Вопрос или проблема
У нас есть 150 пользователей, которые должны быть и, по-видимому, настраиваются одинаково, но 8 из них получают иной процесс аутентификации.
Как это работает:
В нашей компании мы используем Office 365.
У нас 150 пользователей, которые входят в систему с помощью Office 365, и, как и многие другие, у нас есть корпоративный сайт SharePoint.
“company.sharepoint.com”
Этот сайт является домашней страницей по умолчанию в нашем IE (устанавливается с помощью GPO). Мы добавляем сайт в “доверенные сайты” и включаем “Автоматическая регистрация с использованием текущего имени пользователя и пароля”.
Это значит, что когда пользователь открывает Internet Explorer, он напрямую попадает на главную страницу компании (все это выполняется с помощью GPO).
Как это не работает:
Сейчас 8 из 150 пользователей не перенаправляются напрямую на company.sharepoint.com.
Если IE закрыт, их отправляют на login.microsoftonline.com, где они вынуждены просто нажать на свои учетные данные O365, и, не вводя пароль, они перемещаются на company.sharepoint.com
Итак, в общем, у них появляется дополнительный шаг.
Вот где все становится очень странно
Я ожидал найти различия, например, проблемы с доверенными сайтами.
Никаких различий между работающим и неработающим пользователем нет.
Я взял пользователя, который входит непосредственно, и пользователя, у которого это не получается, и выполнил следующее:
- полностью удалил все из диспетчера учетных данных
- проверил, что все настройки IE идентичны
- проверил, что пользователи идентичны в Office 365 Администраторе
- полностью сбросил IE к заводским настройкам
- удалил все временные файлы.
Сделав это, проблема осталась.
Но… есть 1 отличие
Мне понадобилось время, чтобы выяснить.
150 работающих пользователей, все обновились с Windows 10, 1607 -> 1709.
Но те 8 с дополнительным шагом для учетных данных, все имели 1703 в течение нескольких недель.
Вывод
У меня нет понятия.
Эту информацию трудно найти, кроме как методом устранения неполадок: вам нужно добавить все это в список доверенных сайтов, и этот список постоянно меняется, поэтому каждый раз, когда возникает проблема, вы должны устранить неполадки, чтобы выяснить, какой новый сайт или домен они добавили в компонент аутентификации.
- *.microsoftonline.com
- *.windows.net
- *.sharepoint.com
- *.office.com
- *.office365.com
- *.outlook.com
- *.lync.com
Блоги, описывающие схожие проблемы:
- https://blog.kloud.com.au/tag/trusted-sites/
- https://blogs.technet.microsoft.com/victorbutuza/2016/06/20/o365-internet-explorer-protected-mode-and-security-zones/
- https://answers.microsoft.com/en-us/msoffice/forum/msoffice_other-mso_winother-mso_o365b/the-current-webpage-is-trying-to-open-a-site-in/c42e5a1d-c955-4890-b974-ceab86176d29
Мы смогли решить эту проблему в Windows 10, подключившись к учетной записи O365 в панели настроек > Учетные записи > Доступ к работе или учебе. Как только пользователь вошел в свою учетную запись O365, у него больше не запрашивалось выбрать имя.
.
Ответ или решение
Чтобы решить проблему постоянных запросов на ввод учетных данных в SharePoint Online для некоторых пользователей, нужно разобраться в причине, которая её вызывает. Проблема описывается как возникновение дополнительного шага аутентификации для 8 из 150 пользователей, которые, казалось бы, идентично настроены. Давайте углубимся в детали и рассмотрим возможные решения.
Поиск причин
-
Версии Windows:
- У 142 пользователей, чье поведение системы корректно, обновление Windows 10 произошло напрямую с версии 1607 до 1709.
- У 8 пользователей с проблемами было промежуточное обновление до версии 1703, что может быть ключом к вопросу. Разные версии Windows могут иметь различия в обработке аутентификации и политик безопасности.
-
Настройки браузера и доверенные сайты:
- Убедитесь, что в браузере Internet Explorer у всех пользователей добавлены все необходимые домены в список доверительных сайтов. Это включает:
- *.microsoftonline.com
- *.windows.net
- *.sharepoint.com
- *.office.com
- *.office365.com
- *.outlook.com
- *.lync.com
- Убедитесь, что в браузере Internet Explorer у всех пользователей добавлены все необходимые домены в список доверительных сайтов. Это включает:
-
Кеш и учетные записи браузера:
- Полностью очистите диспетчер учетных данных и временные файлы.
- Проверьте, настроено ли автоматическое вход с текущим именем и паролем.
Возможное решение
-
Настройка учетной записи в Windows:
- Перейдите в "Параметры > Учетные записи > Доступ к работе или учебе" и подключите учетную запись Office 365. Это поможет системе идентифицировать пользователя сразу и избежать дополнительных шагов выбора учетной записи.
-
Групповые политики (GPO):
- Перепроверить, что Group Policy Object корректно применяет настройки для всех пользователей. Иногда, из-за сбоев в распространении политик, некоторые изменения могут не вступать в силу.
-
Обновления системы:
- Рассмотрите возможность обновления проблемных клиентов с версии 1703 до последующей 1709, чтобы устранить возможные несовместимости в работе с Office 365.
Важные замечания
- Регулярно сверяйте список доверенных доменов с актуальными рекомендациями Microsoft, так как они могут изменяться.
- Проверка логов может выявить дополнительные подсказки о том, где система "застопорилась".
- Поскольку проблема сугубо программного характера, используйте поддержку Microsoft в случае, если внутренние меры не дали результата.
Заключение
Идентификация и решение проблем с аутентификацией требуют внимательного исследования всех аспектов настройки операционной системы и сетевой среды. Учитывая, что подобные вопросы часто осложняются обновлениями и изменениями политик, важно регулярно обновлять инфраструктуру и следить за рекомендациями производителя.