如果分配了多应用展台配置文件,则用户无法登录到 Windows

  • 项目

本文可帮助你修复以下问题:如果分配了多应用展台配置文件,则用户无法登录到已加入Microsoft Entra Windows 10计算机。

症状

当用户尝试登录到已加入Microsoft Entra Windows 10分配了多应用展台配置文件的计算机时,尝试将立即在加载用户配置文件之前失败。

“登录”页的屏幕截图。

“注销”页的屏幕截图。

在这种情况下,展台配置文件登录类型Microsoft Entra用户。 此外,Windows 10计算机使用本地帐户,你注意到事件查看器日志中的以下错误消息:

  • Microsoft Entra ID - 操作日志 (示例 1 - 需要通过条件访问) 进行 MFA:

    日志名称:Microsoft-Windows-AAD/Operational
    来源:Microsoft-Windows-AAD
    日期: <时间戳>
    事件 ID:1098
    任务类别:AadTokenBrokerPlugin 操作
    级别:错误
    关键字:错误、错误
    用户: <用户 SID>
    计算机: <计算机名称>
    说明:
    错误:0xCAA2000C 请求需要用户交互。
    代码:interaction_required
    说明:AADSTS50076:由于管理员进行了配置更改,或者已移动到新位置,必须使用多重身份验证才能访问“00000003-0000-0000-c000-0000000000000”。

  • Microsoft Entra ID - 操作日志 (示例 2 - 使用条款 (TOU) 要求通过条件访问) :

    日志名称:Microsoft-Windows-AAD/Operational
    来源:Microsoft-Windows-AAD
    日期: <时间戳>
    事件 ID:1098
    任务类别:AadTokenBrokerPlugin 操作
    级别:错误
    关键字:错误、错误
    用户: <用户 SID>
    计算机: <计算机名称>
    说明:
    错误:0xCAA2000C 请求需要用户交互。
    代码:interaction_required
    说明:AADSTS50158:未满足外部安全质询。 用户将被重定向到另一个页面或身份验证提供程序,以满足其他身份验证质询。

  • 分配的访问权限 - 管理员日志:

    日志名称:Microsoft-Windows-AssignedAccess/管理员
    源:Microsoft-Windows-AssignedAccess
    日期: <时间戳>
    事件 ID:31000
    任务类别:为当前用户应用分配的访问权限。
    级别:错误
    用户: <用户 SID>
    计算机: <计算机名称>
    说明:
    错误 应用当前用户分配的访问权限时出现未指定错误,注销...

原因

此行为是设计使然。

出现此问题是因为用户是需要用户交互的条件访问策略的目标。 例如,多重身份验证 (MFA) 或使用条款 (TOU) 。

解决方案

若要解决此问题,请从需要用户交互的任何条件访问策略(如 MFA 或 TOU)中排除展台用户。

如果为展台用户启用了 MFA,请禁用它,因为 MFA 目前在多应用展台模式方案中不受支持。