Windows 10 1809、O365ハイブリッド、ADFS 3.0(2012 R2)、Office 365 Proplus(2016)-IDENTINGEとCONFUSOD
チーム!オフィスフォーラムへの再投稿
私は現在私の環境を理解するのに苦労しており、O365とAzure ADで行われているすべての認証変更に追いついています.
最近、認証後にプロンプトを取得することは、基本的にWindows 10
に追加するように注意してください.その後、設定>[アカウント]>[電子メール&アプリアカウント]の下に表示されます.
アカウント>アクセス作業や学校へのアクセス.それは私たちの広告ドメインのために正常である「***広告ドメイン」と新しいエントリーの「作品または学校アカウント」を示すでしょう.
このエントリはどこから来ましたか?それはどのように使われていますか?
これまでのところWindows 10
からこのエントリを削除すると、認証を受けたOutlookが役立つようです.
私の環境:
内部ADドメイン.contoso.com.auに電話しましょう.
使用中のADFS 3.0.ADFSサーバーを指す内部DNS.ADFSプロキシサーバーを指す外部DNS.
Office 365使用中、AAD、Exchange Hybrid、AAD Connectレコードを接続します.@ contoso.mail.onmicrosoft.com
Windowsデバイス内部ADリソースを認証するために内部広告に参加しました.
SSOはOffice 2016(365 Proplus)の働きをしたいので、Outlook、S4B、WordなどがWindows AUTHを使用して、ユーザーがシームレスにユーザーを認証します.それは今しばらくの間(主に)働いていたようです.
Exchange Onlineは現代の認証を有効にしました:
PS>Get-ArganizationConfig|..FL OAUTH*
OAuth2ClientProfileNabileEnableD:true
このADFSエンドポイントが有効になっています./adfs/services/trust/13/windowstransport
ADFS Auth Policies、Globalは、エクストラネット用のフォームを有し、イントラネットのフォーム+ Win.
Windows IEイントラネットサイトには、ADFSエンドポイントが含まれています.IEからADFSを参照してファイル>プロパティを確認することによって検証されます.
イントラネットサイトには、「イントラネットゾーン」が有効になっている「自動ログオン」が有効になっています.
私の問題:
最近Outlook Authは行動しています.私のマシン、Windows 10
1803、オフィスを出る前に昨夜眠るように置きました.今朝それを起こして、バッテリーがあったようにある時点で目が覚めたようです
死んだ.それはおそらく休止状態から回復しました.しかし、Outlookは直ちにパスワードを求められていました.私は見通しを閉じて再開しました.今、私はフォームベースのADFS認証プロンプトを取得していました.私がドメインが参加してネットワーク内ではありません.チェックしたDNS、私は解決しました
My ADFSエンドポイントを内部サーバーに.私はWin10 'WorkまたはSchool Account'を削除しましたが、Outlookの即時変更が見られませんでした.時間を調べた後、私は再びOutlookを始めて、それは細かく、接続された、郵便で、すべてのフォルダは最新のものです.
これを書いた後、エンドポイント '/adfs/services/trust/13/windowstransport'のように感じます.
私の問題は、この記事に従って、プライマリリフレッシュトークンと4時間の再試行期間に関連していますか?
リンク:SSOがWindows 10デバイスでどのように機能しますか.私はこの部分を理解していません
完全に、それが私の環境に適用されるかどうか、またはそれをチェックする方法.
私はあらゆるアドバイス、質問、またはさらなる情報を提供してうれしいです:)
更新:
だから最大の煩わしさは、現在、365のプロプルスが現在IDを治療している方法です.
これらのエントリ、hey_current_user\Software\Microsoft\Office\16.0\Common\Identity、
の下で、これらのエントリを見つけました.SOMERAND-OMGU-IDFO-RMYA-DALCONNECTION_ADAL
Officeアプリを起動するときは、接続されているすべてのサービスが表示されなくなりました.それはサインインしていますが、私はそれが広告アイデンティティを使っていると思います.「サインアウト」をクリックすると、単にADALアイデンティティに戻るようです.
まだサインインしているので、新しいリンクは「Photo」と「私について」と表示され、接続されているサービスが返却されています.
私は最近のオフィスversion(16.0.7967?)ADALがWAMに置き換えられていることを読んでいて、レジストリエントリの「disableadalatopwamoverride」を追加することもできますが、または何もしないようです.私は思っていません
それは私の問題にかなり関連していますか?
私はまた、行われた '/adfs/services/trust/13/usernamemixed'を有効にするために読み取ります.
私たちはパートナーネットワークで購読をしているので、そこからチケットを詰め込んだ場合、私は良いサポートを受けることができたと思いました.しかし、1時間の電話の後、彼らはそのオフィスが大丈夫であるかどうか、または繰り返し徴収し、繰り返し継承すること、繰り返し継承し、繰り返し繰り返して、ハイブリッド環境があると言って、それを私にサポートできません.マイクロソフトチケット#.彼は私のためにオンラインリソース/記事を見つけることを試みるつもりでした
とそれらを電子メールで送ってください.私はまだ私の息を抱きしんだ.
私はいつでも、私のADFSのセットアップはここでの問題ではないと思います.
https://login.microsoftonline.com
ブラウザで
パスワードを入力せずに私を認証する問題は決してありません.
誰もが私がアイデンティティとレジストリを見ているものへの洞察を持っていますか? _ADアイデンティティはどこから来たのか、そしてADALアイデンティティがうまく機能しているように思われる場合はどうやって停止しますか?
返信リスト(回答:11)
こんにちはイアンヴァサレス、
あなたのすべてのケースを通過することで、私の理解は、それがそれが装置(Outlook)が作業/Schoold口座(Office 365アカウント)で構成されている症状に関連していることです.私はあなたの説明と同じ症状を見ているからです.
別の手で、私の理解は、ADドメインが参加したアカウント(AD FS)を順調に認証できるため、プロンプトが作業/学校のアカウントに関連する必要があることです.それを隔離するために、私はあなたを勧めます
1.WindowsクレデンシャルマネージャのCACEをクリアします.
2.ワーク/学校アカウントがOutlookデバイスに設定されているかどうかを確認してください.もしそうなら、それを取り除き、新しいOutlookプロファイルを使用してそれを再設定します.
応答1# ->にスキップ3 #IanVassHI、
あなたの返事、そして指示をありがとう.
残念ながら、Outlookだけでなく、すべてのOffice 2016アプリに影響します.
私はあなたが尋ねたようにし、Credential ManagerからすべてのOffice 365エントリをクリアし、その設定から作業または学校のアカウントを削除しました.
Wordを再起動するとき、アカウントは黄色の感嘆符を示し、サインインするように促し、そうする間に、ADFS FBAで求められ続けます.
応答3# ->にスキップ4 #LeoZhaoこんにちはイアンヴァサレス、
これはLEOの返信です.私は問題のすべての詳細な説明を読みました、そして私たちは本当にこれに努力しています.さらに調査するために、次の情報を集めたいのですが:
1.May私は常に問題を再現できるかどうかを尋ねる(ドメインが休止状態から再起動するたびにFBAのオフィスのプロンプトを意味する)、または断続的なものを起こすかどうか?
2.問題が発生した場合は、CMDやタイプを開いてください.
klist Kerberosチケットがあなたのマシンに付与されているかどうかを2倍にするためにチェックする?3.影響を受けるマシンが入庫されたAzure ADであるかどうかを尋ねます.
その間、私はあなたが私達の関連チームとあなたのチケットの進行状況を直接チェックするのを助けます.あなたの便利さの更新を自由に共有してください.
応答4# ->にスキップ5 #IanVassHI、
次回私がそれを得るときにチェックをチェックしよう.
この時点では、そのアカウントはまだ削除され、[このアプリのみ]オプションをクリックしました.まだ見たことがない.
また、休止周辺について言及して申し訳ありませんが、そのシナリオに固有のものではありません.その仕事や学校のアカウントが整っている間、それはネットワーク内の中に署名されたすべてのオフィスが起こるでしょう.
私のすべてのマシンはローカル広告に参加しています、そして私のマシンのどれもAADが結合されていないか登録されていないのであれば、私はそれをその方法であれば登録されていないでしょう.レビューされると、グループポリシーの「移行」およびIT MGMTプラットフォームが再構成されています.
このシナリオをサポートする.これまでのところこのような気がしているような気がしているようなものは問題を引き起こしているのですが、このインタラクションを無効にする方法については、私のユーザーとデバイスのどれもこのように促されませんか?
応答5# ->にスキップ6 #LeoZhaoこんにちはイアンヴァサレス、
アップデートをありがとう.「デバイスの至る所で至る所でこのアカウントを使用する」プロンプトは、正式にはIntuneによって提供されたworkplace JONと呼ばれます.プロンプトを無効にしたい場合は、テナントのIntuneを無効にすることができ、それがどのようになるかを確認してください.
また、Azure AD Join Statusを確認するには、影響マシンのAdvanced CMDでDSREGCMD/STATUSを実行してください.この記事を参照してください. https://docs.microsoft.com/ja-jp/azure/active-Directory/Devices/TrouBleshoot-Hybrid-Join-Windows-Current.そのうち、あなたが提供したチケットのステータスはすでに閉じています、私たちはフォーラムでここで私たちの助けを提供し続けるでしょう.
素敵な一日を過ごしてください.
応答6# ->にスキップ7 #IanVassOK、それをありがとう.2人のユーザーにライセンスを割り当てることで、昨年の中半末期を「有効」しました.私はこのポータルを調整するのを見るためにこのポータルを調べます.
私の影響を受けるマシンの現在の出力:
Microsoft Windows [version10.0.17763.292]
(C)2018 Microsoft Corporation.全著作権所有.
c:\windows\system32>dsregcmd/status
+
-+|デバイス状態 |
+
-+AzureAdjoined:いいえ
EnterpriseJoined:いいえ
DomainJoined:はい
ドメイン名:contoso
+
-+|ユーザー状態 |
+
-+ngcset:いいえ
職場で:いいえ
WamDefaultSet:いいえ
+
-+| SSO状態 |
+
-+AzureAdprt:いいえ
AzureAdprtauthority:いいえ
EnterprisePRT:いいえ
EnterprisePrtauthority:いいえ
+
-+|診断データ |
+
-+診断リファレンス:www.microsoft.com/aadjerrors
ユーザコンテキスト:システム
クライアントタイム:2019-02-08 04:23:09.000 UTC
AD接続テスト:パス
AD設定テスト:失敗[0x80070002]
DRS発見テスト:スキップ
DRS接続テスト:スキップ
トークン取得テスト:スキップ
同期へのフォールバック:有効
前の登録:2019-02-05 13:28:22.000 UTC
エラーフェーズ:発見
クライアントのエラーコード:0x801C001D
+
-+| NGC前提条件チェック |
+
-+イスバイス染め:いいえ
イソセラズリード:いいえ
PolicyEnabled:いいえ
PostLogonEnabled:はい
デバイス適格:はい
SessionIsNotRemote:はい
CertenRollment:なし
prereqresult:WillNotProvision
c:\windows\system32>
応答7# ->にスキップ8 #LeoZhaoこんにちはイアンヴァサレス、
その問題症状を確認するために、作業場所結合を受け入れたデバイスにのみ起こり、後で作業場所結合が無効にされていても問題は依然として永続化されていました.正しい?
関連の警告/エラー.あなたのプライバシーを保護するために、私はあなたに送ります PM(プライベートメッセージ) この情報を集めるために.あなたの便宜の更新を自由に共有してください.
応答8# ->にスキップ9 #IanVass返信遅れの申し訳ありません.私が報告できる方法でテストする時間を取得しようとしている間、他のすべてのことをジャグリングする
職場参加を否定するので、私のオフィスはずっと良く行動しました.基本的に私のネットワーク内にログインプロンプトを見ていません.
このプロンプトを止めるためにこれまでに見つけた唯一のものは、GPO>コンピュータ>ポリシー>管理者テンプレート>Windowsコンポーネント>デバイス登録>デバイスとしてのドメイン結合コンピュータをレジスタ化します.私はこれを無効にしてこれを無効にしましたが、これがどのように影響するかわからない
テスト目的でAADにデバイスを手動で登録する機能.主に家から作品し、WIAプロンプトを経験している鉱山の同僚は、彼らに認証情報マネージャを消去し、職場参加口座を設定から削除し、私に戻ってくるのを待っています.
こんにちはイアンヴァサレス、
私の喜び.
Registerhhey_Current_User\Software\Policies\Microsoft\Office\16.0\Outlook\AutoDiscover
excludehttpsautodiscoverDomain [reg_dword]= 1プロンプトを開始することができます.オートディスカバーに関連している本来の問題を意味します.このレジストリーはあなたのOutlookに自動検出器を迂回させることです.
別の手で、このケースを監視し続けましょう.あなたは将来それ以上の懸念を得たならば、あなたは投稿を歓迎します.私はいつもあなたのためにここにいます.
関連質問
- msチーム.会議のダイヤルインリンクが正しくフォーマットされていません.
- Office:一時ファイルを作成して保存しました
- Cant Cant Cant Add Teamsエラー "私たちは一致を見つけることができませんでした"
- Office:チーム「トレンド」通知について
- Office:私のチームのための最高のアプリ写真を共有チャネルにアップロードするのは?
- Exchange Onlineのリソースルームを設定できません.エラー「ユーザーとメールボックスは異なるActive Directoryサイトにあります」.
- Office:問題チーム内のファイルへのリンクを開く
- Office:会議室の詳細を表示する
- Office 365外部ユーザーを表示するためのSharePointのアクセス許可...
- OneDrive /SharePoint Sharingの問題