dertowa
Goto Top

Microsoft Problem SSO (AD - Entra)?

Hallo zusammen,

ich habe seit gestern Nachmittag einen seltsamen/neuen Effekt in unserer Umgebung.
Kurz zum Aufbau:
Userverwaltung erfolgt im lokalen ActiveDirectory und wird per Azure AD Connect (Ver. 2.3.6.0) inkl. Passwörter ins Entra synchronisiert, nach wie vor erfolgt dies fehlerfrei.
Durch die aktive Kennwort-Hashsynchronisierung habe ich Microsoft Entra nahtloses einmaliges Anmelden aktiv, was seit einer gefühlten Ewigkeit wunderbar funktioniert.

Genutzt werden Windows 10 Clients (aktueller Stand) und Office 365 Desktop (Current & SemiAnnual Kanäle).

Nun zeigt sich ohne Änderung an der Konfiguration ein Verhalten, welches die Nutzer zur Anmeldung auffordert.
Vorzugsweise fällt dies in Outlook auf, da dort aktiv danach gefragt wird und nicht einfach nur ein Warndreieck am Benutzersymbol erscheint (was bei Kontofehlern bspw. in Word der Fall ist).

bild1

Die Mitarbeiter müssen sich also aktiv anmelden, spannend dabei ist, dass das nicht direkt nach dem PC Start oder dem Öffnen von Outlook auftritt, sondern mal 1 Stunde oder 2,5 Stunden später.
Ebenfalls interessant, dass es OneDrive scheinbar nicht tangiert.

Was die Clients bislang gemeinsam haben (habe noch nicht alle durch), die neusten Officeversion wurde am Montag installiert.


Nun bin ich ein wenig durch die Logs im Entra gestiegen, auch mit dem Microsoftsupport.
Spannend sind die "Sign-in logs" der Benutzer, denn damit wird klar, das Problem ist neu:
user-active

Denn es gibt keine historischen Daten, 99% der historischen Logins liefen unter "non-interactive".
Da ich noch in der Analyse stecke und auch auf Rückmeldung des Supporters von Microsoft warte, welcher von den PCs einen Auszug des "dsregcmd /status" haben wollte, hier ziemlich allgemein gefragt:

  • noch jemand mit der Konstellation und aktuellen Problemen?
  • jemand das Problem schon mal gehabt und nen genaueren Tipp für mich?

Grüße
ToWa

Content-Key: 42175611343

Url: https://administrator.de/contentid/42175611343

Printed on: July 14, 2024 at 16:07 o'clock

Member: anteNope
anteNope Mar 20, 2024 at 13:19:05 (UTC)
Goto Top
Habe hier genau das gleiche Problem. Bei zig Kunden mit SSO über AD-Sync ist heute Party angesagt.
Zumal, selbst wenn das Kennwort eingegeben wird, funktioniert es nicht. Aber nach zig Versuchen funktioniert es dann plötzlich doch noch. Ganz seltsam das Ganze.

Ab wann darf man Microsoft eigentlich so einen Aufwand in Rechnung stellen?
Member: dertowa
dertowa Mar 20, 2024 at 13:31:00 (UTC)
Goto Top
Zitat von @anteNope:

Zumal, selbst wenn das Kennwort eingegeben wird, funktioniert es nicht. Aber nach zig Versuchen funktioniert es dann plötzlich doch noch. Ganz seltsam das Ganze.

Das ist hier tatsächlich nicht der Fall, es funktioniert immer direkt.
Was bei uns zu Irritation führt, aber ein hausgemachtes Problem ist, dass der Anmeldename ungleich der E-Mailadresse des Nutzers ist.
Da in dem Dialog aber "E-Mail" steht, werden die Benutzer aufs Glatteis geführt.

Zudem habe ich die Geräteregistrierung im Entra nur mit MFA erlaubt, nach der Passworteingabe kommt dann also noch der berühmte Abfragedialog, der mich gestern Nachmittag selbst aus der Bahn warf:
Microsoft MFA erstmal zwangsweise die App?

P.S.: Aber dann bin ich schon mal froh nicht allein zu sein, denn das bestätigt mir, dass es keine Konfigurationsänderung meinerseits war. face-big-smile

Grüße
ToWa
Member: anteNope
anteNope Mar 20, 2024 at 14:21:24 (UTC)
Goto Top
Und nun auch bei Kunden die gar kein SSO haben. Genial! Rockt so richtig!
Member: Delta9
Delta9 Mar 20, 2024 at 15:35:25 (UTC)
Goto Top
Ist es evtl so etwas wie hier?

BornCity



Bei uns ist dies auch schon ohne Ankündigung bei vereinzelten Nutzern aufgetreten. Es muss im Bestätigungsdialog nichts eingetragen werden, die Bestätigung der Meldung reicht.

Trotzdem hat dies aber ausgereicht, dass der Anwender nicht weiter wusste und somit sich Outlook und Teams (Office 365) sich nicht synchronisiert hatten. Das Fenster ist nicht wirklich präsent zu sehen und aufgrund des Synchronisierungsfehlers hatte sich Outlook sogar aufgehangen. Nach der Bestätigung war alles wieder in Ordnung. Klasse.

https://techcommunity.microsoft.com/t5/windows-it-pro-blog/upcoming-chan ...;
Member: anteNope
anteNope Mar 20, 2024 updated at 15:44:30 (UTC)
Goto Top
Genau das Fenster kommt irgendwann mit dem aka.ms/sso-info.
Ist scheinbar ein globales Ding, mittlerweile sind auch die Privatkunden-Logins betroffen.

Haben die das mal irgendwo angekündigt? Ist das einfach nur an mir vorbeigegangen?!
Member: ThePinky777
ThePinky777 Mar 20, 2024 at 16:42:41 (UTC)
Goto Top
Wir haben heute leute nur 2-3 von 400 wo wenn man word oder excel oder so aufmacht die applikation wieder sofort zusammen klappt.
Der witz im offenen Internet klappt dann das öffnen wieder, hinter der Firewall gehts nicht mehr.
Firewall bringt aber keine Blocks oder Allows im Logfile....
Total strange...
Member: dertowa
dertowa Mar 20, 2024 at 17:07:25 (UTC)
Goto Top
Hmm das Fenster kommt bei uns allerdings nicht, ggf. habe ich da mit einer Konfiguration aber bereits vorgesorgt?
Mittlerweile muss man ja "in Microsoft" studiert haben und eine eigene Sekretärin beschäftigen, um die Azure Verknüpfungen und die stetigen Änderungen mitzubekommen. face-big-smile

An den privaten Systemen hatte ich bislang noch keine "Effekte" und auch die an Entra angebundenen Systeme per Intune waren bislang nicht betroffen.
Member: dertowa
dertowa Mar 21, 2024 updated at 09:44:29 (UTC)
Goto Top
Kleines Update.
Heute Morgen bei keinem diesen Effekt gehabt, der bereits gestern eine Loginaufforderung bekam.
Allerdings zwei neue.

Ein Kollege der das gestern Nachmittag hatte und dann in der sche* egal Haltung einfach nach Hause ist.
Heute Morgen war das Problem aber noch existent nach dem Systemstart.
Eine Kollegin, welche gestern Nachmittag nicht mehr gearbeitet hat, bekam heute Morgen die Aufforderung.

Der Microsoft Azure Technical Advisor ist mit mir gerade alle Tenanteinstellungen zur MFA durchgegangen, alles richtig bzw. alles aus. face-big-smile
Er hadert immer noch mit dem Verständnis, dass ich MFA anfrage, sofern ein User ein Gerät im Entra registrieren möchte, denn ich möchte meine lokalen Geräte nicht alle im Entra sehen.

Das hat bisher auch wunderbar geklappt, dadurch, dass sich eben niemand anmelden musste...
Member: dertowa
dertowa Apr 03, 2024 at 11:50:10 (UTC)
Goto Top
Hallo zusammen,
kurzes Update.
Microsoft hat hier übrigens bislang keine Ahnung, kann nur sagen, dass es kein globales Problem ist.

Ich habe allerdings eine Vermutung und ggf. könnt ihr mir dazu etwas sagen?

Vor einiger Zeit hatte ich mal mit Conditional Access begonnen und die Named locations angepasst.
Also den Firmenstandort auf Germany gesetzt und eine Trusted-IP range zum Standort eingetragen.

Zu finden unter: Microsoft Entra ID -> Protection -> Conditional Access -> Names locations

Danach war natürlich wieder irgendwas anderes und das Thema wurde bislang nicht weiter verfolgt.
Bei meiner möglichen Ursachensuche wurde ich dann auf den kleinen Schalter aufmerksam:
1

Der leitet mich zum alten MFA Dialog:
2

Der sollte aber eigentlich gar nicht mehr genutzt werden, da ich bereits auf die neuen MFA Richtlinien migriert habe.
Vielleicht wird er aber darüber dennoch genutzt...?

Grüße
ToWa
Member: dertowa
dertowa Apr 10, 2024 at 10:51:00 (UTC)
Goto Top
Hallo noch mal,
weitere Tests sind durch, im MFA Dialog die lokalen IPs ergänzt und Skip multi-factor aktiviert.

Keine Änderung beim SSO.

Anschließend die Änderung rückgängig gemacht und die Named localions aus EntraID gelöscht.

Keine Änderung beim SSO.

Microsoftsupport ist überfragt und hat keine Idee.
Die SSO Konfiguration wurde kontrolliert und für i.O. befunden.

Bezeichnend ist, dass SSO bei OneDrive immer funktioniert, betroffen sind nur Programme wie Office (Word, Excel,...) für die Lizenz und darüber hinaus bei Outlook auch der Zugriff auf das E-Mailkonto. Hinzu kommt der Microsoft Edge für die Synchronisation.

Das Thema bleibt übrigens auch mit den neusten Patches von gestern offen und betrifft sowohl Windows 10 als auch Windows 11, wobei das OS damit eher weniger zu tun hat.

Jemand noch eine fixe Idee?
Ansonsten bleibt wohl nur eine Zwangseinführung von Conditional Access, in der Hoffnung, dass danach die Ausnahmen für SSO wieder greifen, was ich aber noch skeptisch sehe.

Grüße
ToWa
Member: dertowa
dertowa Apr 12, 2024 at 08:49:08 (UTC)
Goto Top
Weiteres kleines Update, da ich gerade auch bei borncity über eine Info gestolpert bin.
Gestern habe ich weitere Punkte abgearbeitet:
...nichts was uns irgendwie betreffen sollte.
  • Troubleshooting geprüft:
https://learn.microsoft.com/en-us/entra/identity/hybrid/connect/tshoot-c ...
Ein Punkt, den der Support bislang auch nicht geprüft hatte ist das Ticket des AZUREADSSOACC:
ticket
Klappt offensichtlich. face-big-smile

Eine Auffälligkeit gab es noch bei einem EntraID - joined Client.
entra

Der Dialog von Outlook ist/war neu, für diesen User ist tatsächlich MFA aktiviert.
Member: dertowa
Solution dertowa Apr 12, 2024 updated at 10:13:14 (UTC)
Goto Top
Da soeben ein Kommentar bei borncity auf einen Workaround des Microsoftsupport verweist:
1- Sign out from office Apps.
2- Add this reg in registry editor:
HKLM\SOFTWARE\Policies\Microsoft\Windows\WorkplaceJoin: "BlockAADWorkplaceJoin"=dword:00000001  
• [HKEY_CURRENT_USER\Software\Microsoft\Office\16.0\Common\Identity]
"DisableADALatopWAMOverride"=dword:00000001  
• [HKEY_CURRENT_USER\Software\Microsoft\Office\16.0\Common\Identity]
"DisableAADWAM"=dword:00000001  
3- Delete the keys under Identities.
4- Sign in again.
Quelle: Anonymous

Habe ich das gerade an meinem Testsystem mal durchgespielt.

  • Für Office scheint das erstmal ein funktionierender Workaround, auch bei einem neuen Profil klappt dies, wenn die Registryeinträge vor dem ersten Öffnen eines Office-Programms gesetzt werden.

  • Bei Microsoft Edge tut sich da leider nichts, klar die Einträge sind auch unter "Office". Hier ist Benutzername und Kennwort erforderlich, dann kommt der o.g. aka.ms/sso-info - Hinweis und mit Weiter ist der Login abgeschlossen.

  • Das neue Microsoft Teams zweigt den Account beim ersten Öffnen an, möchte dann aber auch noch mal das Kennwort, kommt dann mit der o.g. aka.ms/sso-info - Meldung raus, welche ebenfalls mit Weiter übergangen werden kann.

Mal wieder Anwender schulen, weil nun neue Dialoge erscheinen?
Ist das als Workaround temporär? Ist was zu tun, wenn Microsoft das Thema in einem künftigen Update bereinigt?

Grüße
ToWa

P.S.: Hier die Inhalte der entsprechenden Reg-Dateien zur einmaligen Verteilung.
Für den Client:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WorkplaceJoin]
"BlockAADWorkplaceJoin"=dword:00000001  

Für den Benutzer:
Windows Registry Editor Version 5.00
[-HKEY_CURRENT_USER\SOFTWARE\Microsoft\Office\16.0\Common\Identity\Identities]
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Office\16.0\Common\Identity]
"DisableADALatopWAMOverride"=dword:00000001  
"DisableAADWAM"=dword:00000001  

Ich markiere das erstmal als Lösung, auch wenn es sich nur um einen Workaround handelt.
Member: dertowa
dertowa Apr 15, 2024 at 21:35:23 (UTC)
Goto Top
Morgen mal das neue (optionale) Windows 10 Update testen:
https://blogs.windows.com/windows-insider/2024/04/15/releasing-windows-1 ...

Da stehen zwei komische Punkte drin:
This update includes the following features and improvements:

  • New! This update starts the rolls out of account-related notifications for Microsoft accounts in Settings > Home. A Microsoft account connects Windows to your Microsoft apps. The account also backs up all your data and helps you to manage your subscriptions. You can also add extra security steps to keep you from being locked out of your account. This feature displays notifications across the Start menu and Settings. You can manage your Settings notifications in Settings > Privacy & security > General.

  • This update addresses an issue that affects app licensing. Because of this, Copilot in Windows (in preview) does not work as you expect.

Kann es denn sein, dass der Copilot Teil des Problems ist...
ToWa
Member: NordicWorker
NordicWorker Apr 17, 2024 at 12:54:04 (UTC)
Goto Top
Hallo in die Runde!

da wir in unserer Umgebung gerade vor dem selben Problem stehen, nicht weiter wissen und ungerne mit o.g. Workaround hantieren möchten, die Frage: Gibt es seitens Microsoft dazu eine Lösung oder eine Info, dass daran gearbeitet wird? Wir haben hier leider keinen vernünftigen Support.

Vielen Dank im voraus!
Member: dertowa
dertowa Apr 17, 2024 at 13:49:36 (UTC)
Goto Top
Zitat von @NordicWorker:
da wir in unserer Umgebung gerade vor dem selben Problem stehen, nicht weiter wissen und ungerne mit o.g. Workaround hantieren möchten, die Frage:

Salut,
aktuell gibt es nur den Workaround und der ist doch auch unproblematisch?
Das Problem ist wohl bekannt, auch wenn das noch nicht so offiziell kommuniziert wurde, aber der Workaround kommt ja vom Microsoftsupport.

Ich habe die Registryeinträge bei uns über eine GPO-Batch beim User aufgeräumt und gesetzt und mir einen Marker angelegt, so dass die Batch nicht mehrfach ausgeführt wird.
Den Eintrag in HKLM setze ich einmalig über die GPO direkt.

Sollte es eine Lösung für das Problem geben, kann ich das ziemlich einfach wieder aufräumen.

Unser indischer MS-Supporter wartet noch auf interne Rückmeldungen, da aber ebenfalls private Accounts betroffen sind, wird sich MS dessen schon bewusst sein, dass da eine Abhilfe kommen muss.

Grüße
ToWa
Member: dertowa
dertowa Apr 23, 2024 at 07:10:40 (UTC)
Goto Top
Heute Morgen das erste Mal seit verteilen des Workarounds an einem Rechner eine Anmeldeaufforderung für Office erhalten.
Interessant dabei, im Anmeldefenster wurde statt der Mailadresse automatisch eine Session-ID eingetragen.

Testweise habe ich noch mal die Einträge unter Identities gelöscht und eine erneute Benutzeranmeldung initiiert.
Damit war das Problem wieder beseitigt, ohne dass der Mitarbeiter sich anmelden musste.

Der indische MS-Supporter hat das vor einigen Tagen eskaliert, nachdem er mir einen "staged rollout" für " seamless single sign-on" verkaufen wollte. Ließ sich natürlich gar nicht durchführen, da im Tenant bereits SSSO aktiv ist. *kopfschüttel*

Seit des Eskalation ist Ruhe in der Kommunikation eingekehrt.

Grüße
ToWa
Member: MasterPhil
MasterPhil Apr 25, 2024 updated at 13:23:58 (UTC)
Goto Top
Bei uns äußert sich das Problem wie folgt:

Beim Öffnen von Browser Apps mit dem Edge Browser funktioniert SSO ohne Probleme (natürlich mit dem neue Dialog aufgrund der EU-Richtlinie). Lokale Office Apps wie Word etc. scheitern, d. h. es geht der Anmelde Prompt auf und fordert den User auf, Office aktiv zu aktivieren. Dabei wird in den Konto-Optionen in der Office Anwendung hingewiesen, dass Probleme mit dem Konto vorliegen. Auch hier werde ich aufgefordert mich aktiv anzumelden. Zusätzlich ist bei uns die Teams 2.0 App sowie die Anmeldung im Edge Browser zum Synchronisieren betroffen.

Wir haben immer mehr Kunden mit dem Problem. Anfangs hatten wir die Office-Anwendungen im Verdacht, da Single Sign On im Browser stehts funktioniert. Wir haben bei den betroffenen Kunden Entra ID Connect im Einsatz mit aktiviertem Einmaligem Anmelden (SSO). Seit Jahren hat das Robust funktioniert bis vor kurzem, als immer mehr Maschinen ausgestiegen sind. Bei einem Kunden sind 200 Endgeräte betroffen, welche im Shared PC Modus laufen. Hier ist es besonders ärgerlich, da SSO bei jedem Anmeldevorgang aufs neue benötigt wird.

Wir haben bei Microsoft mehrere Tickets eröffnet, zuletzt beim Entra Support. Bisher haben wir von Microsoft keine Hilfe erhalten und hatten angefangen lokal an den Geräten zu suchen, dabei natürlich zuerst die Updates geprüft. Geräte, die seit dem letzten Patchzyklus aus waren, scheinen problemlos zu laufen, weswegen wir ein Service Stack Update aus März im Verdacht haben, was sich nicht mehr deinstallieren lässt und in Windows die Build Version anhebt. Es sind seitens Microsoft aber keine aktuellen Probleme in Verbindung mit SSO benannt. Sehr ärgerlich ist es bei unseren Nicht-Persistenten Umgebunden, wo Office Apps bei jedem Anmeldevorgang im Hintergrund aktiviert werden (bisher).
Member: Habbor
Habbor Apr 25, 2024 at 17:02:13 (UTC)
Goto Top
Hm, bin auch gespannt wie eine saubere dauerhafte Lösung aussieht, der angepasste wert in der registry wird ja irgendwo von MS auch als „besser nicht anpassen „ beschrieben…


https://learn.microsoft.com/de-de/microsoft-365/troubleshoot/administrat ...
Member: NordicWorker
NordicWorker Apr 29, 2024 at 11:38:06 (UTC)
Goto Top
Moin!

Zitat von @Habbor:

Hm, bin auch gespannt wie eine saubere dauerhafte Lösung aussieht, der angepasste wert in der registry wird ja irgendwo von MS auch als „besser nicht anpassen „ beschrieben…


https://learn.microsoft.com/de-de/microsoft-365/troubleshoot/administrat ...

Das sehe ich auch so und hoffe auf ein schnelles Windows oder Office Update.

Wir haben hier ca. 300 Instant Clones VMs mit Office 365 und Shared Computer Licensing.
Der Workaround funktioniert zwar, aber es wird davon abgeraten.
Sollten wir gezwungen werden das Golden Image zu aktualiseren, stehen wir mit den 300 vPCs vor dem gleichen Problem. Leider.. Ich bin also für jede Lösung hier im Forum sehr dankbar.
Member: dertowa
dertowa Apr 29, 2024 updated at 11:51:45 (UTC)
Goto Top
Hallo zusammen,
kleines Update. Nachdem ich nun seit 24.04.2024 mit meinem neuen indischen Freund kämpfe eine Dateiübertragung hinzubekommen, kann ich heute endlich berichten. face-big-smile
Kurz in Stichpunkten wie das bei Microsoft läuft:
  • Anleitung zum Skript per Mail, dass das Skript zum Download im Ticket hinterlegt ist.
  • Erstmal geklärt unter welchen Voraussetzungen dies auszuführen ist...
  • Antwort, am besten frisches Userprofil ohne Workaround Registryeinträge
  • Ticket im Adminportal gar nicht einsehbar (kein offenes Ticket)
  • Microsoft verweist auf portal.azure.com und dort auf die Tickets <-- dort steht es, allerdings ohne Anhänge face-big-smile
  • Microsoft schickt mir einen Link zum Dateiaustausch <-- dort kann ich aber nur hochladen und keine Dateien sehen face-big-smile
  • Letztendlich hat er mir das Skript per E-Mail über seine persönliche Microsoft-Adresse und nicht über das Ticketsystem geschickt

Nun aber zum eigentlichen Thema.
Das Skript nennt sich SeamlessSSO-DataCollectorV1.ps1 und sammelt diverse Daten (angegebene Version im Skript ist V1.2).
screenshot 2024-04-29 134247

Unverständnis gab es bei mir dann hinsichtlich der Anleitung, im Microsoft Edge oder Google Chrome sollte man noch das Logging aktivieren (edge://net-export) und beilegen, damit sollte man dann https://portal.office.com besuchen.
Die Website brauchte dann die Mailadresse, aber kein Passwort, semi-seamless single sign-on.

Das spiegelte aber nicht meine Probleme wieder, daher habe ich direkt ein zweites Tracing angefertigt mit den problematischen Logins über:
  • Account/Profillogin Microsoft Edge
  • Login Microsoft Office (Word Desktop)
  • Login Microsoft Teams

Nun heißt es wieder abwarten, denn in Indien ist nun natürlich schon wieder Feierabend. face-big-smile

Grüße
ToWa
Member: dertowa
dertowa May 03, 2024 at 16:56:20 (UTC)
Goto Top
Antwort des Supporters von heute.
Das Backendteam konnte keine Probleme in den Logos erkennen.
Man hat das nun noch mal eskaliert.

Ich vermute das zieht sich so nun bis zum nächsten Patchday auf wundersame Art und Weise die Probleme verschwinden. face-smile

Grüße
ToWa
Member: MasterPhil
MasterPhil May 03, 2024 at 17:14:52 (UTC)
Goto Top
Zitat von @MasterPhil:

Bei uns äußert sich das Problem wie folgt:

Beim Öffnen von Browser Apps mit dem Edge Browser funktioniert SSO ohne Probleme (natürlich mit dem neue Dialog aufgrund der EU-Richtlinie). Lokale Office Apps wie Word etc. scheitern, d. h. es geht der Anmelde Prompt auf und fordert den User auf, Office aktiv zu aktivieren. Dabei wird in den Konto-Optionen in der Office Anwendung hingewiesen, dass Probleme mit dem Konto vorliegen. Auch hier werde ich aufgefordert mich aktiv anzumelden. Zusätzlich ist bei uns die Teams 2.0 App sowie die Anmeldung im Edge Browser zum Synchronisieren betroffen.


Äußert sich das Problem bei dir so wie von mir beschrieben? Generell suche ich auch recht viel in Reddit oder MS Technet-Foren, aber wir scheinen hier ziemlich wenige zu sein, die solche Probleme melden. Bei uns fällt es auch nur bei den Geräten auf, die nicht persistent sind, wie Shared PCs oder Nicht-Persistente VDI Umgebungen.
Member: anteNope
anteNope May 03, 2024 at 18:19:20 (UTC)
Goto Top
Bei mir tritt es in allen Umgebungen auf:
  • PCs ohne AD mit privat Konten
  • PCs ohne AD mit Business-Konten
  • PCs mit AD ohne SSO mit Business-Konten
  • PCs mit AD mit SSO mit Business-Konten

Mit MFA, ohne MFA ..., bunt gemischt durch die Bank. Ich kann kein Schema erkennen.
Member: dertowa
dertowa May 06, 2024 at 10:36:17 (UTC)
Goto Top
Zitat von @dertowa:

Ich markiere das erstmal als Lösung, auch wenn es sich nur um einen Workaround handelt.

Kurze Info zum Workaround, dieser funktioniert nicht 100%ig.
Seit Veröffentlichung des Workarounds ist nun bei zwei Accounts bei Outlook ein Anmeldefenster aufgeploppt:
screenshot 2024-05-06 085938

Lustig, darin steht nur die Session-ID, mit dem Klick auf Weiter kann das System damit natürlich nichts anfangen.
ALs dies zum ersten Mal auftrat half es auch nicht den Anmeldenamen einzutragen, ich musste in der Registry die Identities noch mal löschen.
Danach was SSO wieder möglich.

Beim heutigen Auftreten war es ausreichend die SID durch den Anmeldenamen zu ersetzen, danach ging es ohne Passwort weiter.

Grüße
ToWa
Member: fenkor24
fenkor24 May 07, 2024 at 13:53:18 (UTC)
Goto Top
Hi, wir stehen mit Microsoft in Kontakt und haben vier Lösungsschritte (dsregcmd -leave / identity reg-key deletion / ADD BrokerPlugin Reset / TokenBroker Service stop, delete, start) durchgespielt auf unsere Hybrid joined AD. Die tokenbroker Lösung brachte bisher eine stabile Lösung.

Stop the tokenbroker service from an admin powershell:

Set-Service TokenBroker -StartupType Disabled

Stop-Service TokenBroker -Force -PassThru

· Delete the account files in the following folder:

%localappdata%\Packages\Microsoft.AAD.BrokerPlugin_cw5n1h2txyewy\AC\TokenBroker\Accounts

· Take backup copy of the following file and then delete it:

%localappdata%\Packages\Microsoft.AAD.BrokerPlugin_cw5n1h2txyewy\Settings\settings.dat

· Rename (or delete) this registry key:

Computer\HKEY_CURRENT_USER\Software\Microsoft\IdentityCRL\TokenBroker\DefaultAccount ---> Computer\HKEY_CURRENT_USER\Software\Microsoft\IdentityCRL\TokenBroker\DefaultAccount_backup

· Restart the tokenbroker service (from admin cmd)

Set-Service TokenBroker -StartupType Manual

Start-Service TokenBroker -PassThru
Member: dertowa
dertowa May 07, 2024 at 18:02:15 (UTC)
Goto Top
Zitat von @fenkor24:

Hi, wir stehen mit Microsoft in Kontakt und haben vier Lösungsschritte durchgespielt auf unsere Hybrid joined AD.
Mit dem kleinen, aber feinen Unterschied, dass bei uns nix hybrid-joined ist.
Die Geräte sind im lokalen AD und die Cloud kennt diese nicht.

Grüße
ToWa
Member: MasterPhil
MasterPhil May 08, 2024 at 07:22:55 (UTC)
Goto Top
Bei uns betrifft es Geräte, die via Intune als Shared PC konfiguriert sind. Wir haben daher keine persistenten Profile.

Die HKCU Pfade in der Registry sowie localappdata werden bei uns immer frisch angelegt.

Leider haben wir noch keine offizielle Info von Microsoft trotz mehrerer Tickets. Der indische Support sendet uns Links und fragt Dinge die völlig zusammenhanglos sind.
Member: dertowa
dertowa May 10, 2024 at 06:46:44 (UTC)
Goto Top
Guten Morgen am Brückentag,
der indische Support hat heute Morgen seine Pflicht erfüllt und einfach noch mal ne Mail rausgehauen.
Ich sollte:
Wer dies hier aufmerksam verfolgt hat, weiß dass dies bereits getan wurde und sogar per Fernwartung mit dem Inder kontrolliert wurde.

Naja nun ist das noch mal per Screenshot festgehalten.

Dann kam aber noch mal etwas Neues:

Nicht mehr und nicht weniger.
Ich habe es also mal nach Gefühl ausgeführt, da mir keine Details vorlagen und es einen Option gab um Anmeldeprobleme zu beheben. Geholfen hat es nicht, wie zu erwarten war. Ggf. habe ich es aber falsch benutzt.

Grüße
ToWa
Member: NordicWorker
NordicWorker May 13, 2024 at 08:54:05 (UTC)
Goto Top
Danke für die Infos!

Auch hier gibt es ein paar Neuigkeiten zum Thema:
https://www.borncity.com/blog/2024/05/13/azure-entra-id-microsoft-bestti ...

Mal sehen wie lange das noch dauern soll.
Member: dertowa
dertowa May 13, 2024 at 22:09:25 (UTC)
Goto Top
Zitat von @NordicWorker:

Auch hier gibt es ein paar Neuigkeiten zum Thema:
https://www.borncity.com/blog/2024/05/13/azure-entra-id-microsoft-bestti ...

Wobei das dort genannte es in meinen Augen gar nicht so trifft. Also zumindest ist unser Problem anders.
Es mag auf ähnliche Ursache zurückzuführen sein, aber hier wird niemand vom SSO abgemeldet.
Es erfolgen "einfach" unnötige Abmeldeaufforderungen.

Grüße
ToWa
Member: NordicWorker
NordicWorker May 22, 2024 at 13:48:37 (UTC)
Goto Top
Mahlzeit!

Die neuesten Windows und Office Updates beheben scheinbar das Problem bei uns.
Sind noch in der Testphase, aber sieht bisher ganz gut aus.
Member: dertowa
dertowa May 23, 2024 at 08:11:34 (UTC)
Goto Top
Zitat von @NordicWorker:

Die neuesten Windows und Office Updates beheben scheinbar das Problem bei uns.

Das steht für mich morgen noch auf dem Plan.
Da gestern die Rückmeldung vom indischen Support kam, dass in den Logos nach wie vor keine Auffälligkeiten zu finden sind und das noch mal eskaliert wurde.

Mal sehen was der Freitag bringt.
Grüße
ToWa
Member: dertowa
dertowa May 24, 2024 at 07:46:07 (UTC)
Goto Top
Zitat von @NordicWorker:

Die neuesten Windows und Office Updates beheben scheinbar das Problem bei uns.

Saut,

gerade am Testsystem probiert, leider Fehlanzeige. face-sad
  • Windows 10 (22H2)
  • Office 365 v16.0.16731.20674
  • keine Registrykeys des Workarounds
  • neues Benutzerprofil

Effekte bleiben:
  • Office erkennt den Benutzer nicht und fragt nach der Anmeldung (gibt auch keinen Benutzer vor).
  • Edge meldet den Benutzer ebenfalls nicht an und gibt auch keinen Benutzer vor.
  • Teams (New) zeigt zwar den angemeldeten Benutzer, fragt mich dann aber nach dem Kennwort.
  • OneDrive funktioniert wie eh und je automatisch.

Grüße
ToWa
logon1
logon2
logon
Member: newit1
newit1 May 24, 2024 at 07:49:27 (UTC)
Goto Top
@dertowa

Kann ich bestätigen.
Die installierten Updates lösen nicht das Problem.
Member: dertowa
dertowa May 24, 2024 at 09:41:23 (UTC)
Goto Top
Wie ich gerade vom indischen MS-Support höre, müssen wir am Montag erneut das Problem aufnehmen und Logs erfassen, damit das Problem eskaliert werden kann.
Grund, die erfassten Logs haben nur eine Gültigkeit von 15 bis 30 Tagen. face-big-smile

Die haben doch nen Sockenschuss.

Grüße
ToWa
Member: dertowa
dertowa May 27, 2024 at 12:41:12 (UTC)
Goto Top
Weiter geht es...
Das Meeting heute war kurz und nicht sonderlich erfüllend.
Der indische MS-Support wollte den Netzwerktraffic mit Fiddler geloggt haben.
Das hat so semi gut funktioniert, da nach Aktivierung des HTTPS Trafficdebugging gar kein Login in den Programmen mehr möglich war.
Error 404 für den Verweis der Anmeldeprompts auf login.microsoftonline.com.
Wird irgendwas mit dem Zertifikat zu tun haben, was das Programm ins System integriert, was aber wieder Adminrechte benötigt, ist letztlich aber nicht meine Baustelle. face-big-smile

Grüße
ToWa
Member: dertowa
dertowa Jun 11, 2024 at 17:04:21 (UTC)
Goto Top
Hier noch mal ein kurzes Update.
Also Microsoft will ein Trafficlog mit Fiddler, leider bekommen auch die Supportmitarbeiter das Tool nicht ans Rennen.
Sobald der HTTPS Traffic mit dem Fiddler-Zertifikat aufgebrochen werden soll, landet jede Microsoftanmeldeseite im Error 404 (was ich erstmal nicht schlecht finde).

Wir fahren nach wie vor mit dem Workaround, was bezogen auf die Office-Applikationen bislang ohne erkennbare Seiteneffekte läuft. Dass Teams und Edge vom Workaround nichts verstehen ist eben etwas blöd.

Gibt es eigentlich eine Alternative zum sSSO?
Ich hatte mal irgendetwas gelesen, dass das Azure AD Connect Tool auch wieder auf der Abschussliste steht, da es Microsoft ein Dorn im Auge ist, dass das onPrem läuft?

Grüße
ToWa
Member: anteNope
anteNope Jun 11, 2024 updated at 18:27:47 (UTC)
Goto Top
Mich würde auch interessieren was denn jetzt hier Phase mit SSO ist!
In zwei Wochen wollte ich eigentlich eine neue Domäne hochziehen und für die Benutzbarkeit der Leute SSO einrichten. Muss man jetzt zu den bekannten alt bekannten GPO-Einträgen (siehe https://learn.microsoft.com/de-de/entra/identity/hybrid/connect/how-to-c ..) jetzt noch neue hinzufügen oder was ist hier jetzt der Status Quo?

Der aktuelle Zustand ist echt nicht hinnehmbar! Bei größeren Installationen sprießt nun die Schatten-IT (ich weiß wie das geht Mentalität) aus allen Fugen.
Member: dertowa
dertowa Jun 24, 2024 at 18:41:25 (UTC)
Goto Top
Noch mal ein kurzes Update, neuer Sachbearbeiter neues Glück. face-smile
Heute mal Logs mit Wireshark gezogen, aber die fischen im Trüben, mit Fiddler sollte ich den Loginprozess loggen weswegen das Problem mit dem Aufbrechen des HTTPS Traffic zu Tage kam.

Mit Wireshark haben wir heute wieder vorn angekommen und waren uns einig, dass sSSO ja bereits gescheitert ist da er nach Logindaten fragt.

Aber gefühlt dreht sich alles im Kreis.
Ein wenig zermürbend.

Grüße
ToWa
Member: dertowa
dertowa Jul 04, 2024 updated at 15:08:16 (UTC)
Goto Top
Microsoft macht mich auf einen Artikel aus 10/2023 aufmerksam und fragt ob das Modul installiert sei.
MSA WAM Plugin

Ich habe dem neuen MS Mitarbeiter zu Liebe mal den Powershellbefehl auf dem Testsystem laufen lassen:
1000003139

Schlau werde ich daraus zurzeit aber noch nicht.

Grüße
ToWa
Member: anteNope
anteNope Jul 04, 2024 updated at 18:08:16 (UTC)
Goto Top
Ich habe die Tage eine neue Domäne mit AzureAD-Connect fertig gemacht und die Anleitung bezüglich SSO befolgt. Morgen geht das System live und ich werde berichten ob das so wie "zuvor" funktioniert, oder ob das einfach schlicht kaputt ist ...
Member: NordicWorker
NordicWorker Jul 05, 2024 at 13:10:36 (UTC)
Goto Top
Hallo nochmal!

Ich frage hier mal in die Runde, da bei uns seit April auch kein SSO mehr funktioniert.
Wir reden doch hier alle von dieser Änderung der EU -Richtlinie richtig?
Ich denke, Microsoft wird sich da nicht so schnell bewegen und was ändern.
Oder gibt es da noch ein anderes Problem?
Was ich außerdem nicht verstehe, warum nicht alle Clouddienste betroffen sind z.B. der Onedrive Client funktioniert.

Viele Grüße!
Member: dertowa
dertowa Jul 06, 2024 at 22:27:01 (UTC)
Goto Top
Zitat von @NordicWorker:

Wir reden doch hier alle von dieser Änderung der EU -Richtlinie richtig?

Tun wir das?
Wir vermuten dies, aber es wäre doch ein Leichtes über den Support bei Anfragen vermitteln zu lassen, dass es eine gesetzliche Änderung gibt.

Sollte es daran liegen, finde ich es ziemlich bedenklich die geschäftlichen Prozesse in dieser Form zu bevormunden.

Grüße
ToWa
Member: anteNope
anteNope Jul 07, 2024, updated at Jul 09, 2024 at 05:35:56 (UTC)
Goto Top
Zitat von @NordicWorker:
Ich frage hier mal in die Runde, da bei uns seit April auch kein SSO mehr funktioniert.
Wir reden doch hier alle von dieser Änderung der EU -Richtlinie richtig?

In einer frischen Umgebung mit Domäne und EntraID inkl. Sync passiert folgendes wenn man die SSO-Anleitung von Microsoft befolgt hat:

  • Benutzer meldet sich am PC erstmalig mit seinem Benutzer an
  • Kein Programm wird automatisch angemeldet
  • Öffnet man EDGE, wird man gefragt ob man sich anmelden möchte (sollte nicht kommen!)
  • Es wird nach der Mail-Adresse gefragt (wird nicht vorgeschlagen)
  • clipboard01_sso
  • Es kommt dann die tolle Info bezüglich SSO
  • clipboard04_sso-info
  • Dann wird auch Word eingerichtet und bei Outlook die Mail-Adresse vorgeschlagen

Falls man "nur in dieser App anmelden" anklickt, bleiben die anderen Programme außen vor:
clipboard02_word

Also in kurz, die tolle neue "Infoseite" bezüglich SSO, verhindert die automatische SSO-Anmeldung. Scheinbar muss man die erstmal quittieren. Es ist nun quasi eine manuelle SSO-Anmeldung, wie man es auch kennt wenn man KEINE AD mit aktiviertem Sync und SSO hat ...

Klasse Sache das ... ich wüsste jetzt nicht wie ich für die Benutzer die Infoseite "vorab" akzeptieren kann.
Member: NordicWorker
NordicWorker Jul 08, 2024 at 07:37:35 (UTC)
Goto Top
ich wüsste jetzt nicht wie ich für die Benutzer die Infoseite "vorab" akzeptieren kann

Genau das ist die Änderung durch die Richtlinie. Im Moment kann ich das nicht verhindern.
Der Benutzer soll zum SSO zustimmen. Er (oder sie) soll in der Lage sein, sich mit einem anderen Konto anzumelden.
Member: dertowa
dertowa Jul 08, 2024 at 09:29:54 (UTC)
Goto Top
Zitat von @NordicWorker:

Der Benutzer soll zum SSO zustimmen. Er (oder sie) soll in der Lage sein, sich mit einem anderen Konto anzumelden.

Was vollkommener Blödsinn ist, da das Unternehmen die Accountnutzung vorgeben soll und ggf. auch private Logins gesperrt hat.

Da es mal wieder nur die EU trifft hat der Support auch keinen Schimmer und sieht kein globales Problem.
Also, wo kann ich nun der EU eine Rechnung zukommen lassen?

Grüße
ToWa
Member: NordicWorker
NordicWorker Jul 08, 2024 at 13:02:58 (UTC)
Goto Top
Zitat von @dertowa:
Was vollkommener Blödsinn ist, da das Unternehmen die Accountnutzung vorgeben soll und ggf. auch private Logins gesperrt hat.

Und auch die Option, ob die Anmeldung automatisch stattfinden soll gibt es ja per GPO.
Das Unternehmen konnte ja tatsächlich entscheiden, wie es funktionieren soll.
Nicht schlecht..
Member: Delta9
Delta9 Jul 08, 2024 at 14:41:19 (UTC)
Goto Top
Nei, nach EU Recht muss der Benutzer das entscheiden. Es sind nach DSGVO ja seine Daten die bei SSO direkt übertragen werden vor allem da ja alles mögliche nach einem SSO übertragen wird.


Wäre ja noch schöner wenn der Admin per GPO die Zustimmung für den Benutzer geben kann.

Ich finde das auch blöd, aber so interpretiert MS die Vorgaben der EU.
Member: anteNope
anteNope Jul 09, 2024 updated at 05:42:09 (UTC)
Goto Top
Hier noch ein Nachtrag. Gestern den RDS auf Basis von Server 2022 STD in Betrieb genommen und die Benutzer eingerichtet / angemeldet. Auf dieser und nur dieser Maschine funktioniert SSO. THE FUCK? Aber, wenn ein Nutzer es wagt sein Passwort zu ändern, müssen die Programme trotzdem wieder neu angemeldet werden.

Der absolute Flickenteppich ...

Also, wo kann ich nun der EU eine Rechnung zukommen lassen?
Das wüsste ich auch gerne! Prüfe gerade die Möglichkeit die Lizenzgebühren von MS zu kürzen ... echt lächerlich die ganze Aktion ...