Вход в Visual Studio с учетными записями, которые требуют многофакторную проверку подлинности (MFA)

  • Статья

В этой статье описано, как использовать Visual Studio с учетными записями, которым требуется многофакторная проверка подлинности (MFA).

Зачем включать политики MFA?

При взаимодействии с внешними гостевыми пользователями рекомендуется защищать свои приложения с помощью политик условного доступа, таких как многофакторная идентификация.

Если такие политики применяются, для доступа к вашим ресурсам гостевым пользователям необходимо выполнить дополнительные требования безопасности, помимо ввода традиционных имени пользователя и пароля. Эти политики можно применять на уровне клиента, приложения или отдельных гостевых пользователей точно так же, как для сотрудников и членов организации.

Как политики многофакторной идентификации влияют на работу с Visual Studio?

В версиях Visual Studio до 16.6 возможны определенные проблемы с проверкой подлинности при работе с учетными записями, которые используют политики условного доступа (например, многофакторную идентификацию) и связаны с несколькими клиентами.

В таких случаях в вашем экземпляре Visual Studio могут несколько раз в день появляться запросы на повторную проверку подлинности. Возможно, вам придется повторно ввести свои учетные данные для ранее прошедших проверку подлинности арендаторов даже в ходе одного и того же сеанса Visual Studio.

Использование Visual Studio с политиками многофакторной идентификации

Доступ к ресурсам, защищенным с помощью политик ЦС, таких как MFA в Visual Studio. Что воспользоваться этим усовершенствованным рабочим процессом, вам необходимо настроить установленный по умолчанию в системе веб-браузер в качестве механизма для добавления или повторной проверки подлинности учетных записей Visual Studio.

Доступ к ресурсам, защищенным с помощью политик ЦС, таких как MFA в Visual Studio. Чтобы использовать этот расширенный рабочий процесс, необходимо принять участие в использовании веб-браузера по умолчанию системы или брокера проверка подлинности Windows (доступно в Visual Studio версии 17.5, но мы рекомендуем использовать Visual Studio версии 17.7 для оптимального взаимодействия) в качестве механизма для добавления и повторной проверки подлинности учетных записей Visual Studio.

Предупреждение

Если вы не используете этот рабочий процесс, могут возникать проблемы, связанные с многократными запросами на ввод учетных данных при добавлении или повторной проверке подлинности учетных записей Visual Studio.

Включение брокера проверка подлинности Windows

Примечание.

Диспетчер веб-учетных записей (WAM) доступен только в Windows 10 и более поздних версиях, а также Windows Server 2019 и более поздних версий.

Чтобы включить этот рабочий процесс, перейдите в диалоговое окно "Параметры Visual Studio" (Параметры инструментов>...), перейдите на вкладку "Учетные записи", а затем выберите брокер проверка подлинности Windows из списка "Добавить и повторно выполнить проверку подлинности" с помощью раскрывающегося списка.

Select web authentication broker from the dropdown.

Используется брокер проверка подлинности WindowsДиспетчер веб-учетных записей (WAM) и предлагает множество преимуществ, таких как безопасность, улучшенная поддержка MFA и простая интеграция между учетными записями, добавленными в ОС и Visual Studio.

Настройка использования системного веб-браузера

Примечание.

Для оптимального взаимодействия рекомендуется очистить данные веб-браузера по умолчанию, прежде чем продолжать работу с этим рабочим процессом. Кроме того, если у вас зарегистрированы рабочие или учебные учетные записи в параметрах Windows 10 в разделе Доступ к учетной записи места работы или учебного заведения, убедитесь, что они должным образом прошли проверку подлинности.

Чтобы включить этот рабочий процесс, перейдите в диалоговое окно "Параметры Visual Studio" (Параметры инструментов>...), перейдите на вкладку "Учетные записи" и выберите "Системный веб-браузер" в разделе "Добавление и повторная проверка подлинности" с помощью раскрывающегося списка.

Select system web browser from the menu.

Вход в дополнительные учетные записи с помощью политик MFA

брокер проверка подлинности Windows

После включения рабочего процесса брокера проверка подлинности Windows вы можете войти или добавить учетные записи в Visual Studio, как правило, с помощью диалогового окна Параметры учетной записи (учетная запись файла > Параметры...). Диспетчер веб-учетных записей (WAM) упрощает вход, позволяя пользователям входить в систему с помощью учетных записей Windows, таких как учетная запись, вошедшего в сеанс Windows.

Add additional accounts to Visual Studio with the Windows authentication broker workflow.

Системный веб-браузер

После включения рабочего процесса веб-браузера системы вы можете войти или добавить учетные записи в Visual Studio, как правило, с помощью диалогового окна "Учетная запись Параметры" (учетная запись файлов > Параметры...).

Add a new personalization account to Visual Studio.

В результате этого действия откроется установленный по умолчанию в системе веб-браузер и появится запрос на вход в учетную запись и прохождение проверки с использованием заданной политики многофакторной идентификации.

При выполнении входа может отобразиться дополнительный запрос с предложением не выполнять выход. В этом запросе, скорее всего, второй раз отобразится учетная запись, используемая для входа. Чтобы избежать повторного ввода учетных данных, рекомендуется выбрать Да. Это гарантирует, что учетные данные будут сохранены в сеансах браузера.

Stay signed in?

На основе действий разработки и конфигурации ресурсов вам может быть предложено повторно ввести учетные данные во время сеанса. Это может произойти при добавлении нового ресурса или при попытке получить доступ к ресурсу без предварительного соблюдения требований к авторизации ЦС или MFA.

Повторная проверка подлинности учетной записи

При возникновении проблемы с учетной записью в Visual Studio может появиться запрос на повторный ввод учетных данных.

Screenshot showing account that needs reauthentication.

Щелкните Еще раз введите учетные данные. Откроется установленный по умолчанию в системе веб-браузер, и будет предпринята попытка автоматически обновить ваши учетные данные. Если это не поможет, вам будет предложено войти в учетную запись и пройти проверку с использованием заданной политики ЦС или MFA.

Если ваша учетная запись связана с несколькими каталогами Azure Active Directory и возникает проблема с доступом к одной или нескольким из них, диалоговое окно повторно введите учетные данные, отобразит затронутые каталоги и связанные коды ошибок AADSTS.

Вы сможете отменять выбор любых каталогов, которые вы не хотите повторно выполнить проверку подлинности и продолжить обычную операцию входа с помощью домашнего каталога, а также всех гостевых клиентов, которые остаются выбранными. Удаленные каталоги не будут доступны для дальнейшего использования, пока фильтр учетной записи не будет удален.

Reauthenticate your Visual Studio account.

Примечание.

Чтобы обеспечить оптимальное взаимодействие, не закрывайте браузер, пока не будут проверены все политики ЦС или MFA для ваших ресурсов. Закрытие браузера может привести к потере ранее созданного состояния MFA, а вам могут отображаться дополнительные запросы на авторизацию.

Решение проблем при входе

Проблемы С ЦС/MFA

Если возникли проблемы с ЦС или MFA и (или) вы не можете выполнить вход даже при использовании системного веб-браузера, попробуйте устранить эту проблему, выполнив следующие действия:

  1. Выйдите из учетной записи в Visual Studio.
  2. Выберите учетные> записи параметров>инструментов>un проверка аутентификация во всех каталогах Azure Active.
  3. Выполните вход снова.

Примечание.

После выполнения этих действий вы, скорее всего, сможете войти в систему, но ваша учетная запись будет помещена в состояние "Отфильтровано". В этом состоянии будут доступны только арендатор и ресурсы по умолчанию вашей учетной записи. Все остальные клиенты и ресурсы Microsoft Entra становятся недоступными, но их можно добавить вручную.

Проблемы с предварительной авторизацией

Screenshot of a pre-authorization error dialog.

Начиная с Visual Studio 2022 версии 17.5, если отображается предыдущее диалоговое окно об ошибке, выполните следующие действия, чтобы устранить проблему:

  1. Выйдите из учетной записи в Visual Studio.
  2. Выполните вход снова.
  3. Создайте запрос отчета о проблеме, объясняющий действия, которые вы выполняли, и (или) ресурс, к которым вы пытались получить доступ, прежде чем столкнуться с проблемой.

Примечание.

Создание билета поможет нам определить проблемные области и предоставить необходимые журналы для изучения и решения проблемы.

Проблемы при входе в облачные службы для государственных организаций

Screenshot of a sign-in error when trying to access government clouds.

Начиная с Visual Studio 2022 версии 17.5, если во время операций входа возникают проблемы с предыдущей ошибкой или возникают проблемы, выполните следующие действия, чтобы устранить эту проблему:

  1. Закройте Visual Studio.
  2. Откройте командную строку разработчика для конкретной установки Visual Studio.
  3. Введите Set DisableWAMClientIdForVS=true. Кроме того, можно задать Setx DisableWAMClientIdForVS true переменную пользователя в системе. После настройки пользовательской переменной вам не придется делать это снова.
  4. После задания переменной пользователя откройте Visual Studio из командной строки разработчика: devenv
  5. Выполните вход снова.

Как отказаться от использования определенного клиента Microsoft Entra в Visual Studio

В Visual Studio 2019 версии 16.6 и выше доступен фильтр, с помощью которого можно отключать арендаторов по отдельности или глобально, эффективно скрывая их в Visual Studio. В этом случае вам не придется проходить проверку подлинности для таких клиентов, но при этом вы не сможете получить доступ к связанным с ними ресурсам.

Эта возможность может быть полезна, если вам требуется оптимизировать среду разработки, ограничив круг клиентов. Кроме того, она пригодится в тех случаях, когда вы не можете пройти проверку с использованием какой-либо политики условного доступа (многофакторной идентификации) из-за нарушений со стороны отдельных клиентов.

Как отфильтровать всех клиентов

Чтобы глобально отфильтровать всех клиентов, откройте диалоговое окно "Учетная запись учетной записи Параметры" (учетная запись файла > Параметры... > Параметры учетной записи) и отмените проверку подлинности для всех каталогов Azure Active Directory проверка box.

При снятии этого флажка проверка подлинности выполняется только в клиенте учетной записи по умолчанию. Это также означает, что вы не сможете получать доступ к ресурсам, связанным с другими клиентами, в которых ваша учетная запись может быть гостевой.

Как отфильтровать отдельных клиентов

Чтобы отфильтровать клиенты, связанные с учетной записью Visual Studio, откройте диалоговое окно "Учетная запись Параметры" (учетная запись файла > Параметры...) и нажмите кнопку "Применить фильтр".

Apply filter.

Появится диалоговое окно Фильтровать по учетной записи, где вы можете выбрать клиентов, которые будут использоваться с вашей учетной записью.

Select account to filter.

Когда вы отмените выбор арендатора для фильтрации, в диалоговых окнах Параметры учетной записи и Фильтровать по учетной записи будет отображаться состояние "Отфильтровано".

Screenshot showing the filtered tenant state on the Account Settings and the Filter Account dialogs

Связанный контент