Проблемы с подключением при входе в систему после обновления до Office 2016, сборка 16.0.7967, на Windows 10

Примечание

Office 365 ProPlus переименован в Майкрософт 365 корпоративные приложения. Для получения дополнительной информации об этом изменении прочитайте этот блог.

Совет

Для диагностики и автоматического устранения нескольких распространенных проблем, связанных с регистрацией Office, можно загрузить и запустить Помощник по поддержке и восстановлению Microsoft.

Обзор

Эта статья содержит информацию о новой системе проверки подлинности для Microsoft Office 2016.

По умолчанию приложения Microsoft 365 для предприятий (версия 2016 года) используют проверку подлинности на основе инфраструктуры Azure Active Directory Authentication Library (ADAL). Начиная с сборки 16.0.7967, Office использует диспетчер учетных веб-записей (WAM) для рабочих процессов входа в сборках Windows позднее, чем 15000 (Windows 10, версия 1703, сборка 15063.138).

Общие рекомендации

Если у вас возникли проблемы с аутентификацией в приложении Office на Windows 10, мы рекомендуем выполнить следующие действия:

  • Обновление продуктов Office до последней сборки для вашего канала в соответствии с историей обновления для Приложения Microsoft 365 для предприятий (перечислены по дате).
  • Убедитесь, что вы используете любую из следующих сборок Windows:
    • Любая сборка для Windows 10, версии 1809 или более поздней версии
    • 17134.677 или более поздние сборки для Windows 10, версия 1803
    • 16299.461 или более поздние сборки для Windows 10, версия 1709
    • 15063.1112 или более поздние сборки для Windows 10, версия 1703

Симптомы

После обновления до версии Microsoft Office 2016, сборка 16.0.7967 или более поздней версии для Windows 10, у вас может возникнуть один из следующих симптомов.

Симптом 1

Когда общая сеть работает на ваших устройствах, у приложений Office могут возникнуть проблемы с подключением. При этом появляется следующее сообщение об ошибке:

Для этого вам понадобится подключение к Интернету.
Не удалось подключиться к одной из служб, необходимых для входа в систему. Проверьте сетевое подключение и повторите попытку.
0xCAA70007

Снимок экрана с сообщением об ошибке, в котором говорится, что для этого требуется подключение к Интернету.

Чтобы определить, испытываете ли вы такую проблему, выполните следующие действия:

  1. Убедитесь, что вы используете сборку Office 16.0.9126.2259 или более позднюю сборку.  (Последняя сборка на вашем канале отлично подходит. См. Общее руководство в разделе Обзор.)

  2. Откройте окно просмотра событий.

  3. Перейдите к Журналам приложений и служб > Microsoft > Windows > AAD.

  4. В операционных журналах найдите сообщения XMLHTTPWebRequest, которые имеют следующий шаблон:

    0x?aa7????,  0x?aa8????, 0x?aa3????, 0x102, 0x80070102
    
  5. Убедитесь, что время этих ошибок связано с временем, когда у вас действительно было подключение к Интернету. Это не периодическая проблема сети из-за потери соединения Wi-Fi или пробуждения после спящего режима и инициализации сетевого стека.

Затем, чтобы определить, связана ли ваша проблема с сетевой средой или локальным брандмауэром или антивирусным программным обеспечением, выполните следующие шаги:

  1. Откройте Edge (не Internet Explorer) и перейдите на https://login.microsoftonline.com. Навигация должна появиться на https://www.office.com или на целевой странице вашей компании по умолчанию. В случае сбоя проблема связана с сетевым окружением или локальным брандмауэром / антивирусным программным обеспечением.

  2. Откройте Edge (не Internet Explorer) в режиме InPrivate и перейдите на https://login.microsoftonline.com. После ввода учетных данных навигация должна появиться на https://www.office.com или на целевой странице вашей компании по умолчанию. В случае сбоя проблема связана с сетевым окружением или локальным брандмауэром / антивирусным программным обеспечением.

Чтобы решить эту проблему, убедитесь, что локальный брандмауэр, антивирусное программное обеспечение и Защитник Windows не блокируют следующие процессы плагина AAD WAM, которые занимаются приобретением токенов:

C:\Windows\SystemApps\Microsoft.AAD.BrokerPlugin_cw5n1h2txyewy\Microsoft.AAD.BrokerPlugin.exe

C:\Windows\System32\backgroundTaskHost.exe

Примечание Параметр PackageFamilyName подключаемого модуля является следующим:

Microsoft.AAD.BrokerPlugin_cw5n1h2txyewy

Кроме того, убедитесь, что сетевая среда не блокирует основной пункт назначения:

https://login.microsoftonline.com/

Примечание Этот основной адрес охватывает многие IP-адреса (и многие службы). Некоторые из этих адресов могут быть заблокированы в среде без уважительной причины, что вызывает периодические проблемы в некоторых устройствах, в то время как другие устройства работают нормально.

Симптом 2

При попытке открыть или сохранить документ в Microsoft SharePoint Online, OneDrive для бизнеса или SharePoint, или попытке синхронизации сообщений электронной почты или календаря в Microsoft Outlook вам предлагается ввести учетные данные. После ввода учетных данных, запрос повторяется. Эта проблема может возникать по следующим причинам:

  • Чип или прошивка Trusted Platform Module (TPM) неисправны. Windows использует чип TPM для защиты ваших учетных данных. Чип может быть поврежден или сброшен в некоторых условиях. Чтобы определить, столкнулись ли вы с таким типом проблемы, выполните следующие шаги:

    1. Откройте окно просмотра событий.
    2. Перейдите к Журналам приложений и служб > Microsoft > Windows > AAD.
    3. В операционных журналах найдите ошибки, отображающие следующий шаблон: 0x?028????, 0x?029???? или 0x?009????

    Чтобы избежать этой проблемы в будущем, мы рекомендуем обновить прошивку TPM.

    Для Windows 10 версии 1709 или более поздних версий. Операционная система автоматически обнаруживает ситуации, связанные с сбоями TPM, и обеспечивает процесс восстановления пользователя, который должен происходить автоматически. Если этот процесс не происходит автоматически, мы рекомендуем использовать этот ручной метод восстановления.

    Для Windows 10 версии 1703. Для гибридного присоединения к Azure AD предусмотрен автоматический процесс. Автоматический процесс не предусмотрен для других конфигураций среды. Если процесс гибридного присоединения к Azure AD не происходит автоматически, мы рекомендуем использовать этот ручной метод восстановления.

  • Устройство отключено пользователем, администратором предприятия или политикой из-за проблем безопасности или по ошибке. Чтобы определить, испытываете ли вы эту проблему, выполните следующие действия:

    1. Откройте окно просмотра событий.
    2. Перейдите к Журналам приложений и служб > Microsoft > Windows > AAD.
    3. В журналах выполнения найдите следующее сообщение:

    Описание: AADSTS70002: Ошибка проверки учетных данных. AADSTS135011: Устройство, используемое при проверке подлинности, отключено.

    Для устранения этой проблемы мы рекомендуем администратору предприятия включить устройство в Active Directory или Azure Active Directory (Azure AD). Сведения об управлении устройствами в Azure AD см. в разделе Задачи управления устройствами в разделе «Как управлять устройствами с помощью портала Azure» на веб-сайте Microsoft Docs.

  • Администратор предприятия или политика удалили устройство по причине безопасности или по ошибке. Чтобы убедиться, что вы действительно столкнулись с этой проблемой, выполните указанные ниже действия:

    1. Откройте окно просмотра событий.
    2. Перейдите к Журналам приложений и служб > Microsoft > Windows > AAD.
    3. В журналах выполнения найдите следующее сообщение:

    Описание: AADSTS70002: Ошибка проверки учетных данных. AADSTS50155: Для этого устройства не выполнена проверка подлинности.

    Чтобы решить эту проблему, мы рекомендуем восстановить устройство с помощью ручного метода восстановления. Примечание Если никто на предприятии не удалил устройство, отправьте запрос в службу поддержки и предоставьте пример невосстановленного устройства.

Ручное восстановление

Чтобы выполнить восстановление компьютера вручную, выполните соответствующие шаги в зависимости от того, как устройство подключено к облаку (гибридное присоединение к Azure AD, добавление рабочей учетной записи или присоединение к Azure AD).

  • Гибридное присоединение к Azure AD

    Выполните следующую команду: >dsregcmd /status

    Результат должен содержать следующие поля (в состоянии устройства):

    AzureAdJoined : YES
    DomainJoined : YES
    DomainName : <CustomerDomain>
    

    Текущий пользователь в системе должен быть пользователем домена. Затронутая личность должна быть текущим пользователем.

    Восстановление (безопасно):

    Запустите Dsregcmd /leaveкоманду в административном окне командной строки, а затем перезапустите систему.

  • Добавление рабочей учетной записи

    Запустите следующую команду: >dsregcmd /status

    Результат должен содержать следующее поле (в состоянии пользователя):

    WorkplaceJoined : YES
    

    Состояние устройства может быть настроено на любой вариант. Текущий пользователь в системе может быть любым пользователем. Затронутая личность должна быть рабочей или школьной учетной записью, которую вы можете увидеть в Настройки > Учетные записи > Доступ к учетной записи места работы или учебного заведения.

    Восстановление (безопасно):

    Удалите рабочую учетную запись в Настройки > Учетные записи > Доступ к учетной записи места работы или учебного заведения, а затем восстановите рабочую учетную запись.

  • Присоединение к Azure AD

    Запустите следующую команду: >dsregcmd /status

    Результат должен содержать следующие поля (в состоянии устройства):

    AzureAdJoined : YES
    DomainJoined : NO
    

    Текущий пользователь в сети должен быть пользователем Azure Active Directory (AAD). Затронутая личность должна быть текущим пользователем.

    Восстановление:

    Примечание Сделайте резервную копию ваших данных в первую очередь.

    Создайте нового локального администратора. Отключение от домена (Настройки > Учетные записи > Доступ к учетной записи места работы или учебного заведения > Отключить). Затем войдите в систему в качестве нового локального администратора и повторно присоединитесь к Azure AD.

Симптом 3

Рабочий процесс входа в Office останавливается или не отображается на экране. В окне входа отображается сообщение «Вход в систему» или пустой экран проверки подлинности.

Снимок экрана страницы, на которой отображается статус входа.

Эта проблема возникает из-за того, что WAM отключает трафик, отличный от HTTPS, для предотвращения угроз безопасности, таких как похищение учетных данных пользователей. Чтобы убедиться, что вы действительно столкнулись с этой проблемой, выполните указанные ниже действия:

  1. Откройте окно просмотра событий.

  2. Перейдите к Журналам приложений и служб > Microsoft > Windows > AAD.

  3. В журналах выполнения найдите следующее сообщение:

    Переход к назначению без SSL. Небезопасное подключение запрещено. Отмена перехода.

Чтобы решить эту проблему и защитить учетные данные пользователя, мы рекомендуем включить HTTPS на серверах удостоверений.

Симптом 4

У вас непостоянная среда инфраструктуры виртуальных рабочих столов (VDI) с федеративным поставщиком удостоверений (IdP), настроенным как единый вход (SSO). Вы не ожидаете, что вам будет предложено произвести активацию или выполнить вход в систему, потому что настроен единый вход SSO. Тем не менее, вам предлагается войти в каждую новую сессию. Журналы Office ULS отображают следующее сообщение об ошибке:

{"Action": "BlockedRequest", "HRESULT": "0xc0f10005"

Примечание

Обратитесь в службу поддержки, если вы столкнулись с этой проблемой. Нам нужно больше отчетов записей журнала, чтобы помочь изолировать проблему.

Дополнительная информация

К этой статье относятся следующие рекомендации:

  • На сборках Windows 7, Windows 8, Windows 8.1 или Windows 10, которые являются более ранними чем 15000, проверка подлинности ADAL является единственным вариантом.
  • Сборка Windows должна быть новее чем 15000 (Windows 10, версия 1703, сборка 15063.138, общедоступна). Для получения дополнительной информации см. Информацию о выпуске Windows 10.
  • Эта статья применяется независимо от того, используете ли вы решения Microsoft Federation или решения, не относящиеся к Microsoft Federation.

Дополнительные сведения см. в следующей статье базы знаний Майкрософт:

Код ошибки 4347010: 0x8004deb4 при входе в OneDrive для бизнеса