Kurze Frage an Administratoren im Microsoft Cloud-Umfeld (Azure mit Entra ID) und Microsoft 365-Anwendungen. Ein Administrator hat sich bei mir gemeldet und beklagt sporadische Probleme beim Single Sign On (SSO) unter Microsofts Azure. Die Nutzer sehen dann alt aus, weil sie sich sporadisch schlicht nicht mehr unter ihren Microsoft 365-Apps anmelden können.
Anzeige
Microsoft Entra ID (SSO)
Ich musste mal genauer nachschauen, bei Microsoft ändern sich ja gefühlt täglich die Bezeichnungen, was die Leute nutzen sollen. Es geht um das Thema Single Sign On (kurz SSO) für Anwendungen die die Microsoft Cloud (Azure) verwenden. Der Fachbegriff lautet nun "Microsoft Entra Single Sign-On (SSO)" und wird auf dieser Microsoft Support-Seite erläutert.
Mit Single Sign-On (SSO) sollen die Zugriffe auf die verwendeten SaaS-Apps (Software-as-a-Service), Cloud-Apps oder lokalen Apps vereinfacht werden. Es gibt eine Anmeldung an Microsoft Entra ID, die dann für alle verwendeten Apps gelten soll. O-Ton Microsoft: "Mit SSO benötigen Ihre Teams nur einen Satz von Anmeldeinformationen, um bequem auf alle ihre Apps zuzugreifen. So muss sich niemand mehr verschiedene Varianten merken oder Kennwörter wiederholt eingeben." Klingt gut, und ist gut, wenn es funktioniert und nicht geknackt wird – aber letzteres ist eine andere Baustelle.
Änderungen in 2024 für die EU
Im Dezember 2023 hatte Microsoft im Techcommunity-Beitrag Upcoming changes to Windows single sign-on einige Änderungen beim Single Sign One angekündigt. Dies wurde für Nutzer in Europa erforderlich, um die Einhaltung der Auflagen des Digital Markets Act (DMA) im Europäischen Wirtschaftsraum (EWR) sicherzustellen. Dazu soll ab 2024 die Funktionsweise für SSO unter Windows geändert werden.
Im Grunde werden Nutzer ab diesem Jahr bei der ersten Anmeldung unter Windows (sofern die Maschine im Europäischen Wirtschaftsraum läuft) gefragt, ob sie sich bei der Anwendung mit denselben Anmeldedaten anmelden möchten, die auch für die Anmeldung bei Windows verwendet werden.
Anzeige
Der Hinweis informiert die Nutzer auch darüber, dass Microsoft bei der Anmeldung die gleichen Anmeldedaten verwendet, um sich bei anderen Microsoft-Anwendungen (Word, Excel etc.) unter Windows anzumelden. Weitere Details sind dem verlinkten Beitrag zu entnehmen – unter dem Strich sollte sich aber nichts ändern.
Single Sign On scheitert sporadisch
Blog-Leser E. H. hat sich gestern Abend per E-Mail bei mir gemeldet, weil er in seinem Umfeld von Fehlern beim Single Sign On (SSO) genervt ist. Unter dem Betreff "Probleme mit SSO bei hybrid joined Maschinen in Azure" beschreibt er die Probleme in seinem Administratorumfeld. In seiner Umgebung tritt das seltsame Phänomen auf, dass sich Nutzer sporadisch nicht mehr mit den Microsoft Desktop Apps wie Excel, Word und Co. anmelden können.
Microsoft 365 Entra ID-Anmeldung hängt
Das Ganze äußert sich so, dass die Anmeldung an der betreffenden Microsoft 365-Anmeldung mit obiger Maske hängen bleibt. Der Nutzer bekommt nur den Hinweis "Da hat etwas nicht geklappt" und es wird empfohlen, den Support zu kontaktieren. Dem Administrator soll man dann den Fehlercode "TypeError" ins Telefon flüstern. Ist natürlich selten dämlich, diese Fehlermeldung – ein Administrator wird mit einem Typ-Fehler herzlich wenig anfangen können.
Der Leser schrieb mir dann auch: "Wenn ich im Log in Azure nachsehe, dann steht im Log des entsprechenden Benutzers: Failure reason User is required to permit SSO." Das ist zwar schön und gut, nur bekommt der Anwender laut Leser nirgendwo eine Möglichkeit dieser SSO Anmeldung zuzustimmen.
Von Microsoft gibt es den Support-Beitrag Microsoft Entra authentication and authorization error codes, der aber wohl nicht hilfreich ist. Es gibt hier eine Aufstellung an Troubleshooting-Hinweisen, keine Ahnung, ob das weiter führt. Der Blog-Leser fragt, ob vielleicht schon jemand ein ähnliches Problem beobachtet hat? Er ist für jeden Hinweis dankbar, der in in die richtige Richtung im Hinblick auf eine Problemlösung bringt.
Ergänzung: Auf Grund von Leserkommentaren habe ich den Blog-Beitrag Azure Entra ID: Probleme mit Single Sign On (SSO) (seit März 2024) mit zusätzlichen Informationen verfasst. Vielleicht hilft es.
Ähnliche Artikel:
Anmeldefehler 700003 bei Microsoft 365 (10. – 11.3.2024)
Microsoft 365/Exchange Online erzwingt plötzlich MFA per Microsoft Authenticator-App
Microsoft benennt AzureAD in Microsoft EntraID um
Microsoft 365-Dienste kollidieren mit Google Chrome-Drittanbieter-Cookie-Blockade
Midnight Blizzard-Hack bei Microsoft: US-Behörden und Großkunden suchen Alternativen
EU-Datenschützer: EU-Kommission verstößt mit Microsoft 365 gegen DSGVO; Korrektur bis Dez. 2024
Gibt es Probleme mit Single Sign On (SSO) bei Maschinen mit Azure Entra ID?
Anzeige
Ob es Probleme gibt? Aber ja doch, aber nicht akut, sondern immer.
Bei unseren Kunden meldet sich alle paar Tage ein Benutzer, bei welchem die gesamte M365-Anmeldung zurück gesetzt werden muss. Danach ist wieder gut.
Hybrid joined-Geräte sind etwas weniger anfällig dagegen, aber das ist bei uns noch nicht so weit verbreitet.
Endlich wieder arbeiten können – ohne Outlook.
https://administrator.de/forum/microsoft-problem-sso-ad-entra-42175611343.html#comment-63788595788
Jep zig mal bei meinen Kunden. Nervt extrem. Selbst bei den Privat-Lizenzen passiert das. Fliegen aus Word oder OneDrive raus.
Das Problem hatte ich bei einem Kunden auch vor ein paar Tagen. Nur einer von ca. 30-40 Clients.
Geholfen hat ein enternen aus dem Azure-AD (Entra…) Stichwort: dsregcmd.exe /leave und erneutes Aufnehmen. (Was für das Benutzerprofil kein Problem ist, da war ich zunächst unsicher.)
My organization is experiencing many issues with our European systems around this exact issue. We're working with Microsoft to investigate. In our specific scenario, we are finding our Windows 11 23H2 systems are working, and our Windows 10 22H2 systems are not. All are patched with March 2024 cumulative updates. The issue hasn't been sporadic in that regard… it's been pretty much all impacted in this regard. Will try the advice Martin suggests of leaving/rejoining AAD. Otherwise, our findings so far suggest a bug in the DMA implementation as the article suggests where the Microsoft.AAD.BrokerPlugin doesn't trigger the prompt. Will bookmark this and share if we learn anything else.
I read also on Facebook, that the Cloud Connector could be the culprit
We only get this PopUp on Hybrid Joined Devices. We don't see it on Entra Joined Devices. Does anyone saw it on Entra ID Only Devices?
Habe das Problem heute bei einem Windows 365 CloudPC gehabt. Hatte vermutet es lag am Restore von vor zwei Wochen.
Haben derzeit das selbe Problem. Microsoft-Ticket ist offen, bislang haben wir keine Lösung finden können…
Gerne den Artikel weiter aktualisieren
Haben dasselbe Problem und ein Ticket bei Microsoft offen. Bei uns äußert es sich so, dass im Browser Office Web Apps, office.com etc. SSO funktioniert. Sobald wir an beliebigen PCs mit Windows 10 / 11 Office Apps öffnen funktioniert kein SSO mehr. Wir haben aktuell Logging von Word aktiviert, das Verhalten nachgestellt und das Log an Microsoft übermittelt.
Bei uns ist es insofern kritisch, dass wir viele SharedPCs haben mit temporären Profilen und aktuell müssen die User beim Öffnen von Office Apps nochmal eine Anmeldung durchführen.
dsregcmd /leave und /join hat bei uns auf nem HAADJ Gerät nicht funktioniert. Wir sind ratlos. Probieren als nächstes nen Intune join über GPO.
An dem Thema bin ich bereits seit Ende März:
https://administrator.de/forum/microsoft-problem-sso-ad-entra-42175611343.html
Der MS Support ist überfragt und angeblich gibt es keine globalen Probleme.
Ich probiere gerade relativ viel mit einem Testuser rum, bislang aber leider keinen Erfolg und wenn sich was ändert, dann wird es meist nur noch schlimmer als der Status Quo. :-D
Grüße
MS-Support konnte unterstützen und hat folgenden Workaround geliefert der bei uns funktioniert hat:
1- Sign out from office Apps.
2- Add this reg in registry editor:
HKLM\SOFTWARE\Policies\Microsoft\Windows\WorkplaceJoin: "BlockAADWorkplaceJoin"=dword:00000001
• [HKEY_CURRENT_USER\Software\Microsoft\Office\16.0\Common\Identity]
"DisableADALatopWAMOverride"=dword:00000001
• [HKEY_CURRENT_USER\Software\Microsoft\Office\16.0\Common\Identity]
"DisableAADWAM"=dword:00000001
3- Delete the keys under Identities.
4- Sign in again.
Salut,
vielen Dank, habe das gerade mal im Forum näher beleuchtet:
https://administrator.de/forum/microsoft-problem-sso-ad-entra-42175611343.html#comment-13750667838
Für das klassische Office läuft das.
Beim Rest sieht es eher schlecht aus. :-D
Hi Towa,
schön, dass du deinen Fall so ausführlich auf Administrator.de dokumentiert hast.
Ich selber ärgere mich jetzt auch schon seit etwa einem Monat bei einem Kunden bei der nicht-permanenten VDI-Umgebung herum.
Die Kunden müssen sich in der Umgebung, nachdem ich folgende Registrierungswerte gesetzt habe, "nur" noch einmal am Tag anmelden.
autoWorkplaceJoin=0
BlockAADWorkplaceJoin=1
https://www.stephenwagner.com/2022/03/06/microsoft-azure-ad-sso-vdi/
https://www.stephenwagner.com/2021/04/25/hybrid-azure-ad-non-persistent-vdi-instant-clones/
WAM-Werte habe ich noch nicht angefasst, werde es aber heute einmal testen.
Abseits davon, kenn jmd. hier eine aktuelle Anleitung für das korrekte Einrichten und Ausrollen einer nicht-permanenten VDI-Umgebung von VMware, mit Teams classic / Teams New und MS365?
Bzw. kennt jmd. von euch, eine Fehlersammlung zu dem Komplex?
Die Bestätigung mit "Weiter" (aka.ms/sso-info) kommt aufgrund einer EU-Richtlinie. Trotz SSO wird man also mit Weiter bestätigen müssen.
Die Frage ist, ob durch die Registry Werte das Problem behoben wird, dass Office Apps wie Word/Outlook aktiv nach Benutzer+Passwort fragen obwohl SSO in Browsern wie Edge funktioniert?
Uns wurden die Registry Werte vom Microsoft Support nicht empfohlen, vor allem das Deaktivieren des WAM in Windows.
Microsoft hat es für Enterprise Kunden im Status des Windows-Release als Confirmed Problem ENDLICH hinterlegt (ist trotz Datum 1. Mai erst heute für uns sichbar erschienen, in den Consumer Status Pages ist es stand jetzt auch noch fehlend, entspricht auch 1:1 den Problemen bei uns nur Clients betroffen (kein Server) und es wird immer mehr, geräte in MDM sind schneller betroffen aber es ist egal sobald der hiermit anfängt geht es los…. "Die Bestätigung mit "Weiter" (aka.ms/sso-info)". Wenn das Flag nicht da ist geht auch alles mit SSO…
Automatic sign-in to Microsoft applications might not work as expected
WI789501, Windows 11, version 23H2
Zuletzt aktualisiert: 1. Mai 2024, 21:47 MESZ
Entstehungszeitpunkt: 23. Jan. 2024, 23:00 MEZ
Status
Confirmed
Auswirkungen auf Benutzer
Some users reported that they must repeatedly sign-in to Microsoft applications such as Edge, Defender, and Office
After installing Windows Updates released on January 23, 2024 (KB5034204) and later, a limited number of users in Europe have reported issues with automatic sign-in on Microsoft applications such as Microsoft Edge, Xbox, Office, Outlook and Defender. This issue might cause users to be logged out of any Microsoft application that uses Microsoft account [link] multiple times. Users might observe this issue once they sign into Windows using their Microsoft account. Errors encountered by this issue might display like "Unable to sync with your account because we need to confirm that it's you. Please log in again to verify your account" or display a pop-up window 'Sign-in – Microsoft family features' with the message "You need to sign back in to your Microsoft account…".
Next steps: We are working on a resolution and will provide an update in an upcoming release.
Affected platforms:
Client: Windows 11, version 23H2, Windows 10, version 22H2
Server: None