18
Microsoft Problem SSO (AD - Entra)?
Hallo zusammen,
ich habe seit gestern Nachmittag einen seltsamen/neuen Effekt in unserer Umgebung.
Kurz zum Aufbau:
Userverwaltung erfolgt im lokalen ActiveDirectory und wird per Azure AD Connect (Ver. 2.3.6.0) inkl. Passwörter ins Entra synchronisiert, nach wie vor erfolgt dies fehlerfrei.
Durch die aktive Kennwort-Hashsynchronisierung habe ich Microsoft Entra nahtloses einmaliges Anmelden aktiv, was seit einer gefühlten Ewigkeit wunderbar funktioniert.
Genutzt werden Windows 10 Clients (aktueller Stand) und Office 365 Desktop (Current & SemiAnnual Kanäle).
Nun zeigt sich ohne Änderung an der Konfiguration ein Verhalten, welches die Nutzer zur Anmeldung auffordert.
Vorzugsweise fällt dies in Outlook auf, da dort aktiv danach gefragt wird und nicht einfach nur ein Warndreieck am Benutzersymbol erscheint (was bei Kontofehlern bspw. in Word der Fall ist).
Die Mitarbeiter müssen sich also aktiv anmelden, spannend dabei ist, dass das nicht direkt nach dem PC Start oder dem Öffnen von Outlook auftritt, sondern mal 1 Stunde oder 2,5 Stunden später.
Ebenfalls interessant, dass es OneDrive scheinbar nicht tangiert.
Was die Clients bislang gemeinsam haben (habe noch nicht alle durch), die neusten Officeversion wurde am Montag installiert.
Nun bin ich ein wenig durch die Logs im Entra gestiegen, auch mit dem Microsoftsupport.
Spannend sind die "Sign-in logs" der Benutzer, denn damit wird klar, das Problem ist neu:
Denn es gibt keine historischen Daten, 99% der historischen Logins liefen unter "non-interactive".
Da ich noch in der Analyse stecke und auch auf Rückmeldung des Supporters von Microsoft warte, welcher von den PCs einen Auszug des "dsregcmd /status" haben wollte, hier ziemlich allgemein gefragt:
Grüße
ToWa
ich habe seit gestern Nachmittag einen seltsamen/neuen Effekt in unserer Umgebung.
Kurz zum Aufbau:
Userverwaltung erfolgt im lokalen ActiveDirectory und wird per Azure AD Connect (Ver. 2.3.6.0) inkl. Passwörter ins Entra synchronisiert, nach wie vor erfolgt dies fehlerfrei.
Durch die aktive Kennwort-Hashsynchronisierung habe ich Microsoft Entra nahtloses einmaliges Anmelden aktiv, was seit einer gefühlten Ewigkeit wunderbar funktioniert.
Genutzt werden Windows 10 Clients (aktueller Stand) und Office 365 Desktop (Current & SemiAnnual Kanäle).
Nun zeigt sich ohne Änderung an der Konfiguration ein Verhalten, welches die Nutzer zur Anmeldung auffordert.
Vorzugsweise fällt dies in Outlook auf, da dort aktiv danach gefragt wird und nicht einfach nur ein Warndreieck am Benutzersymbol erscheint (was bei Kontofehlern bspw. in Word der Fall ist).
Die Mitarbeiter müssen sich also aktiv anmelden, spannend dabei ist, dass das nicht direkt nach dem PC Start oder dem Öffnen von Outlook auftritt, sondern mal 1 Stunde oder 2,5 Stunden später.
Ebenfalls interessant, dass es OneDrive scheinbar nicht tangiert.
Was die Clients bislang gemeinsam haben (habe noch nicht alle durch), die neusten Officeversion wurde am Montag installiert.
Nun bin ich ein wenig durch die Logs im Entra gestiegen, auch mit dem Microsoftsupport.
Spannend sind die "Sign-in logs" der Benutzer, denn damit wird klar, das Problem ist neu:
Denn es gibt keine historischen Daten, 99% der historischen Logins liefen unter "non-interactive".
Da ich noch in der Analyse stecke und auch auf Rückmeldung des Supporters von Microsoft warte, welcher von den PCs einen Auszug des "dsregcmd /status" haben wollte, hier ziemlich allgemein gefragt:
- noch jemand mit der Konstellation und aktuellen Problemen?
- jemand das Problem schon mal gehabt und nen genaueren Tipp für mich?
Grüße
ToWa
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 42175611343
Url: https://administrator.de/contentid/42175611343
Printed on: April 27, 2024 at 11:04 o'clock
18 Comments
Latest comment
Habe hier genau das gleiche Problem. Bei zig Kunden mit SSO über AD-Sync ist heute Party angesagt.
Zumal, selbst wenn das Kennwort eingegeben wird, funktioniert es nicht. Aber nach zig Versuchen funktioniert es dann plötzlich doch noch. Ganz seltsam das Ganze.
Ab wann darf man Microsoft eigentlich so einen Aufwand in Rechnung stellen?
Zumal, selbst wenn das Kennwort eingegeben wird, funktioniert es nicht. Aber nach zig Versuchen funktioniert es dann plötzlich doch noch. Ganz seltsam das Ganze.
Ab wann darf man Microsoft eigentlich so einen Aufwand in Rechnung stellen?
Zitat von @anteNope:
Zumal, selbst wenn das Kennwort eingegeben wird, funktioniert es nicht. Aber nach zig Versuchen funktioniert es dann plötzlich doch noch. Ganz seltsam das Ganze.
Zumal, selbst wenn das Kennwort eingegeben wird, funktioniert es nicht. Aber nach zig Versuchen funktioniert es dann plötzlich doch noch. Ganz seltsam das Ganze.
Das ist hier tatsächlich nicht der Fall, es funktioniert immer direkt.
Was bei uns zu Irritation führt, aber ein hausgemachtes Problem ist, dass der Anmeldename ungleich der E-Mailadresse des Nutzers ist.
Da in dem Dialog aber "E-Mail" steht, werden die Benutzer aufs Glatteis geführt.
Zudem habe ich die Geräteregistrierung im Entra nur mit MFA erlaubt, nach der Passworteingabe kommt dann also noch der berühmte Abfragedialog, der mich gestern Nachmittag selbst aus der Bahn warf:
Microsoft MFA erstmal zwangsweise die App?
P.S.: Aber dann bin ich schon mal froh nicht allein zu sein, denn das bestätigt mir, dass es keine Konfigurationsänderung meinerseits war.
Grüße
ToWa
Und nun auch bei Kunden die gar kein SSO haben. Genial! Rockt so richtig!
2
Ist es evtl so etwas wie hier?
BornCity
Bei uns ist dies auch schon ohne Ankündigung bei vereinzelten Nutzern aufgetreten. Es muss im Bestätigungsdialog nichts eingetragen werden, die Bestätigung der Meldung reicht.
Trotzdem hat dies aber ausgereicht, dass der Anwender nicht weiter wusste und somit sich Outlook und Teams (Office 365) sich nicht synchronisiert hatten. Das Fenster ist nicht wirklich präsent zu sehen und aufgrund des Synchronisierungsfehlers hatte sich Outlook sogar aufgehangen. Nach der Bestätigung war alles wieder in Ordnung. Klasse.
https://techcommunity.microsoft.com/t5/windows-it-pro-blog/upcoming-chan ...;
BornCity
Bei uns ist dies auch schon ohne Ankündigung bei vereinzelten Nutzern aufgetreten. Es muss im Bestätigungsdialog nichts eingetragen werden, die Bestätigung der Meldung reicht.
Trotzdem hat dies aber ausgereicht, dass der Anwender nicht weiter wusste und somit sich Outlook und Teams (Office 365) sich nicht synchronisiert hatten. Das Fenster ist nicht wirklich präsent zu sehen und aufgrund des Synchronisierungsfehlers hatte sich Outlook sogar aufgehangen. Nach der Bestätigung war alles wieder in Ordnung. Klasse.
https://techcommunity.microsoft.com/t5/windows-it-pro-blog/upcoming-chan ...;
Genau das Fenster kommt irgendwann mit dem aka.ms/sso-info.
Ist scheinbar ein globales Ding, mittlerweile sind auch die Privatkunden-Logins betroffen.
Haben die das mal irgendwo angekündigt? Ist das einfach nur an mir vorbeigegangen?!
Ist scheinbar ein globales Ding, mittlerweile sind auch die Privatkunden-Logins betroffen.
Haben die das mal irgendwo angekündigt? Ist das einfach nur an mir vorbeigegangen?!
Wir haben heute leute nur 2-3 von 400 wo wenn man word oder excel oder so aufmacht die applikation wieder sofort zusammen klappt.
Der witz im offenen Internet klappt dann das öffnen wieder, hinter der Firewall gehts nicht mehr.
Firewall bringt aber keine Blocks oder Allows im Logfile....
Total strange...
Der witz im offenen Internet klappt dann das öffnen wieder, hinter der Firewall gehts nicht mehr.
Firewall bringt aber keine Blocks oder Allows im Logfile....
Total strange...
Hmm das Fenster kommt bei uns allerdings nicht, ggf. habe ich da mit einer Konfiguration aber bereits vorgesorgt?
Mittlerweile muss man ja "in Microsoft" studiert haben und eine eigene Sekretärin beschäftigen, um die Azure Verknüpfungen und die stetigen Änderungen mitzubekommen.
An den privaten Systemen hatte ich bislang noch keine "Effekte" und auch die an Entra angebundenen Systeme per Intune waren bislang nicht betroffen.
Mittlerweile muss man ja "in Microsoft" studiert haben und eine eigene Sekretärin beschäftigen, um die Azure Verknüpfungen und die stetigen Änderungen mitzubekommen.
An den privaten Systemen hatte ich bislang noch keine "Effekte" und auch die an Entra angebundenen Systeme per Intune waren bislang nicht betroffen.
Kleines Update.
Heute Morgen bei keinem diesen Effekt gehabt, der bereits gestern eine Loginaufforderung bekam.
Allerdings zwei neue.
Ein Kollege der das gestern Nachmittag hatte und dann in der sche* egal Haltung einfach nach Hause ist.
Heute Morgen war das Problem aber noch existent nach dem Systemstart.
Eine Kollegin, welche gestern Nachmittag nicht mehr gearbeitet hat, bekam heute Morgen die Aufforderung.
Der Microsoft Azure Technical Advisor ist mit mir gerade alle Tenanteinstellungen zur MFA durchgegangen, alles richtig bzw. alles aus.
Er hadert immer noch mit dem Verständnis, dass ich MFA anfrage, sofern ein User ein Gerät im Entra registrieren möchte, denn ich möchte meine lokalen Geräte nicht alle im Entra sehen.
Das hat bisher auch wunderbar geklappt, dadurch, dass sich eben niemand anmelden musste...
Heute Morgen bei keinem diesen Effekt gehabt, der bereits gestern eine Loginaufforderung bekam.
Allerdings zwei neue.
Ein Kollege der das gestern Nachmittag hatte und dann in der sche* egal Haltung einfach nach Hause ist.
Heute Morgen war das Problem aber noch existent nach dem Systemstart.
Eine Kollegin, welche gestern Nachmittag nicht mehr gearbeitet hat, bekam heute Morgen die Aufforderung.
Der Microsoft Azure Technical Advisor ist mit mir gerade alle Tenanteinstellungen zur MFA durchgegangen, alles richtig bzw. alles aus.
Er hadert immer noch mit dem Verständnis, dass ich MFA anfrage, sofern ein User ein Gerät im Entra registrieren möchte, denn ich möchte meine lokalen Geräte nicht alle im Entra sehen.
Das hat bisher auch wunderbar geklappt, dadurch, dass sich eben niemand anmelden musste...
Hallo zusammen,
kurzes Update.
Microsoft hat hier übrigens bislang keine Ahnung, kann nur sagen, dass es kein globales Problem ist.
Ich habe allerdings eine Vermutung und ggf. könnt ihr mir dazu etwas sagen?
Vor einiger Zeit hatte ich mal mit Conditional Access begonnen und die Named locations angepasst.
Also den Firmenstandort auf Germany gesetzt und eine Trusted-IP range zum Standort eingetragen.
Zu finden unter: Microsoft Entra ID -> Protection -> Conditional Access -> Names locations
Danach war natürlich wieder irgendwas anderes und das Thema wurde bislang nicht weiter verfolgt.
Bei meiner möglichen Ursachensuche wurde ich dann auf den kleinen Schalter aufmerksam:
Der leitet mich zum alten MFA Dialog:
Der sollte aber eigentlich gar nicht mehr genutzt werden, da ich bereits auf die neuen MFA Richtlinien migriert habe.
Vielleicht wird er aber darüber dennoch genutzt...?
Grüße
ToWa
kurzes Update.
Microsoft hat hier übrigens bislang keine Ahnung, kann nur sagen, dass es kein globales Problem ist.
Ich habe allerdings eine Vermutung und ggf. könnt ihr mir dazu etwas sagen?
Vor einiger Zeit hatte ich mal mit Conditional Access begonnen und die Named locations angepasst.
Also den Firmenstandort auf Germany gesetzt und eine Trusted-IP range zum Standort eingetragen.
Zu finden unter: Microsoft Entra ID -> Protection -> Conditional Access -> Names locations
Danach war natürlich wieder irgendwas anderes und das Thema wurde bislang nicht weiter verfolgt.
Bei meiner möglichen Ursachensuche wurde ich dann auf den kleinen Schalter aufmerksam:
Der leitet mich zum alten MFA Dialog:
Der sollte aber eigentlich gar nicht mehr genutzt werden, da ich bereits auf die neuen MFA Richtlinien migriert habe.
Vielleicht wird er aber darüber dennoch genutzt...?
Grüße
ToWa
Hallo noch mal,
weitere Tests sind durch, im MFA Dialog die lokalen IPs ergänzt und Skip multi-factor aktiviert.
Keine Änderung beim SSO.
Anschließend die Änderung rückgängig gemacht und die Named localions aus EntraID gelöscht.
Keine Änderung beim SSO.
Microsoftsupport ist überfragt und hat keine Idee.
Die SSO Konfiguration wurde kontrolliert und für i.O. befunden.
Bezeichnend ist, dass SSO bei OneDrive immer funktioniert, betroffen sind nur Programme wie Office (Word, Excel,...) für die Lizenz und darüber hinaus bei Outlook auch der Zugriff auf das E-Mailkonto. Hinzu kommt der Microsoft Edge für die Synchronisation.
Das Thema bleibt übrigens auch mit den neusten Patches von gestern offen und betrifft sowohl Windows 10 als auch Windows 11, wobei das OS damit eher weniger zu tun hat.
Jemand noch eine fixe Idee?
Ansonsten bleibt wohl nur eine Zwangseinführung von Conditional Access, in der Hoffnung, dass danach die Ausnahmen für SSO wieder greifen, was ich aber noch skeptisch sehe.
Grüße
ToWa
weitere Tests sind durch, im MFA Dialog die lokalen IPs ergänzt und Skip multi-factor aktiviert.
Keine Änderung beim SSO.
Anschließend die Änderung rückgängig gemacht und die Named localions aus EntraID gelöscht.
Keine Änderung beim SSO.
Microsoftsupport ist überfragt und hat keine Idee.
Die SSO Konfiguration wurde kontrolliert und für i.O. befunden.
Bezeichnend ist, dass SSO bei OneDrive immer funktioniert, betroffen sind nur Programme wie Office (Word, Excel,...) für die Lizenz und darüber hinaus bei Outlook auch der Zugriff auf das E-Mailkonto. Hinzu kommt der Microsoft Edge für die Synchronisation.
Das Thema bleibt übrigens auch mit den neusten Patches von gestern offen und betrifft sowohl Windows 10 als auch Windows 11, wobei das OS damit eher weniger zu tun hat.
Jemand noch eine fixe Idee?
Ansonsten bleibt wohl nur eine Zwangseinführung von Conditional Access, in der Hoffnung, dass danach die Ausnahmen für SSO wieder greifen, was ich aber noch skeptisch sehe.
Grüße
ToWa
Weiteres kleines Update, da ich gerade auch bei borncity über eine Info gestolpert bin.
Gestern habe ich weitere Punkte abgearbeitet:
Ein Punkt, den der Support bislang auch nicht geprüft hatte ist das Ticket des AZUREADSSOACC:
Klappt offensichtlich.
Eine Auffälligkeit gab es noch bei einem EntraID - joined Client.
Der Dialog von Outlook ist/war neu, für diesen User ist tatsächlich MFA aktiviert.
Gestern habe ich weitere Punkte abgearbeitet:
- Erneuerung des Schlüssels für SSO bei Identity > Hybrid management > Microsoft Entra Connect > Connect Sync
- Known issues geprüft unter: https://learn.microsoft.com/en-us/entra/identity/hybrid/connect/tshoot-c ...
- Troubleshooting geprüft:
Ein Punkt, den der Support bislang auch nicht geprüft hatte ist das Ticket des AZUREADSSOACC:
Eine Auffälligkeit gab es noch bei einem EntraID - joined Client.
Der Dialog von Outlook ist/war neu, für diesen User ist tatsächlich MFA aktiviert.
Da soeben ein Kommentar bei borncity auf einen Workaround des Microsoftsupport verweist:
Quelle: Anonymous
Habe ich das gerade an meinem Testsystem mal durchgespielt.
Mal wieder Anwender schulen, weil nun neue Dialoge erscheinen?
Ist das als Workaround temporär? Ist was zu tun, wenn Microsoft das Thema in einem künftigen Update bereinigt?
Grüße
ToWa
P.S.: Hier die Inhalte der entsprechenden Reg-Dateien zur einmaligen Verteilung.
Für den Client:
Für den Benutzer:
Ich markiere das erstmal als Lösung, auch wenn es sich nur um einen Workaround handelt.
1- Sign out from office Apps.
2- Add this reg in registry editor:
HKLM\SOFTWARE\Policies\Microsoft\Windows\WorkplaceJoin: "BlockAADWorkplaceJoin"=dword:00000001
• [HKEY_CURRENT_USER\Software\Microsoft\Office\16.0\Common\Identity]
"DisableADALatopWAMOverride"=dword:00000001
• [HKEY_CURRENT_USER\Software\Microsoft\Office\16.0\Common\Identity]
"DisableAADWAM"=dword:00000001
3- Delete the keys under Identities.
4- Sign in again.Habe ich das gerade an meinem Testsystem mal durchgespielt.
- Für Office scheint das erstmal ein funktionierender Workaround, auch bei einem neuen Profil klappt dies, wenn die Registryeinträge vor dem ersten Öffnen eines Office-Programms gesetzt werden.
- Bei Microsoft Edge tut sich da leider nichts, klar die Einträge sind auch unter "Office". Hier ist Benutzername und Kennwort erforderlich, dann kommt der o.g. aka.ms/sso-info - Hinweis und mit Weiter ist der Login abgeschlossen.
- Das neue Microsoft Teams zweigt den Account beim ersten Öffnen an, möchte dann aber auch noch mal das Kennwort, kommt dann mit der o.g. aka.ms/sso-info - Meldung raus, welche ebenfalls mit Weiter übergangen werden kann.
Mal wieder Anwender schulen, weil nun neue Dialoge erscheinen?
Ist das als Workaround temporär? Ist was zu tun, wenn Microsoft das Thema in einem künftigen Update bereinigt?
Grüße
ToWa
P.S.: Hier die Inhalte der entsprechenden Reg-Dateien zur einmaligen Verteilung.
Für den Client:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WorkplaceJoin]
"BlockAADWorkplaceJoin"=dword:00000001 Für den Benutzer:
Windows Registry Editor Version 5.00
[-HKEY_CURRENT_USER\SOFTWARE\Microsoft\Office\16.0\Common\Identity\Identities]
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Office\16.0\Common\Identity]
"DisableADALatopWAMOverride"=dword:00000001
"DisableAADWAM"=dword:00000001 Ich markiere das erstmal als Lösung, auch wenn es sich nur um einen Workaround handelt.
Morgen mal das neue (optionale) Windows 10 Update testen:
https://blogs.windows.com/windows-insider/2024/04/15/releasing-windows-1 ...
Da stehen zwei komische Punkte drin:
This update includes the following features and improvements:
Kann es denn sein, dass der Copilot Teil des Problems ist...
ToWa
https://blogs.windows.com/windows-insider/2024/04/15/releasing-windows-1 ...
Da stehen zwei komische Punkte drin:
This update includes the following features and improvements:
- New! This update starts the rolls out of account-related notifications for Microsoft accounts in Settings > Home. A Microsoft account connects Windows to your Microsoft apps. The account also backs up all your data and helps you to manage your subscriptions. You can also add extra security steps to keep you from being locked out of your account. This feature displays notifications across the Start menu and Settings. You can manage your Settings notifications in Settings > Privacy & security > General.
- This update addresses an issue that affects app licensing. Because of this, Copilot in Windows (in preview) does not work as you expect.
Kann es denn sein, dass der Copilot Teil des Problems ist...
ToWa
Hallo in die Runde!
da wir in unserer Umgebung gerade vor dem selben Problem stehen, nicht weiter wissen und ungerne mit o.g. Workaround hantieren möchten, die Frage: Gibt es seitens Microsoft dazu eine Lösung oder eine Info, dass daran gearbeitet wird? Wir haben hier leider keinen vernünftigen Support.
Vielen Dank im voraus!
da wir in unserer Umgebung gerade vor dem selben Problem stehen, nicht weiter wissen und ungerne mit o.g. Workaround hantieren möchten, die Frage: Gibt es seitens Microsoft dazu eine Lösung oder eine Info, dass daran gearbeitet wird? Wir haben hier leider keinen vernünftigen Support.
Vielen Dank im voraus!
Zitat von @NordicWorker:
da wir in unserer Umgebung gerade vor dem selben Problem stehen, nicht weiter wissen und ungerne mit o.g. Workaround hantieren möchten, die Frage:
da wir in unserer Umgebung gerade vor dem selben Problem stehen, nicht weiter wissen und ungerne mit o.g. Workaround hantieren möchten, die Frage:
Salut,
aktuell gibt es nur den Workaround und der ist doch auch unproblematisch?
Das Problem ist wohl bekannt, auch wenn das noch nicht so offiziell kommuniziert wurde, aber der Workaround kommt ja vom Microsoftsupport.
Ich habe die Registryeinträge bei uns über eine GPO-Batch beim User aufgeräumt und gesetzt und mir einen Marker angelegt, so dass die Batch nicht mehrfach ausgeführt wird.
Den Eintrag in HKLM setze ich einmalig über die GPO direkt.
Sollte es eine Lösung für das Problem geben, kann ich das ziemlich einfach wieder aufräumen.
Unser indischer MS-Supporter wartet noch auf interne Rückmeldungen, da aber ebenfalls private Accounts betroffen sind, wird sich MS dessen schon bewusst sein, dass da eine Abhilfe kommen muss.
Grüße
ToWa
Heute Morgen das erste Mal seit verteilen des Workarounds an einem Rechner eine Anmeldeaufforderung für Office erhalten.
Interessant dabei, im Anmeldefenster wurde statt der Mailadresse automatisch eine Session-ID eingetragen.
Testweise habe ich noch mal die Einträge unter Identities gelöscht und eine erneute Benutzeranmeldung initiiert.
Damit war das Problem wieder beseitigt, ohne dass der Mitarbeiter sich anmelden musste.
Der indische MS-Supporter hat das vor einigen Tagen eskaliert, nachdem er mir einen "staged rollout" für " seamless single sign-on" verkaufen wollte. Ließ sich natürlich gar nicht durchführen, da im Tenant bereits SSSO aktiv ist. *kopfschüttel*
Seit des Eskalation ist Ruhe in der Kommunikation eingekehrt.
Grüße
ToWa
Interessant dabei, im Anmeldefenster wurde statt der Mailadresse automatisch eine Session-ID eingetragen.
Testweise habe ich noch mal die Einträge unter Identities gelöscht und eine erneute Benutzeranmeldung initiiert.
Damit war das Problem wieder beseitigt, ohne dass der Mitarbeiter sich anmelden musste.
Der indische MS-Supporter hat das vor einigen Tagen eskaliert, nachdem er mir einen "staged rollout" für " seamless single sign-on" verkaufen wollte. Ließ sich natürlich gar nicht durchführen, da im Tenant bereits SSSO aktiv ist. *kopfschüttel*
Seit des Eskalation ist Ruhe in der Kommunikation eingekehrt.
Grüße
ToWa
Bei uns äußert sich das Problem wie folgt:
Beim Öffnen von Browser Apps mit dem Edge Browser funktioniert SSO ohne Probleme (natürlich mit dem neue Dialog aufgrund der EU-Richtlinie). Lokale Office Apps wie Word etc. scheitern, d. h. es geht der Anmelde Prompt auf und fordert den User auf, Office aktiv zu aktivieren. Dabei wird in den Konto-Optionen in der Office Anwendung hingewiesen, dass Probleme mit dem Konto vorliegen. Auch hier werde ich aufgefordert mich aktiv anzumelden. Zusätzlich ist bei uns die Teams 2.0 App sowie die Anmeldung im Edge Browser zum Synchronisieren betroffen.
Wir haben immer mehr Kunden mit dem Problem. Anfangs hatten wir die Office-Anwendungen im Verdacht, da Single Sign On im Browser stehts funktioniert. Wir haben bei den betroffenen Kunden Entra ID Connect im Einsatz mit aktiviertem Einmaligem Anmelden (SSO). Seit Jahren hat das Robust funktioniert bis vor kurzem, als immer mehr Maschinen ausgestiegen sind. Bei einem Kunden sind 200 Endgeräte betroffen, welche im Shared PC Modus laufen. Hier ist es besonders ärgerlich, da SSO bei jedem Anmeldevorgang aufs neue benötigt wird.
Wir haben bei Microsoft mehrere Tickets eröffnet, zuletzt beim Entra Support. Bisher haben wir von Microsoft keine Hilfe erhalten und hatten angefangen lokal an den Geräten zu suchen, dabei natürlich zuerst die Updates geprüft. Geräte, die seit dem letzten Patchzyklus aus waren, scheinen problemlos zu laufen, weswegen wir ein Service Stack Update aus März im Verdacht haben, was sich nicht mehr deinstallieren lässt und in Windows die Build Version anhebt. Es sind seitens Microsoft aber keine aktuellen Probleme in Verbindung mit SSO benannt. Sehr ärgerlich ist es bei unseren Nicht-Persistenten Umgebunden, wo Office Apps bei jedem Anmeldevorgang im Hintergrund aktiviert werden (bisher).
Beim Öffnen von Browser Apps mit dem Edge Browser funktioniert SSO ohne Probleme (natürlich mit dem neue Dialog aufgrund der EU-Richtlinie). Lokale Office Apps wie Word etc. scheitern, d. h. es geht der Anmelde Prompt auf und fordert den User auf, Office aktiv zu aktivieren. Dabei wird in den Konto-Optionen in der Office Anwendung hingewiesen, dass Probleme mit dem Konto vorliegen. Auch hier werde ich aufgefordert mich aktiv anzumelden. Zusätzlich ist bei uns die Teams 2.0 App sowie die Anmeldung im Edge Browser zum Synchronisieren betroffen.
Wir haben immer mehr Kunden mit dem Problem. Anfangs hatten wir die Office-Anwendungen im Verdacht, da Single Sign On im Browser stehts funktioniert. Wir haben bei den betroffenen Kunden Entra ID Connect im Einsatz mit aktiviertem Einmaligem Anmelden (SSO). Seit Jahren hat das Robust funktioniert bis vor kurzem, als immer mehr Maschinen ausgestiegen sind. Bei einem Kunden sind 200 Endgeräte betroffen, welche im Shared PC Modus laufen. Hier ist es besonders ärgerlich, da SSO bei jedem Anmeldevorgang aufs neue benötigt wird.
Wir haben bei Microsoft mehrere Tickets eröffnet, zuletzt beim Entra Support. Bisher haben wir von Microsoft keine Hilfe erhalten und hatten angefangen lokal an den Geräten zu suchen, dabei natürlich zuerst die Updates geprüft. Geräte, die seit dem letzten Patchzyklus aus waren, scheinen problemlos zu laufen, weswegen wir ein Service Stack Update aus März im Verdacht haben, was sich nicht mehr deinstallieren lässt und in Windows die Build Version anhebt. Es sind seitens Microsoft aber keine aktuellen Probleme in Verbindung mit SSO benannt. Sehr ärgerlich ist es bei unseren Nicht-Persistenten Umgebunden, wo Office Apps bei jedem Anmeldevorgang im Hintergrund aktiviert werden (bisher).
Hm, bin auch gespannt wie eine saubere dauerhafte Lösung aussieht, der angepasste wert in der registry wird ja irgendwo von MS auch als „besser nicht anpassen „ beschrieben…
https://learn.microsoft.com/de-de/microsoft-365/troubleshoot/administrat ...
https://learn.microsoft.com/de-de/microsoft-365/troubleshoot/administrat ...