在 Windows 10 上更新至 Office 2016 組建16.0.7967 後登入的連線問題

概觀

本文包含 Microsoft Office 2016 新驗證框架的相關資訊。

根據預設, Microsoft Office 365 專業增強版 (2016 版本) 會使用 Azure Active Directory 驗證程式庫 (ADAL) 架構型驗證。 從組建16.0.7967 開始, Office 會在高於15000的 Windows 組建上使用網頁帳戶管理員 (WAM) 來進行登入工作流程 (Windows 10、版本1703、組建 15063.138)。

一般指引

如果您在 Windows 10 上遇到 Office 應用程式的驗證問題, 建議您執行下列動作:

  • 根據office 365 專業增強版 (依日期列出) 的更新歷程記錄, 將 office 產品更新為您通道的最新組建。
  • 請確定您正在執行下列任何 Windows 組建: 
    • Windows 10 版本1809或更新版本的任何組建
    • 17134.677 或更新版本, 適用于 Windows 10, 1803 版
    • 16299.461 或更新版本, 適用于 Windows 10, 1709 版
    • 15063.1112 或更新版本, 適用于 Windows 10, 1703 版

徵兆

在您更新至 Microsoft Office 2016 組建16.0.7967 或 Windows 10 的更新版本之後, 您可能會遇到下列其中一種症狀。

症狀1

當整體網路在您的裝置上工作時, Office 應用程式可能會遇到連線問題。 您可能會看到類似下列的訊息:

錯誤訊息的螢幕擷取畫面, 指出您需要網際網路

若要判斷您是否遇到此類問題, 請遵循下列步驟:

  1. 請確定您正在執行 Office 組建16.0.9126.2259 或更新版本。(您的通道最新組建是非常好的。 請參閱概述一節中的 一般指引 。

  2. 開啟 [事件檢視器]。

  3. 移至 [ 應用程式及服務] 記錄 > Microsoft > Windows > AAD

  4. 在操作記錄檔中, 從具有下列模式的 XMLHTTPWebRequest 尋找郵件:

    0x?aa7????,  0x?aa8????, 0x?aa3????, 0x102, 0x80070102
    
  5. 請確定這些錯誤的時間與您實際擁有網際網路連線的時間有關。 這不是間歇性網路問題, 因為在休眠和初始化網路堆疊後, 失去 Wi-fi 連線或喚醒功能。

然後, 若要判斷您的問題是否由於網路環境或本機防火牆/防毒軟體所致, 請遵循下列步驟: 

  1. 開啟 Edge (不是 Internet Explorer), 然後https://login.microsoftonline.com移至。 導覽應位於或https://www.office.com您公司的預設登陸頁面上。 如果這樣做失敗, 問題就是在網路環境或本機防火牆/防毒軟體中。

  2. 在 InPrivate 模式下開啟 Edge (而非 Internet Explorer), https://login.microsoftonline.com然後移至。 輸入認證之後, 導覽應該位於https://www.office.com或您公司的預設登陸頁面。 如果這樣做失敗, 問題就是在網路環境或本機防火牆/防毒軟體中。

若要解決此問題, 請確定您的本機防火牆、防毒軟體和 Windows Defender 不會封鎖參與權杖採集的下列 AAD WAM 外掛程式進程:

C:\Windows\SystemApps\Microsoft.AAD.BrokerPlugin_cw5n1h2txyewy\Microsoft.AAD.BrokerPlugin.exe

C:\Windows\System32\backgroundTaskHost.exe

附注外掛程式的PackageFamilyName如下:

BrokerPlugin_cw5n1h2txyewy

此外, 請確定您的網路環境不會封鎖主要目的地:

https://login.microsoftonline.com/

附注這個主要位址涵蓋許多 IP 位址 (以及許多服務)。 這些位址中有些可能因為沒有良好的原因而封鎖在環境中, 因此其他裝置正常運作時, 可能會造成某些裝置發生間歇性問題。

症狀2

當您嘗試在 Microsoft SharePoint Online、商務用 OneDrive 或 SharePoint 中開啟或儲存檔時, 或是您嘗試在 Microsoft Outlook 中同步處理電子郵件, 或您的行事歷時, 系統會提示您輸入認證。 輸入認證之後, 系統會再次提示您。 此問題可能會因為下列原因而發生:

  • 受信任的平臺模組 (TPM) 晶片或固件無法正常工作。 Windows 會使用 TPM 晶片來保護您的認證。 在某些情況中, 晶片可能會損毀或重設。 若要判斷您是否遇到此類問題, 請遵循下列步驟:

    1. 開啟 [事件檢視器]。
    2. 移至 [應用程式及服務] 記錄 > Microsoft > Windows > AAD
    3. 在操作記錄檔中, 找出顯示下列模式的錯誤: 
      0x?028????, 0x?029???? 或0x?009????

    若要避免未來發生此問題, 建議您更新 TPM 固件。 

    若是 Windows 10 版本1709或更新版本: 作業系統會自動偵測與 TPM 失敗相關的情況, 並提供應該自動進行的使用者復原程式。 如果未自動進行此程式, 建議您使用 此手動 復原方法。

    針對 Windows 10 版本 1703: 為混合式 Azure AD 聯結提供自動程式。 不提供其他環境設定的自動程式。 如果混合式 Azure AD 加入程式不會自動發生, 建議您使用 此手動復原方法。

  • 裝置已停用使用者、企業系統管理員或原則, 因為安全性問題或錯誤。 若要判斷您是否遇到此問題, 請遵循下列步驟:

    1. 開啟 [事件檢視器]。
    2. 移至 [應用程式及服務] 記錄 > Microsoft > Windows > AAD
    3. 在操作記錄檔中, 找到下列訊息:

    描述: AADSTS70002: 驗證認證時發生錯誤。AADSTS135011: 停用驗證期間所使用的裝置。

    若要解決此問題, 建議企業系統管理員啟用 Active Directory 或 Azure Active Directory (Azure AD) 中的裝置。 如需如何在 Azure AD 中管理裝置的相關資訊, 請參閱 Microsoft 檔網站上《如何使用 Azure 入口網站管理裝置」主題中的「裝置管理工作」一節。

  • 企業系統管理員或原則會因為安全性原因或錯誤而刪除裝置。 若要確認您是否遇到此問題, 請遵循下列步驟:

    1. 開啟 [事件檢視器]。
    2. 移至 [應用程式及服務] 記錄 > Microsoft > Windows > AAD
    3. 在操作記錄檔中, 找到下列訊息:

    描述: AADSTS70002: 驗證認證時發生錯誤。AADSTS50155: 裝置未經過驗證。

    若要解決此問題, 建議您使用手動 復原方法來復原裝置。 附注 如果企業上沒有任何人刪除裝置, 請將支援票證檔案, 並提供未復原之裝置的範例。

手動復原

若要手動執行電腦的復原, 請遵循適當的步驟, 視裝置加入雲端的方式 (混合式 Azure AD 聯結、新增工作帳戶或 Azure AD 聯結) 而定。

  • 混合式 Azure AD 加入

    執行下列命令:>dsregcmd /status

    結果應包含下欄欄位 (在裝置狀態中):

    AzureAdJoined : YES 
    DomainJoined : YES 
    DomainName : <CustomerDomain>
    

    目前的登入使用者應該是網域使用者。 受影響的身分識別應該是目前的登入使用者。

    復原 (安全待辦事項):

    在系統Dsregcmd /leave管理命令提示字元視窗中執行命令, 然後重新開機系統。

  • 新增工作帳戶

    執行下列命令:  >dsregcmd /status

    結果應包含下欄欄位 (以使用者狀態):

    WorkplaceJoined : YES 
    

    裝置狀態可以設定為任何選項。 目前的登入使用者可以是任何使用者。 受影響的身分識別應該是您在設定 > 帳戶 > 存取公司或學校時所能看到的工作或學校帳戶。

    復原 (安全待辦事項):

    移除設定 > 帳戶 > 存取工作或學校的工作帳戶, 然後還原工作帳戶。

  • Azure AD 加入

    執行下列命令:  >dsregcmd /status

    結果應包含下欄欄位 (在裝置狀態中):

    AzureAdJoined : YES 
    DomainJoined : NO 
    

    目前的登入使用者應該是 Azure Active Directory (AAD) 使用者。 受影響的身分識別應該是目前的登入使用者。

    回收

    附注先備份資料。

    建立新的本機系統管理員。 中斷與網域的連線 (設定 > 帳戶 > 存取工作或學校 > 中斷連線)。 接著, 以新的本機系統管理員身分登入, 然後重新連線至 Azure AD。

症狀3

Office 登入工作流程停用或不顯示幕幕上的進度。 登入視窗顯示「登入」訊息或空白驗證畫面。

登入頁面的螢幕擷取畫面

發生此問題的原因是 WAM 停用非 HTTPS 流量, 以防止安全性威脅, 例如有人 stealinguser 認證。若要確認您是否遇到此問題, 請遵循下列步驟:

  1. 開啟 [事件檢視器]。

  2. 移至 [應用程式及服務] 記錄 > Microsoft > Windows > AAD

  3. 在操作記錄檔中, 找到下列訊息:

    流覽至非 SSL 目的地。禁止非安全通訊。取消導覽。

若要解決此問題和安全的使用者認證, 建議您在身分識別伺服器上啟用 HTTPS。

症狀4

您有一個非持久的虛擬桌面基礎結構 (VDI) 環境, 其中有設定為單一登入 (SSO) 的同盟身分識別提供者 (IdP)。 因為已設定 SSO, 所以您不會收到啟動或登入的提示。 不過, 系統會提示您登入每個新的會話。 Office ULS 記錄 檔會顯示下列錯誤訊息:

{"Action": "BlockedRequest", "HRESULT": "0xc0f10005"

注意

如果您遇到此問題, 請開啟支援案例。 我們需要更多記錄專案報告, 以協助隔離問題。

詳細資訊

下列指導方針適用于本文:

  • 在早于15000的 Windows 7、Windows 8、Windows 8.1 或 Windows 10 的組建上, ADAL 驗證是唯一的選項。
  • Windows 組建應晚于 15000 (Windows 10, 版本 1703, 組建 15063.138, 一般可用)。 如需詳細資訊, 請參閱Windows 10 版本資訊
  • 本文適用于您使用的是 Microsoft 同盟或非 Microsoft 同盟解決方案。

如需詳細資訊, 請參閱下列知識庫文章:

4347010 錯誤碼: 登入商務用 OneDrive 時的0x8004deb4