de DNS de cérebro dividido for implementada. Para obter mais informações sobre como gerir os registos DNS, consulte a Managing DNS Records.

Resolução 5: Configurar o Internet Explorer como cliente AD FS para um único sign-on (SSO)

Para obter mais informações sobre como configurar o Internet Explorer para acesso AD FS, consulte Um utilizador federado é solicitado inesperadamente a entrar no trabalho ou nas credenciais de conta escolar.

Mais informações

Para ajudar a proteger uma rede, a AD FS utiliza proteção alargada para autenticação. A Proteção Alargada para a Autenticação pode ajudar a prevenir ataques man-in-the-middle em que um intruso interceta as credenciais de um cliente e as encaminha para um servidor. A proteção contra estes ataques é possível através da utilização de Obras de Ligação do Canal (CBT). O CBT pode ser necessário, permitido ou não exigido pelo servidor quando as comunicações são estabelecidas com os clientes.

A definição de FS ExtendedProtectionTokenCheck especifica o nível de proteção alargada para a autenticação que é suportada pelo servidor da federação. Estes são os valores disponíveis para esta definição:

  • Exigir: O servidor está totalmente endurecido. A proteção alargada é aplicada.
  • Permitir: Esta é a definição predefinida. O servidor está parcialmente endurecido. É aplicada uma proteção alargada aos sistemas envolvidos que sejam alterados para suportar esta funcionalidade.
  • Nenhum: O servidor está vulnerável. Proteção alargada não é aplicada.

As tabelas que se seguem descrevem como a autenticação funciona para três sistemas operativos e navegadores, dependendo das diferentes opções de Proteção Estendida que estão disponíveis em AD FS com IIS.

Nota

Os sistemas operativos do cliente do Windows devem ter atualizações específicas que sejam instaladas para utilizar eficazmente as funcionalidades de Proteção Alargada. Por predefinição, as funcionalidades são ativadas em FS AD.

Por predefinição, o Windows 7 inclui os binários apropriados para utilizar a Proteção Alargada.

Windows 7 (ou versões adequadamente atualizadas do Windows Vista ou do Windows XP)

Definição Exigir Permitir (o padrão) Nenhum
Cliente da Fundação de Comunicação do Windows (WCF) (todos os pontos finais) Obras Obras Obras
Internet Explorer 8 e versões posteriores Obras Obras Obras
Firefox 3.6 Falha Falha Obras
Safari 4.0.4 Falha Falha Obras

Windows Vista sem atualizações apropriadas

Definição Exigir Permitir (o padrão) Nenhum
Cliente WCF (Todos os pontos finais) Falha Obras Obras
Internet Explorer 8 e versões posteriores Obras Obras Obras
Firefox 3.6 Falha Obras Obras
Safari 4.0.4 Falha Obras Obras

Windows XP sem atualizações apropriadas

Definição Exigir Permitir (o padrão) Nenhum
Internet Explorer 8 e versões posteriores Obras Obras Obras
Firefox 3.6 Falha Obras Obras
Safari 4.0.4 Falha Obras Obras

Para obter mais informações sobre a Proteção Alargada para Autenticação, consulte o seguinte recurso microsoft:

Configurar opções avançadas para AD FS 2.0

Para obter mais informações sobre o cmdlet Set-ADFSProperties, aceda ao seguinte website da Microsoft:

Set-ADFSProperties

Ainda necessita de ajuda? Vá para a página web Comunidade Microsoft ou Fóruns do Azure Active Directory.

Os produtos de terceiros referidos neste artigo são fabricados por empresas independentes da Microsoft. A Microsoft não concede qualquer garantia, implícita ou de outra natureza, relativamente ao desempenho ou à fiabilidade destes produtos.