Microsoft Problem SSO (AD - Entra)?
Hallo zusammen,
ich habe seit gestern Nachmittag einen seltsamen/neuen Effekt in unserer Umgebung.
Kurz zum Aufbau:
Userverwaltung erfolgt im lokalen ActiveDirectory und wird per Azure AD Connect (Ver. 2.3.6.0) inkl. Passwörter ins Entra synchronisiert, nach wie vor erfolgt dies fehlerfrei.
Durch die aktive Kennwort-Hashsynchronisierung habe ich Microsoft Entra nahtloses einmaliges Anmelden aktiv, was seit einer gefühlten Ewigkeit wunderbar funktioniert.
Genutzt werden Windows 10 Clients (aktueller Stand) und Office 365 Desktop (Current & SemiAnnual Kanäle).
Nun zeigt sich ohne Änderung an der Konfiguration ein Verhalten, welches die Nutzer zur Anmeldung auffordert.
Vorzugsweise fällt dies in Outlook auf, da dort aktiv danach gefragt wird und nicht einfach nur ein Warndreieck am Benutzersymbol erscheint (was bei Kontofehlern bspw. in Word der Fall ist).
Die Mitarbeiter müssen sich also aktiv anmelden, spannend dabei ist, dass das nicht direkt nach dem PC Start oder dem Öffnen von Outlook auftritt, sondern mal 1 Stunde oder 2,5 Stunden später.
Ebenfalls interessant, dass es OneDrive scheinbar nicht tangiert.
Was die Clients bislang gemeinsam haben (habe noch nicht alle durch), die neusten Officeversion wurde am Montag installiert.
Nun bin ich ein wenig durch die Logs im Entra gestiegen, auch mit dem Microsoftsupport.
Spannend sind die "Sign-in logs" der Benutzer, denn damit wird klar, das Problem ist neu:
Denn es gibt keine historischen Daten, 99% der historischen Logins liefen unter "non-interactive".
Da ich noch in der Analyse stecke und auch auf Rückmeldung des Supporters von Microsoft warte, welcher von den PCs einen Auszug des "dsregcmd /status" haben wollte, hier ziemlich allgemein gefragt:
Grüße
ToWa
ich habe seit gestern Nachmittag einen seltsamen/neuen Effekt in unserer Umgebung.
Kurz zum Aufbau:
Userverwaltung erfolgt im lokalen ActiveDirectory und wird per Azure AD Connect (Ver. 2.3.6.0) inkl. Passwörter ins Entra synchronisiert, nach wie vor erfolgt dies fehlerfrei.
Durch die aktive Kennwort-Hashsynchronisierung habe ich Microsoft Entra nahtloses einmaliges Anmelden aktiv, was seit einer gefühlten Ewigkeit wunderbar funktioniert.
Genutzt werden Windows 10 Clients (aktueller Stand) und Office 365 Desktop (Current & SemiAnnual Kanäle).
Nun zeigt sich ohne Änderung an der Konfiguration ein Verhalten, welches die Nutzer zur Anmeldung auffordert.
Vorzugsweise fällt dies in Outlook auf, da dort aktiv danach gefragt wird und nicht einfach nur ein Warndreieck am Benutzersymbol erscheint (was bei Kontofehlern bspw. in Word der Fall ist).
Die Mitarbeiter müssen sich also aktiv anmelden, spannend dabei ist, dass das nicht direkt nach dem PC Start oder dem Öffnen von Outlook auftritt, sondern mal 1 Stunde oder 2,5 Stunden später.
Ebenfalls interessant, dass es OneDrive scheinbar nicht tangiert.
Was die Clients bislang gemeinsam haben (habe noch nicht alle durch), die neusten Officeversion wurde am Montag installiert.
Nun bin ich ein wenig durch die Logs im Entra gestiegen, auch mit dem Microsoftsupport.
Spannend sind die "Sign-in logs" der Benutzer, denn damit wird klar, das Problem ist neu:
Denn es gibt keine historischen Daten, 99% der historischen Logins liefen unter "non-interactive".
Da ich noch in der Analyse stecke und auch auf Rückmeldung des Supporters von Microsoft warte, welcher von den PCs einen Auszug des "dsregcmd /status" haben wollte, hier ziemlich allgemein gefragt:
- noch jemand mit der Konstellation und aktuellen Problemen?
- jemand das Problem schon mal gehabt und nen genaueren Tipp für mich?
Grüße
ToWa
Please also mark the comments that contributed to the solution of the article
Content-Key: 42175611343
Url: https://administrator.de/contentid/42175611343
Printed on: April 28, 2024 at 01:04 o'clock
18 Comments
Latest comment
Habe hier genau das gleiche Problem. Bei zig Kunden mit SSO über AD-Sync ist heute Party angesagt.
Zumal, selbst wenn das Kennwort eingegeben wird, funktioniert es nicht. Aber nach zig Versuchen funktioniert es dann plötzlich doch noch. Ganz seltsam das Ganze.
Ab wann darf man Microsoft eigentlich so einen Aufwand in Rechnung stellen?
Zumal, selbst wenn das Kennwort eingegeben wird, funktioniert es nicht. Aber nach zig Versuchen funktioniert es dann plötzlich doch noch. Ganz seltsam das Ganze.
Ab wann darf man Microsoft eigentlich so einen Aufwand in Rechnung stellen?
Ist es evtl so etwas wie hier?
BornCity
Bei uns ist dies auch schon ohne Ankündigung bei vereinzelten Nutzern aufgetreten. Es muss im Bestätigungsdialog nichts eingetragen werden, die Bestätigung der Meldung reicht.
Trotzdem hat dies aber ausgereicht, dass der Anwender nicht weiter wusste und somit sich Outlook und Teams (Office 365) sich nicht synchronisiert hatten. Das Fenster ist nicht wirklich präsent zu sehen und aufgrund des Synchronisierungsfehlers hatte sich Outlook sogar aufgehangen. Nach der Bestätigung war alles wieder in Ordnung. Klasse.
https://techcommunity.microsoft.com/t5/windows-it-pro-blog/upcoming-chan ...;
BornCity
Bei uns ist dies auch schon ohne Ankündigung bei vereinzelten Nutzern aufgetreten. Es muss im Bestätigungsdialog nichts eingetragen werden, die Bestätigung der Meldung reicht.
Trotzdem hat dies aber ausgereicht, dass der Anwender nicht weiter wusste und somit sich Outlook und Teams (Office 365) sich nicht synchronisiert hatten. Das Fenster ist nicht wirklich präsent zu sehen und aufgrund des Synchronisierungsfehlers hatte sich Outlook sogar aufgehangen. Nach der Bestätigung war alles wieder in Ordnung. Klasse.
https://techcommunity.microsoft.com/t5/windows-it-pro-blog/upcoming-chan ...;
Wir haben heute leute nur 2-3 von 400 wo wenn man word oder excel oder so aufmacht die applikation wieder sofort zusammen klappt.
Der witz im offenen Internet klappt dann das öffnen wieder, hinter der Firewall gehts nicht mehr.
Firewall bringt aber keine Blocks oder Allows im Logfile....
Total strange...
Der witz im offenen Internet klappt dann das öffnen wieder, hinter der Firewall gehts nicht mehr.
Firewall bringt aber keine Blocks oder Allows im Logfile....
Total strange...
Hallo in die Runde!
da wir in unserer Umgebung gerade vor dem selben Problem stehen, nicht weiter wissen und ungerne mit o.g. Workaround hantieren möchten, die Frage: Gibt es seitens Microsoft dazu eine Lösung oder eine Info, dass daran gearbeitet wird? Wir haben hier leider keinen vernünftigen Support.
Vielen Dank im voraus!
da wir in unserer Umgebung gerade vor dem selben Problem stehen, nicht weiter wissen und ungerne mit o.g. Workaround hantieren möchten, die Frage: Gibt es seitens Microsoft dazu eine Lösung oder eine Info, dass daran gearbeitet wird? Wir haben hier leider keinen vernünftigen Support.
Vielen Dank im voraus!
Bei uns äußert sich das Problem wie folgt:
Beim Öffnen von Browser Apps mit dem Edge Browser funktioniert SSO ohne Probleme (natürlich mit dem neue Dialog aufgrund der EU-Richtlinie). Lokale Office Apps wie Word etc. scheitern, d. h. es geht der Anmelde Prompt auf und fordert den User auf, Office aktiv zu aktivieren. Dabei wird in den Konto-Optionen in der Office Anwendung hingewiesen, dass Probleme mit dem Konto vorliegen. Auch hier werde ich aufgefordert mich aktiv anzumelden. Zusätzlich ist bei uns die Teams 2.0 App sowie die Anmeldung im Edge Browser zum Synchronisieren betroffen.
Wir haben immer mehr Kunden mit dem Problem. Anfangs hatten wir die Office-Anwendungen im Verdacht, da Single Sign On im Browser stehts funktioniert. Wir haben bei den betroffenen Kunden Entra ID Connect im Einsatz mit aktiviertem Einmaligem Anmelden (SSO). Seit Jahren hat das Robust funktioniert bis vor kurzem, als immer mehr Maschinen ausgestiegen sind. Bei einem Kunden sind 200 Endgeräte betroffen, welche im Shared PC Modus laufen. Hier ist es besonders ärgerlich, da SSO bei jedem Anmeldevorgang aufs neue benötigt wird.
Wir haben bei Microsoft mehrere Tickets eröffnet, zuletzt beim Entra Support. Bisher haben wir von Microsoft keine Hilfe erhalten und hatten angefangen lokal an den Geräten zu suchen, dabei natürlich zuerst die Updates geprüft. Geräte, die seit dem letzten Patchzyklus aus waren, scheinen problemlos zu laufen, weswegen wir ein Service Stack Update aus März im Verdacht haben, was sich nicht mehr deinstallieren lässt und in Windows die Build Version anhebt. Es sind seitens Microsoft aber keine aktuellen Probleme in Verbindung mit SSO benannt. Sehr ärgerlich ist es bei unseren Nicht-Persistenten Umgebunden, wo Office Apps bei jedem Anmeldevorgang im Hintergrund aktiviert werden (bisher).
Beim Öffnen von Browser Apps mit dem Edge Browser funktioniert SSO ohne Probleme (natürlich mit dem neue Dialog aufgrund der EU-Richtlinie). Lokale Office Apps wie Word etc. scheitern, d. h. es geht der Anmelde Prompt auf und fordert den User auf, Office aktiv zu aktivieren. Dabei wird in den Konto-Optionen in der Office Anwendung hingewiesen, dass Probleme mit dem Konto vorliegen. Auch hier werde ich aufgefordert mich aktiv anzumelden. Zusätzlich ist bei uns die Teams 2.0 App sowie die Anmeldung im Edge Browser zum Synchronisieren betroffen.
Wir haben immer mehr Kunden mit dem Problem. Anfangs hatten wir die Office-Anwendungen im Verdacht, da Single Sign On im Browser stehts funktioniert. Wir haben bei den betroffenen Kunden Entra ID Connect im Einsatz mit aktiviertem Einmaligem Anmelden (SSO). Seit Jahren hat das Robust funktioniert bis vor kurzem, als immer mehr Maschinen ausgestiegen sind. Bei einem Kunden sind 200 Endgeräte betroffen, welche im Shared PC Modus laufen. Hier ist es besonders ärgerlich, da SSO bei jedem Anmeldevorgang aufs neue benötigt wird.
Wir haben bei Microsoft mehrere Tickets eröffnet, zuletzt beim Entra Support. Bisher haben wir von Microsoft keine Hilfe erhalten und hatten angefangen lokal an den Geräten zu suchen, dabei natürlich zuerst die Updates geprüft. Geräte, die seit dem letzten Patchzyklus aus waren, scheinen problemlos zu laufen, weswegen wir ein Service Stack Update aus März im Verdacht haben, was sich nicht mehr deinstallieren lässt und in Windows die Build Version anhebt. Es sind seitens Microsoft aber keine aktuellen Probleme in Verbindung mit SSO benannt. Sehr ärgerlich ist es bei unseren Nicht-Persistenten Umgebunden, wo Office Apps bei jedem Anmeldevorgang im Hintergrund aktiviert werden (bisher).
Hm, bin auch gespannt wie eine saubere dauerhafte Lösung aussieht, der angepasste wert in der registry wird ja irgendwo von MS auch als „besser nicht anpassen „ beschrieben…
https://learn.microsoft.com/de-de/microsoft-365/troubleshoot/administrat ...
https://learn.microsoft.com/de-de/microsoft-365/troubleshoot/administrat ...