Копия не прошла проверку на подлинность windows 7 что делать

Ка

Проверка подлинности 802.1X не выполняется после подключения компьютера к сети в Windows 7 SP1 или Windows Server 2008 R2 SP1

Признаки

Предположим, вы подключаете компьютер под управлением Windows 7 с пакетом обновления 1 (SP1) или Windows Server 2008 R2 SP1 к сети, которая использует проверку подлинности IEEE 802.1X. Кроме того, предположим, что вы устанавливаете соединение с помощью устройства, поддерживающего протокол аутентификации 802.1X (например, коммутатора с поддержкой 802.1X).При запуске компьютера проверка подлинности 802.1X периодически завершается ошибкой.

Примечание. Чтобы проверить, не прошла ли аутентификация, выполните команду netsh lan show interface.

Причина

Эта проблема возникает из-за того, что процесс чтения запускается до инициализации сетевого адаптера.

Разрешение

Это исправление также доступно в каталоге Центра обновления Майкрософт.

Информация об исправлении

Поддерживаемое исправление доступно от Microsoft. Однако это исправление предназначено только для устранения проблемы, описанной в этой статье. Примените это исправление только к системам, в которых возникла проблема, описанная в этой статье. Это исправление может пройти дополнительное тестирование. Таким образом, если вы не сильно подвержены этой проблеме, мы рекомендуем дождаться следующего обновления программного обеспечения, содержащего это исправление.

Если исправление доступно для загрузки, в верхней части этой статьи базы знаний есть раздел «Исправление доступно для загрузки». Если этот раздел не отображается, обратитесь в службу поддержки клиентов Microsoft для получения исправления.

Примечание. При возникновении дополнительных проблем или при необходимости устранения неполадок может потребоваться создать отдельный запрос на обслуживание. Затраты на обычную поддержку будут применяться к дополнительным вопросам поддержки и проблемам, которые не соответствуют требованиям для этого конкретного исправления.Чтобы получить полный список телефонов службы поддержки и обслуживания клиентов Microsoft или создать отдельный запрос на обслуживание, посетите следующий веб-сайт Microsoft:

http://support.microsoft.com/contactus/?ws=support Примечание В форме «Исправление доступно для загрузки» отображаются языки, для которых доступно исправление. Если вы не видите свой язык, это значит, что исправление для этого языка недоступно.

Предварительные требования

Для установки этого исправления необходимо наличие Windows 7 с пакетом обновления 1 (SP1) или Windows Server 2008 R2 с пакетом обновления 1 (SP1).Для получения дополнительных сведений о том, как получить пакет обновления для Windows 7 или Windows Server 2008 R2, щелкните следующий номер статьи, чтобы просмотреть статью в базе знаний Microsoft:

976932 Информация о пакете обновления 1 для Windows 7 и Windows Server 2008 R2

Информация реестра

Для установки этого исправления нет необходимости вносить изменения в реестр.

Требование перезапуска

После установки этого исправления необходимо перезагрузить компьютер.

Информация о замене исправления

Это исправление не заменяет ранее выпущенное исправление.

Информация о файле

Глобальная версия этого исправления устанавливает файлы, атрибуты которых указаны в следующих таблицах.Дата и время для этих файлов указаны в формате всемирного координированного времени (UTC). Дата и время для этих файлов на вашем локальном компьютере отображаются в вашем местном времени вместе с вашим текущим смещением на летнее время (DST). Кроме того, даты и время могут измениться при выполнении определенных операций с файлами.

Информация о файле Windows 7 и Windows Server 2008 R2 примечания

Важные исправления для Windows 7 и Windows Server 2008 R2 включены в одни и те же пакеты.Однако исправления на странице запроса исправления перечислены для обеих операционных систем. Чтобы запросить пакет исправлений, который применяется к одной или обеим операционным системам, выберите исправление, указанное в разделе «Windows 7 / Windows Server 2008 R2» на странице. Всегда обращайтесь к разделу «Применимо к» в статьях, чтобы определить фактическую операционную систему, к которой применяется каждое исправление.

• Файлы, относящиеся к конкретному продукту, этапу (RTM, SP n ) и ветви обслуживания (LDR, GDR), можно определить, проверив номера версий файлов, как показано в следующей таблице:

  Версия	Товар	Веха	Сервисное отделение
  6.1,760 0,16ххх	Windows 7 и Windows Server 2008 R2	RTM	ГДР
  6.1,760 1,17xxx	Windows 7 и Windows Server 2008 R2	SP1	ГДР
  6.1,760 1,22ххх	Windows 7 и Windows Server 2008 R2	SP1	LDR

• Сервисные отделения

  GDR содержат только те исправления, которые широко выпускаются для решения широко распространенных критических проблем.В дополнение к широко выпускаемым исправлениям сервисные ветки LDR содержат исправления.

• Файлы МАНИФЕСТА (.manifest) и MUM (.mum), устанавливаемые для каждой среды, указаны отдельно в разделе «Сведения о дополнительных файлах для Windows 7 и Windows Server 2008 R2». MUM и файлы МАНИФЕСТА и связанные файлы каталога безопасности (.cat) критически важны для поддержания состояния обновленного компонента.Файлы каталога безопасности, для которых не указаны атрибуты, подписаны цифровой подписью Microsoft.

Для всех поддерживаемых версий Windows 7 на базе x86

Для всех поддерживаемых 64-разрядных версий Windows 7 и Windows Server 2008 R2

Временное решение

Чтобы обойти эту проблему, перезапустите службу автонастройки проводной сети.

Примечание. Имя службы автонастройки проводной сети - dot3svc.

Статус

Microsoft подтвердила, что это проблема продуктов Microsoft, перечисленных в разделе «Относится к».

Дополнительная информация

Для получения дополнительных сведений о терминологии обновления программного обеспечения щелкните следующий номер статьи в базе знаний Microsoft:

824684 Описание стандартной терминологии, которая используется для описания обновлений программного обеспечения Microsoft

Дополнительные сведения о проводных сетях с 802.1X, перейдите на следующий веб-сайт Microsoft:

Общие сведения о проводной сети с проверкой подлинности 802.1X Дополнительные сведения о проводном доступе с проверкой подлинности 802.1X см. На следующем веб-сайте Microsoft:

Общие сведения о проводном доступе с проверкой подлинности 802.1X Дополнительные сведения о развертывании проводного доступа с проверкой подлинности 802.1X см. На следующем веб-сайте Microsoft:

Общие сведения о 802.Развертывание проводного доступа с аутентификацией 1X

Дополнительная информация о файле

Дополнительная информация о файлах для Windows 7 и Windows Server 2008 R2

Дополнительные файлы для всех поддерживаемых версий Windows 7 для систем на базе x86

Дополнительные файлы для всех поддерживаемых 64-разрядных версий Windows 7 и Windows Server 2008 R2

Ошибка аутентификации с серверов NTLM или Kerberos, отличных от Windows - Windows Server

• 03.12.2020
• 4 минуты на чтение

В этой статье

В этой статье предлагается решение нескольких проблем с ошибкой аутентификации, при которых серверы NTLM и Kerberos не могут аутентифицировать компьютеры под управлением Windows 7 и Windows Server 2008 R2.Это вызвано различиями в способах обработки токенов привязки каналов.

Исходная версия продукта: Windows 7 Service Pack 1, Windows Server 2012 R2
Исходный номер в базе знаний: 976918

Симптомы

Windows 7 и Windows Server 2008 R2 поддерживают расширенную защиту для встроенной проверки подлинности, которая по умолчанию включает поддержку токена привязки канала (CBT).

Вы можете испытать один или несколько из следующих симптомов:

• Клиенты Windows, поддерживающие привязку канала, не проходят проверку подлинности на сервере Kerberos, отличном от Windows.
• Сбой аутентификации NTLM от прокси-серверов.
• сбоев проверки подлинности NTLM с серверов NTLM, отличных от Windows.
• Сбой проверки подлинности NTLM при разнице во времени между клиентом и контроллером домена или сервером рабочей группы.

Причина

Windows 7 и Windows Server 2008 R2 поддерживают расширенную защиту для встроенной проверки подлинности. Эта функция улучшает защиту и обработку учетных данных при проверке подлинности сетевых подключений с использованием встроенной проверки подлинности Windows (IWA).

Включено по умолчанию. Когда клиент пытается подключиться к серверу, запрос проверки подлинности привязан к используемому имени участника-службы (SPN). Также, когда аутентификация происходит внутри канала безопасности транспортного уровня (TLS), она может быть привязана к этому каналу. NTLM и Kerberos предоставляют в своих сообщениях дополнительную информацию для поддержки этой функции.

Кроме того, компьютеры с Windows 7 и Windows 2008 R2 отключают LMv2.

Разрешение

В случае сбоев, когда серверы NTLM или Kerberos, отличные от Windows, выходят из строя при получении CBT, узнайте у поставщика версию, которая правильно обрабатывает CBT.

В случае сбоев, когда серверы NTLM или прокси-серверы, отличные от Windows, требуют LMv2, узнайте у поставщика версию, поддерживающую NTLMv2.

Обходной путь

Важно

Этот раздел, метод или задача содержат шаги, которые говорят вам, как изменить реестр. Однако при неправильном изменении реестра могут возникнуть серьезные проблемы. Поэтому убедитесь, что вы внимательно выполните следующие действия. Для дополнительной защиты создайте резервную копию реестра перед его изменением.Затем вы можете восстановить реестр в случае возникновения проблемы. Дополнительные сведения о резервном копировании и восстановлении реестра см. В разделе Резервное копирование и восстановление реестра в Windows.

Для управления расширенной защитой создайте следующий подраздел реестра:

• Имя ключа: HKEY_LOCAL_MACHINE \ System \ CurrentControlSet \ Control \ LSA
• Имя значения: SuppressExtendedProtection
• Тип: DWORD

Для клиентов Windows, поддерживающих привязку канала, которые не проходят проверку подлинности на серверах Kerberos, отличных от Windows, которые неправильно обрабатывают CBT:

1. Установите для записи реестра значение 0x01.Это настроит Kerberos так, чтобы он не выдавал токены CBT для непропатченных приложений.
2. Если это не решит проблему, установите для параметра реестра значение 0x03. Это настроит Kerberos на то, чтобы никогда не выдавать токены CBT.

Примечание

Существует известная проблема с Sun Java, которая была решена, чтобы приспособить опцию, что акцептор может игнорировать любые привязки каналов, предоставленные инициатором, возвращая успех, даже если инициатор действительно передал привязки каналов в соответствии с RFC 4121.Дополнительные сведения см. В разделе игнорирование привязки входящего канала, если принимающая сторона не устанавливает ее.

Мы рекомендуем вам установить следующее обновление с сайта Sun Java и повторно включить расширенную защиту: Изменения в 1.6.0_19 (6u19).

Для клиентов Windows, поддерживающих привязку каналов, которые не проходят проверку подлинности на серверах NTLM, отличных от Windows, которые не обрабатывают CBT правильно, установите значение записи реестра на 0x01. Это настроит NTLM так, чтобы не выдавать токены CBT для приложений без исправлений.

Для серверов NTLM или прокси-серверов, отличных от Windows, для которых требуется LMv2, установите для записи реестра значение 0x01. Это настроит NTLM для предоставления ответов LMv2.

Для сценария, в котором разница во времени слишком велика:

1. Исправьте часы клиента, чтобы они отражали время на контроллере домена или сервере рабочей группы.
2. Если это не решит проблему, установите для параметра реестра значение 0x01. Это настроит NTLM для предоставления ответов LMv2, которые не подвержены временному сдвигу.

Что такое CBT (токен привязки канала)?

Маркер привязки канала (CBT) является частью расширенной защиты для аутентификации. CBT - это механизм для привязки внешнего безопасного канала TLS к аутентификации внутреннего канала, такой как Kerberos или NTLM.

CBT - это свойство внешнего защищенного канала, используемое для привязки аутентификации к каналу.

Расширенная защита обеспечивается тем, что клиент передает серверу SPN и CBT в защищенном от несанкционированного доступа режиме.Сервер проверяет информацию о расширенной защите в соответствии со своей политикой и отклоняет попытки аутентификации, для которых он не считает себя предполагаемой целью. Таким образом, два канала криптографически связаны вместе.

Расширенная защита теперь поддерживается в Windows XP, Windows Vista, Windows Server 2003 и Windows Server 2008.

Заявление об ограничении ответственности

Статьи по быстрой публикации предоставляют информацию непосредственно из службы поддержки Microsoft.Информация, содержащаяся в данном документе, создана в ответ на возникающие или уникальные темы или предназначена для дополнения другой информации из базы знаний.

Microsoft и / или ее поставщики не делают никаких заявлений и не дают никаких гарантий относительно пригодности, надежности или точности информации, содержащейся в документах и ​​связанных графических изображениях, опубликованных на этом веб-сайте («материалы») для каких-либо целей. Материалы могут содержать технические неточности или опечатки и могут быть изменены в любое время без предварительного уведомления.

В максимальной степени, разрешенной применимым законодательством, Microsoft и / или ее поставщики отказываются от всех заявлений, гарантий и условий, явных, подразумеваемых или установленных законом, включая, помимо прочего, заявления, гарантии или условия права собственности, ненарушение прав, удовлетворительное состояние или качество, товарная пригодность и пригодность для определенной цели в отношении материалов.

Устранение неполадок при проверке подлинности | Документы Microsoft

• 07.08.2020
• 10 минут на чтение

В этой статье

Применимо к: Windows Server (полугодовой канал), Windows Server 2016

В этом разделе содержится информация об устранении неполадок, связанных с проблемами, которые могут возникнуть у пользователей при попытке подключиться к DirectAccess с использованием проверки подлинности OTP.События, связанные с DirectAccerss OTP, регистрируются на клиентском компьютере в средстве просмотра событий в разделе Журналы приложений и служб / Microsoft / Windows / OtpCredentialProvider . Убедитесь, что этот журнал включен, при устранении неполадок с DirectAccess OTP.

Не удалось получить доступ к ЦС, который выдает сертификаты OTP

Сценарий . Пользователь не может пройти аутентификацию с помощью OTP с ошибкой: «Аутентификация не удалась из-за внутренней ошибки»

Получена ошибка (журнал событий клиента).Не удалось подать заявку на сертификат OTP для пользователя на сервере CA , запрос не удалось, возможные причины сбоя: имя сервера CA не может быть разрешено, сервер CA недоступен через первый туннель DirectAccess или невозможно установить соединение с сервером CA.

Причина

Пользователь ввел действительный одноразовый пароль, и сервер DirectAccess подписал запрос сертификата; однако клиентский компьютер не может связаться с центром сертификации, который выдает сертификаты OTP, чтобы завершить процесс регистрации.

Решение

На сервере DirectAccess выполните следующие команды Windows PowerShell:

1. Получите список настроенных центров сертификации, выдающих OTP, и проверьте значение CAServer: Get-DAOtpAuthentication

2. Убедитесь, что центры сертификации настроены как серверы управления: Get-DAMgmtServer -Type All

3. Убедитесь, что на клиентском компьютере установлен туннель инфраструктуры: в брандмауэре Windows в консоли повышенной безопасности разверните Мониторинг / сопоставления безопасности , щелкните Основной режим и убедитесь, что сопоставления безопасности IPsec отображаются с правильным удаленным адреса для вашей конфигурации DirectAccess.

Проблемы с подключением к серверу DirectAccess

Сценарий . Пользователь не может пройти аутентификацию с помощью OTP с ошибкой: «Аутентификация не удалась из-за внутренней ошибки»

Получена ошибка (журнал событий клиента)

Одна из следующих ошибок:

• Невозможно установить соединение с сервером удаленного доступа с использованием базового пути и порта .Код ошибки: .

• Учетные данные пользователя не могут быть отправлены на сервер удаленного доступа с использованием базового пути и порта . Код ошибки: .

• Не был получен ответ от сервера удаленного доступа с использованием базового пути и порта .Код ошибки: .

Причина

Клиентский компьютер не может получить доступ к серверу DirectAccess через Интернет либо из-за проблем с сетью, либо из-за неправильно настроенного сервера IIS на сервере DirectAccess.

Решение

Убедитесь, что Интернет-соединение на клиентском компьютере работает, и убедитесь, что служба DirectAccess работает и доступна через Интернет.

Не удалось зарегистрироваться для сертификата входа в DirectAccess OTP

Сценарий .Пользователь не может пройти аутентификацию с помощью OTP с ошибкой: «Аутентификация не удалась из-за внутренней ошибки»

Получена ошибка (журнал событий клиента). Не удалось подать заявку на сертификат из CA . Запрос не был подписан сертификатом подписи OTP, как ожидалось, или у пользователя нет разрешения на регистрацию.

Причина

Одноразовый пароль, предоставленный пользователем, был правильным, но выдающий центр сертификации (ЦС) отказался выдать сертификат входа в систему OTP.Запрос сертификата может быть неправильно подписан с правильным EKU (политика приложения центра регистрации OTP), или у пользователя нет разрешения «Enroll» в шаблоне DA OTP.

Решение

Убедитесь, что пользователи DirectAccess OTP имеют разрешение на регистрацию для сертификата входа в систему DirectAccess OTP и что правильная «Политика приложения» включена в шаблон подписи центра регистрации DA OTP. Также убедитесь, что сертификат центра регистрации DirectAccess на сервере удаленного доступа действителен.См. 3.2 Планирование шаблона сертификата OTP и 3.3 Планирование сертификата центра регистрации.

Отсутствует или недействителен сертификат учетной записи компьютера

Сценарий . Пользователь не может пройти аутентификацию с помощью OTP с ошибкой: «Аутентификация не удалась из-за внутренней ошибки»

Получена ошибка (журнал событий клиента). OTP-аутентификация не может быть завершена, потому что сертификат компьютера, необходимый для OTP, не может быть найден в хранилище сертификатов локального компьютера.

Причина

Для аутентификации DirectAccess OTP требуется сертификат клиентского компьютера для установления SSL-соединения с сервером DirectAccess; однако сертификат клиентского компьютера не найден или недействителен, например, если срок действия сертификата истек.

Решение

Убедитесь, что сертификат компьютера существует и действителен:

1. На клиентском компьютере в консоли сертификатов MMC для учетной записи локального компьютера откройте Personal / Certificates .

2. Убедитесь, что выдан сертификат, соответствующий имени компьютера, и дважды щелкните сертификат.

3. В диалоговом окне Сертификат на вкладке Путь к сертификату в разделе Статус сертификата убедитесь, что там написано «Этот сертификат в порядке».

Если действительный сертификат не найден, удалите недействительный сертификат (если он существует) и повторно подайте заявку на сертификат компьютера, запустив gpupdate / Force из командной строки с повышенными привилегиями или перезапустив клиентский компьютер.

Отсутствует CA, который выдает сертификаты OTP

Сценарий . Пользователь не может пройти аутентификацию с помощью OTP с ошибкой: «Аутентификация не удалась из-за внутренней ошибки»

Получена ошибка (журнал событий клиента). OTP-аутентификация не может быть завершена, потому что DA-сервер не вернул адрес выдающего CA.

Причина

Либо нет настроенных центров сертификации, которые выдают сертификаты OTP, либо все настроенные центры сертификации, которые выдают сертификаты OTP, не отвечают.

Решение

1. Используйте следующую команду, чтобы получить список центров сертификации, которые выдают сертификаты OTP (имя центра сертификации отображается в CAServer): Get-DAOtpAuthentication .

2. Если не настроены центры сертификации:

   1. Используйте команду Set-DAOtpAuthentication или консоль управления удаленным доступом, чтобы настроить центры сертификации, которые выдают сертификат входа OTP DirectAccess.

   2. Примените новую конфигурацию и заставьте клиентов обновить параметры GPO DirectAccess, запустив команду gpupdate / Force из командной строки с повышенными привилегиями или перезапустив клиентский компьютер.

3. Если настроены центры сертификации, убедитесь, что они подключены к сети и отвечают на запросы на регистрацию.

Неверно настроенный адрес сервера DirectAccess

Сценарий . Пользователь не может пройти аутентификацию с помощью OTP с ошибкой: «Аутентификация не удалась из-за внутренней ошибки»

Получена ошибка (журнал событий клиента). OTP-аутентификация не может завершиться должным образом. Невозможно определить имя или адрес сервера удаленного доступа.Код ошибки: . Параметры DirectAccess должны быть проверены администратором сервера.

Причина

Адрес сервера DirectAccess настроен неправильно.

Решение

Проверьте настроенный адрес сервера DirectAccess с помощью Get-DirectAccess и исправьте адрес, если он настроен неправильно.

Убедитесь, что на клиентском компьютере развернуты последние настройки, запустив команду gpupdate / force из командной строки с повышенными привилегиями или перезапустив клиентский компьютер.

Не удалось создать запрос сертификата входа в систему с помощью OTP

Сценарий . Пользователь не может пройти аутентификацию с помощью OTP с ошибкой: «Аутентификация не удалась из-за внутренней ошибки»

Получена ошибка (журнал событий клиента). Запрос сертификата для аутентификации OTP не может быть инициализирован. Либо закрытый ключ не может быть сгенерирован, либо пользователь не может получить доступ к шаблону сертификата на контроллере домена.

Причина

Есть две возможные причины этой ошибки:

Решение

• Просмотрите настройки разрешений в шаблоне входа OTP и убедитесь, что все пользователи, подготовленные для DirectAccess OTP, имеют разрешение «Чтение».

• Убедитесь, что контроллер домена настроен как сервер управления и что клиентский компьютер может подключиться к контроллеру домена через туннель инфраструктуры. См. 3.2 Планирование шаблона сертификата OTP.

Нет связи с контроллером домена

Сценарий . Пользователь не может пройти аутентификацию с помощью OTP с ошибкой: «Аутентификация не удалась из-за внутренней ошибки»

Получена ошибка (журнал событий клиента).Невозможно установить соединение с контроллером домена для проверки подлинности OTP. Код ошибки: .

Причина

Есть две возможные причины этой ошибки:

Решение

• Убедитесь, что контроллер домена настроен как сервер управления, выполнив следующую команду из командной строки PowerShell: Get-DAMgmtServer -Type All .

• Убедитесь, что клиентский компьютер может подключиться к контроллеру домена через туннель инфраструктуры.

Провайдеру OTP требуется запрос / ответ

Сценарий . Пользователь не может пройти аутентификацию с помощью OTP с ошибкой: «Аутентификация не удалась из-за внутренней ошибки»

Получена ошибка (журнал событий клиента). OTP-аутентификация с сервером удаленного доступа () для пользователя () требовала запроса от пользователя.

Причина

Используемый поставщик OTP требует, чтобы пользователь предоставил дополнительные учетные данные в форме обмена запросами и ответами RADIUS, что не поддерживается Windows Server 2012 DirectAccess OTP.

Решение

Настройте поставщика OTP так, чтобы он не требовал запроса / ответа ни при каких обстоятельствах.

Используется неправильный шаблон входа в систему OTP

Сценарий . Пользователь не может пройти аутентификацию с помощью OTP с ошибкой: «Аутентификация не удалась из-за внутренней ошибки»

Получена ошибка (журнал событий клиента). Шаблон ЦС, из которого пользователь запросил сертификат, не настроен на выдачу сертификатов OTP.

Причина

Шаблон входа в систему OTP DirectAccess был заменен, и клиентский компьютер пытается пройти аутентификацию с использованием более старого шаблона.

Решение

Убедитесь, что на клиентском компьютере используется последняя конфигурация OTP, выполнив одно из следующих действий:

• Принудительно обновите групповую политику, выполнив следующую команду из командной строки с повышенными привилегиями: gpupdate / Force .

• Перезагрузите клиентский компьютер.

Отсутствует сертификат подписи OTP

Сценарий . Пользователь не может пройти аутентификацию с помощью OTP с ошибкой: «Аутентификация не удалась из-за внутренней ошибки»

Получена ошибка (журнал событий клиента).Сертификат для подписи OTP не может быть найден. Запрос на регистрацию сертификата OTP не может быть подписан.

Причина

Сертификат подписи OTP DirectAccess не может быть найден на сервере удаленного доступа; следовательно, запрос сертификата пользователя не может быть подписан сервером удаленного доступа. Либо отсутствует сертификат подписи, либо срок действия сертификата подписи истек, и он не был продлен.

Решение

Выполните эти действия на сервере удаленного доступа.

1. Проверьте настроенное имя шаблона сертификата подписи OTP, запустив командлет PowerShell Get-DAOtpAuthentication и проверьте значение SigningCertificateTemplateName .

2. Используйте оснастку MMC «Сертификаты», чтобы убедиться, что на компьютере существует действительный сертификат, зарегистрированный из этого шаблона.

3. Если такого сертификата не существует, удалите сертификат с истекшим сроком действия (если он существует) и подайте заявку на получение нового сертификата на основе этого шаблона.

Чтобы создать шаблон сертификата для подписи OTP, см. 3.3 Планирование сертификата центра регистрации.

Отсутствует или неверно UPN / DN для пользователя

Сценарий . Пользователь не может пройти аутентификацию с помощью OTP с ошибкой: «Аутентификация не удалась из-за внутренней ошибки»

Получена ошибка (журнал событий клиента)

Одна из следующих ошибок:

• Пользователь не может быть аутентифицирован с помощью OTP. Убедитесь, что имя участника-пользователя определено для имени пользователя в Active Directory.Код ошибки: .

• Пользователь не может быть аутентифицирован с помощью OTP. Убедитесь, что DN определено для имени пользователя в Active Directory. Код ошибки: .

Получена ошибка (журнал событий сервера)

Имя пользователя, указанное для аутентификации OTP, не существует.

Причина

Пользователь не имеет атрибутов основного имени пользователя (UPN) или отличительного имени (DN), правильно установленных в учетной записи пользователя, эти свойства необходимы для правильного функционирования DirectAccess OTP.

Решение

Используйте консоль «Active Directory - пользователи и компьютеры» на контроллере домена, чтобы убедиться, что оба этих атрибута правильно установлены для аутентифицирующего пользователя.

Сертификат OTP не является доверенным для входа в систему

Сценарий . Пользователь не может пройти аутентификацию с помощью OTP с ошибкой: «Аутентификация не удалась из-за внутренней ошибки»

Причина

CA, который выдает сертификаты OTP, отсутствует в хранилище NTAuth предприятия; следовательно, зарегистрированные сертификаты нельзя использовать для входа в систему.Это может произойти в средах с несколькими доменами и несколькими лесами, где междоменное доверие CA не установлено.

Решение

Убедитесь, что сертификат корня иерархии CA, который выдает сертификаты OTP, установлен в корпоративном хранилище сертификатов NTAuth домена, в котором пользователь пытается пройти аутентификацию.

Windows не может проверить учетные данные пользователя

Сценарий . Пользователь не может пройти аутентификацию с помощью OTP с ошибкой: «Аутентификация не удалась из-за внутренней ошибки»

Получена ошибка (клиентский компьютер).Что-то пошло не так, когда Windows проверяла ваши учетные данные. Повторите попытку или обратитесь за помощью к администратору.

Причина

Протокол проверки подлинности Kerberos не работает, если сертификат входа OTP DirectAccess не включает CRL. Сертификат входа в систему DirectAccess OTP не включает CRL, потому что:

• Шаблон входа DirectAccess OTP был настроен с параметром Не включать информацию об отзыве в выданные сертификаты .

• ЦС настроен не публиковать списки отзыва сертификатов.

Решение

1. Чтобы подтвердить причину этой ошибки, в консоли управления удаленным доступом в Шаг 2 Сервер удаленного доступа щелкните Изменить , а затем в мастере установки сервера удаленного доступа щелкните Шаблоны сертификатов OTP . Запишите шаблон сертификата, используемый для регистрации сертификатов, выдаваемых для проверки подлинности OTP.Откройте консоль центра сертификации, на левой панели щелкните Шаблоны сертификатов , дважды щелкните сертификат входа в систему OTP, чтобы просмотреть свойства шаблона сертификата.

   Чтобы решить эту проблему, настройте сертификат для сертификата входа в систему OTP и не устанавливайте флажок Не включать информацию об отзыве в выданные сертификаты на вкладке Сервер диалогового окна свойств шаблона.

2. На сервере CA откройте MMC центра сертификации, щелкните правой кнопкой мыши выдающий CA и выберите Properties .На вкладке Extensions убедитесь, что публикация CRL настроена правильно.

Расширенное устранение неполадок аутентификации 802.1X - Windows Client Management

• 11.11.2020
• 4 минуты на чтение

В этой статье

Обзор

Эта статья содержит общие сведения об устранении неполадок для беспроводных и проводных клиентов 802.1X. При устранении неполадок 802.1X и беспроводной сети важно знать, как работает поток аутентификации, а затем выяснить, где он нарушается.В нем задействовано множество сторонних устройств и программного обеспечения. В большинстве случаев нам необходимо определить причину проблемы, а другой поставщик должен ее исправить. Мы не производим точки доступа или коммутаторы, поэтому это не комплексное решение Microsoft.

Сценарии

Этот метод устранения неполадок применим к любому сценарию, в котором предпринимается попытка беспроводного или проводного подключения с аутентификацией 802.1X, а затем не удается установить его. Рабочий процесс охватывает Windows 7–10 для клиентов и Windows Server 2008 R2– Windows Server 2012 R2 для NPS.

Известные проблемы

Нет

Сбор данных

См. Расширенное устранение неполадок при сборе данных аутентификации 802.1X.

Поиск и устранение неисправностей

Просмотр событий состояния проверки подлинности NPS в журнале событий безопасности Windows - один из наиболее полезных методов устранения неполадок для получения информации о неудачных проверках подлинности.

NPS содержат информацию о попытке подключения, включая имя политики запросов на подключение, которая соответствует попытке подключения, и сетевую политику, которая приняла или отклонила попытку подключения.Если вы не видите событий успеха и сбоя, см. Раздел политики аудита NPS далее в этой статье.

Проверьте журнал событий безопасности Windows на сервере NPS на наличие событий NPS, которые соответствуют отклоненным (идентификатор события 6273) или принятым (идентификатор события 6272) попыткам подключения.

В сообщении о событии прокрутите до самого низа, а затем проверьте поле Код причины и текст, связанный с ним.

Пример: идентификатор события 6273 (Ошибка аудита)

Пример: идентификатор события 6272 (Успешный аудит)

В рабочем журнале WLAN AutoConfig перечисляется информация и события ошибок, основанные на условиях, обнаруженных службой WLAN AutoConfig или сообщенных ей.Операционный журнал содержит информацию о беспроводном сетевом адаптере, свойствах профиля беспроводного подключения, указанной сетевой аутентификации и, в случае проблем с подключением, о причине сбоя. Для доступа к проводной сети аналогичный журнал операций автонастройки проводной сети.

На стороне клиента перейдите в Event Viewer (Local) \ Applications and Services Logs \ Microsoft \ Windows \ WLAN-AutoConfig / Operational для устранения проблем с беспроводной связью. По вопросам доступа к проводной сети обращайтесь к .. \ Wired-AutoConfig / Операционный . См. Следующий пример:

Большинство проблем с аутентификацией 802.1X возникает из-за проблем с сертификатом, который используется для аутентификации клиента или сервера. Примеры включают недействительный сертификат, истечение срока, сбой проверки цепочки и сбой проверки отзыва.

Сначала проверьте тип используемого метода EAP:

Если в качестве метода аутентификации используется сертификат, проверьте, действителен ли он.На стороне сервера (NPS) вы можете подтвердить, какой сертификат используется, в меню свойств EAP. В оснастке NPS перейдите к политике > Сетевые политики . Выберите и удерживайте (или щелкните правой кнопкой мыши) политику, а затем выберите Свойства . Во всплывающем окне перейдите на вкладку Ограничения , а затем выберите раздел Authentication Methods .

Журнал событий CAPI2 полезен для устранения проблем, связанных с сертификатами.По умолчанию этот журнал отключен. Чтобы включить этот журнал, разверните Event Viewer (Local) \ Applications and Services Logs \ Microsoft \ Windows \ CAPI2 , выберите и удерживайте (или щелкните правой кнопкой мыши) Operational , а затем выберите Enable Log .

Для получения информации о том, как анализировать журналы событий CAPI2, см. Устранение неполадок PKI в Windows Vista.

При устранении сложных проблем аутентификации 802.1X важно понимать 802.1X процесс аутентификации. Вот пример процесса беспроводного подключения с аутентификацией 802.1X:

Если вы собираете захват сетевых пакетов как на стороне клиента, так и на стороне сервера (NPS), вы можете увидеть поток, подобный показанному ниже. Введите EAPOL в фильтре дисплея для захвата на стороне клиента и EAP для захвата на стороне NPS. См. Следующие примеры:

Данные захвата пакетов на стороне клиента

Данные захвата пакетов на стороне NPS

Примечание

Если у вас есть беспроводная трассировка, вы также можете просматривать файлы ETL с помощью сетевого монитора и применять фильтры ONEX_MicrosoftWindowsOneX и WLAN_MicrosoftWindowsWLANAutoConfig Network Monitor.Если вам нужно загрузить требуемый анализатор, см. Инструкции в меню Help в Network Monitor. Вот пример:

Аудиторская политика

По умолчанию политика аудита NPS (ведение журнала событий) для успешного и неудачного подключения включена. Если вы обнаружите, что один или оба типа ведения журнала отключены, выполните следующие действия для устранения неполадок.

Просмотрите текущие параметры политики аудита, выполнив следующую команду на сервере политики сети:

  auditpol / get / subcategory: «Сервер сетевой политики»  

Если разрешены как успешные, так и неудачные события, вывод должен быть:

 Политика системного аудита Категория / подкатегория Настройка Вход / Выход Успех и сбой сервера сетевой политики 

Если он говорит «Без аудита», вы можете запустить эту команду, чтобы включить его:

  auditpol / set / subcategory: «Сервер сетевой политики» / успех: включить / сбой: включить  

Даже если кажется, что политика аудита полностью включена, иногда помогает отключить, а затем снова включить этот параметр.Вы также можете включить аудит входа / выхода из сервера Network Policy Server с помощью групповой политики. Чтобы перейти к настройке успеха / сбоя, выберите Конфигурация компьютера > Политики > Параметры Windows > Параметры безопасности > Расширенная конфигурация политики аудита > Политики аудита > Вход / выход из системы > Аудит сети Сервер политики .

Дополнительные ссылки

Устранение неполадок в Windows Vista 802.11 Беспроводные соединения
Устранение неполадок Windows Vista Безопасные проводные соединения 802.3

вопросов и ответов о приложении Microsoft Authenticator - Azure AD

• 15.01.2020
• 23 минуты на чтение

В этой статье

В этой статье даны ответы на распространенные вопросы о приложении Microsoft Authenticator. Если вы не видите ответа на свой вопрос, перейдите на форум приложения Microsoft Authenticator.

Приложение Microsoft Authenticator заменило приложение Azure Authenticator, и оно рекомендуется при использовании Многофакторной аутентификации Azure AD.Приложение Microsoft Authenticator доступно для Android и iOS.

Часто задаваемые вопросы

Регистрация устройства

Q : Согласна ли регистрация устройства предоставить компании или службе доступ к моему устройству?

A : Регистрация устройства дает вашему устройству доступ к службам вашей организации и не разрешает вашей организации доступ к вашему устройству.

Слишком много разрешений для приложений

Q : Почему приложение запрашивает так много разрешений?

A : Вот полный список разрешений, которые могут быть запрошены, и способы их использования приложением.Конкретные разрешения, которые вы видите, будут зависеть от типа вашего телефона. Иногда ваша организация хочет знать ваше Location , прежде чем разрешить вам доступ к определенным ресурсам. Приложение будет запрашивать это разрешение только в том случае, если в вашей организации есть политика, требующая определения местоположения.

Ошибка при добавлении аккаунта

Q : Когда я пытаюсь добавить свою учетную запись, я получаю сообщение об ошибке: «Учетная запись, которую вы пытаетесь добавить, в настоящее время недействительна. Обратитесь к своему администратору, чтобы исправить эту проблему (проверка уникальности)." Что я должен делать?

A : обратитесь к своему администратору и сообщите ему, что вам не удалось добавить свою учетную запись в Authenticator из-за проблемы с проверкой уникальности. Вам нужно будет указать свое имя пользователя для входа, чтобы администратор мог найти вас в вашей организации.

Поддержка устаревших APN устарела

Q : Поскольку устаревший двоичный интерфейс для службы Apple Push Notification устарел в ноябре 2020 года, как я могу продолжать использовать Microsoft Authenticator / Phone Factor для входа в систему?

A : Apple объявила о прекращении поддержки push-уведомлений, использующих ее двоичный интерфейс для устройств iOS, таких как те, которые используются Phone Factor.Чтобы и дальше получать push-уведомления, мы рекомендуем пользователям обновить свое приложение Authenticator до последней версии. А пока вы можете обойти это, вручную проверив уведомления в приложении Authenticator.

Функция блокировки приложений

Q : Что такое App Lock и как я могу его использовать, чтобы повысить свою безопасность?

A : Блокировка приложений помогает защитить ваши одноразовые коды подтверждения, информацию о приложении и настройки приложений.Если включена блокировка приложений, вам будет предлагаться аутентифицироваться с помощью PIN-кода устройства или биометрических данных каждый раз, когда вы открываете Authenticator. Блокировка приложений также помогает гарантировать, что вы единственный, кто может утверждать уведомления, запрашивая PIN-код или биометрические данные каждый раз, когда вы подтверждаете уведомление о входе. Вы можете включить или отключить блокировку приложений на странице настроек аутентификатора. По умолчанию блокировка приложений включена, когда вы устанавливаете на устройстве PIN-код или биометрические данные.

К сожалению, нет гарантии, что блокировка приложений остановит доступ к Authenticator.Это связано с тем, что регистрация устройства может происходить в других местах за пределами Authenticator, например, в настройках учетной записи Android или в приложении корпоративного портала.

Windows Mobile устарела

Q : У меня устройство Windows Mobile, и Microsoft Authenticator в Windows Mobile устарел. Могу ли я продолжить аутентификацию с помощью приложения?

A : Все проверки подлинности с использованием Microsoft Authenticator в Windows Mobile будут прекращены после 15 июля 2020 г.Мы настоятельно рекомендуем вам использовать альтернативный метод проверки подлинности, чтобы избежать блокировки ваших учетных записей.
Альтернативные варианты для корпоративных пользователей включают:

Скриншоты Android

Q : Могу ли я сделать снимки экрана с кодами одноразового пароля (OTP) на Android Authenticator?

A : Начиная с версии 6.2003.1704 Authenticator Android, по умолчанию все коды OTP скрываются каждый раз, когда делается снимок экрана Authenticator.Если вы хотите видеть свои коды OTP на снимках экрана или разрешить другим приложениям захватывать экран Authenticator, вы можете. Просто включите Screen Capture в Authenticator и перезапустите приложение.

Удалить сохраненные данные

Q : Какие данные Authenticator хранит от моего имени и как я могу их удалить?

A : Приложение Authenticator собирает информацию трех типов:

• Информация об учетной записи, которую вы предоставляете при добавлении учетной записи.Эти данные можно удалить, удалив вашу учетную запись.
• Данные журнала диагностики, которые остаются только в приложении, пока вы не выберете Отправить журналы меню приложения Справка для отправки журналов в Microsoft. Эти журналы могут содержать личные данные, такие как адреса электронной почты, адреса серверов или IP-адреса. Они также могут содержать данные об устройстве, такие как имя устройства и версия операционной системы. Любые собранные личные данные ограничиваются информацией, необходимой для устранения проблем с приложением. Вы можете просмотреть эти файлы журнала в приложении в любое время, чтобы увидеть собираемую информацию.Если вы отправите файлы журнала, инженеры приложения для аутентификации будут использовать их только для устранения проблем, о которых сообщили клиенты.
• Данные об использовании, не позволяющие установить личность, такие как «началось добавление потока учетной записи / успешно добавлена ​​учетная запись» или «уведомление одобрено». Эти данные являются неотъемлемой частью наших инженерных решений. Ваше использование помогает нам определить, где мы можем улучшить приложения важными для вас способами. Вы видите уведомление об этом сборе данных, когда используете приложение в первый раз.Затем он сообщает вам, что его можно отключить на странице Настройки приложения. Вы можете включить или выключить этот параметр в любое время.

Коды в приложении

Q : Для чего нужны коды в приложении?

A : при открытии Authenticator вы увидите свои добавленные учетные записи в виде плиток. Ваши рабочие или учебные учетные записи и ваши личные учетные записи Microsoft будут иметь шестизначные или восьмизначные числа, видимые в полноэкранном режиме учетной записи (доступ к которому осуществляется путем нажатия плитки учетной записи).Для других учетных записей вы увидите шестизначное или восьмизначное число на странице Аккаунты приложения.
Вы будете использовать эти коды в качестве одноразового пароля, чтобы подтвердить, что вы являетесь тем, кем себя называете. После того, как вы войдете в систему со своим именем пользователя и паролем, вы введете проверочный код, связанный с этой учетной записью. Например, если вы, Кэти, входите в свою учетную запись Contoso, вы должны нажать плитку учетной записи и затем использовать код подтверждения 895823. Для учетной записи Outlook вы выполните те же действия.
Коснитесь плитки учетной записи Contoso.

После нажатия плитки учетной записи Contoso код подтверждения отображается в полноэкранном режиме.

Таймер обратного отсчета

Q : Почему число рядом с кодом продолжает обратный отсчет?

A : рядом с активным кодом подтверждения вы можете увидеть 30-секундный таймер обратного отсчета. Этот таймер предназначен для того, чтобы вы никогда не входили в систему, используя один и тот же код дважды. В отличие от пароля, мы не хотим, чтобы вы запоминали этот номер.Идея в том, что ваш код знает только тот, у кого есть доступ к вашему телефону.

Плитка счета серого цвета

Q : Почему плитка моей учетной записи серая?

A : Некоторым организациям требуется Authenticator для работы с единым входом и защиты ресурсов организации. В этом случае учетная запись не используется для двухэтапной проверки и отображается серым цветом или неактивна. Счет этого типа часто называют «брокерским».

Регистрация устройства

Q : Что такое регистрация устройства? A : ваша организация может потребовать от вас зарегистрировать устройство для отслеживания доступа к защищенным ресурсам, таким как файлы и приложения.Они также могут включить условный доступ, чтобы снизить риск нежелательного доступа к этим ресурсам. Вы можете отменить регистрацию устройства в Параметры , но вы можете потерять доступ к электронной почте в Outlook, файлам в OneDrive, и вы потеряете возможность использовать вход с телефона.

Коды проверки при подключении

Q : Нужно ли мне быть подключенным к Интернету или моей сети, чтобы получить и использовать коды подтверждения?

A : коды не требуют, чтобы вы были в Интернете или подключены к данным, поэтому вам не нужна телефонная связь для входа.Кроме того, поскольку приложение перестает работать, как только вы его закрываете, оно не разряжает вашу батарею.

Нет уведомлений при закрытии приложения

Q : Почему я получаю уведомления только тогда, когда приложение открыто? Когда приложение закрыто, я не получаю уведомлений.

A : Если вы получаете уведомления, но не получаете оповещение, даже при включенном звонке, вам следует проверить настройки приложения. Убедитесь, что приложение включено, чтобы использовать звук или вибрировать для уведомлений.Если вы вообще не получаете уведомления, проверьте следующие условия:

• Ваш телефон находится в режиме «Не беспокоить» или в тихом режиме? Эти режимы могут запретить приложениям отправлять уведомления.
• Можно ли получать уведомления от других приложений? В противном случае это может быть проблема с сетевыми подключениями на вашем телефоне или каналом уведомлений от Android или Apple. Вы можете попытаться разрешить сетевые подключения через настройки телефона. Возможно, вам придется поговорить со своим поставщиком услуг, чтобы помочь с каналом уведомлений Android или Apple.
• Можно ли получать уведомления для некоторых учетных записей в приложении, но не для других? Если да, удалите проблемную учетную запись из своего приложения, снова добавьте ее, разрешив уведомления, и посмотрите, решит ли это проблему.

Перейти на push-уведомления

Q : Я использую коды подтверждения в приложении, но как мне переключиться на push-уведомления?

A : вы можете настроить уведомления для своей рабочей или учебной учетной записи (если это разрешено вашим администратором) или для своей личной учетной записи Microsoft. Уведомления не работают для сторонних учетных записей, таких как Google или Facebook.
Чтобы переключить личную учетную запись на уведомления, вам необходимо повторно зарегистрировать свое устройство в этой учетной записи.Перейдите к Добавить учетную запись , выберите Личная учетная запись Microsoft , а затем войдите в систему, используя свое имя пользователя и пароль.
Для вашей рабочей или учебной учетной записи ваша организация решает, разрешать ли уведомления одним щелчком мыши.

Уведомления для других счетов

Q : Работают ли уведомления для учетных записей сторонних разработчиков?

A : Нет, уведомления работают только с учетными записями Microsoft и Azure Active Directory. Если на вашей работе или в учебном заведении используются учетные записи Azure AD, они могут отключить эту функцию.

Резервное копирование и восстановление

Q : Я получил новое устройство или восстановил свое устройство из резервной копии. Как мне снова настроить свои учетные записи в Authenticator?

A : Если вы включили Cloud Backup на своем старом устройстве, вы можете использовать старую резервную копию для восстановления учетных данных своей учетной записи на новом устройстве iOS или Android. Дополнительные сведения см. В статье Резервное копирование и восстановление учетных данных с помощью Authenticator.

Утерянное устройство

Q : Я потерял устройство или перешел на новое устройство.Как убедиться, что уведомления не продолжают приходить на мое старое устройство?

A : Добавление Authenticator на новое устройство не приводит к автоматическому удалению приложения со старого устройства. Недостаточно даже удалить приложение со старого устройства. Вы должны как удалить приложение со своего старого устройства, так и сказать Microsoft или вашей организации, чтобы они забыли и отменили регистрацию старого устройства.

• Чтобы удалить приложение с устройства, используя личную учетную запись Microsoft. Перейдите в область двухэтапной проверки на странице безопасности учетной записи и отключите проверку для своего старого устройства.
• Чтобы удалить приложение с устройства, используя рабочую или учебную учетную запись Microsoft. Перейдите в область двухэтапной проверки на странице «Мои приложения» или на настраиваемом портале вашей организации, чтобы отключить проверку для своего старого устройства.

Удалить аккаунт из приложения

Q : Как удалить учетную запись из приложения?

A : коснитесь плитки учетной записи, которую вы хотите удалить из приложения, чтобы просмотреть ее в полноэкранном режиме. Нажмите Удалить учетную запись , чтобы удалить учетную запись из приложения.
Если у вас есть устройство, зарегистрированное в вашей организации, вам может потребоваться дополнительный шаг для удаления вашей учетной записи. На этих устройствах Authenticator автоматически регистрируется как администратор устройства. Если вы хотите полностью удалить приложение, вам необходимо сначала отменить регистрацию приложения в настройках приложения.

Слишком много разрешений

Q : Почему приложение запрашивает так много разрешений?

A : Вот полный список разрешений, которые могут быть запрошены, и способы их использования приложением.Конкретные разрешения, которые вы видите, будут зависеть от типа вашего телефона.

• Используйте биометрическое оборудование. Для некоторых рабочих и учебных учетных записей требуется дополнительный PIN-код при подтверждении своей личности. Приложение требует вашего согласия на использование биометрического распознавания или распознавания лиц вместо ввода PIN-кода.
• Камера. Используется для сканирования QR-кодов при добавлении рабочей, учебной или сторонней учетной записи.
• Контакты и телефон. Приложению требуется это разрешение для поиска рабочих или учебных учетных записей Майкрософт на вашем телефоне и добавления их в приложение за вас.
• SMS. Используется, чтобы убедиться, что ваш номер телефона совпадает с записанным при первом входе в личную учетную запись Microsoft. Мы отправляем текстовое сообщение на телефон, на который вы установили приложение, с кодом подтверждения из 6–8 цифр. Вам не нужно искать этот код и вводить его, потому что Authenticator автоматически находит его в текстовом сообщении.
• Рисуйте поверх других приложений. Полученное вами уведомление, подтверждающее вашу личность, также отображается в любом другом запущенном приложении.
• Получать данные из Интернета. Это разрешение требуется для отправки уведомлений.
• Не позволяет телефону переходить в спящий режим. Если вы зарегистрируете устройство в своей организации, ваша организация может изменить эту политику на вашем телефоне.
• Контроль вибрации. Вы можете выбрать, хотите ли вы, чтобы при получении уведомления для подтверждения вашей личности звучала вибрация.
• Используйте оборудование для снятия отпечатков пальцев. Для некоторых рабочих и учебных учетных записей требуется дополнительный PIN-код при подтверждении своей личности.Чтобы упростить процесс, мы разрешаем вам использовать отпечаток пальца вместо ввода PIN-кода.
• Просмотр сетевых подключений. Когда вы добавляете учетную запись Microsoft, приложению требуется подключение к сети / Интернету.
• Прочитать содержимое вашего хранилища . Это разрешение используется только в том случае, если вы сообщаете о технической проблеме через настройки приложения. Некоторая информация из вашего хранилища собирается для диагностики проблемы.
• Полный доступ к сети. Это разрешение требуется для отправки уведомлений для подтверждения вашей личности.
• Запускать при запуске. Если вы перезагрузите телефон, это разрешение гарантирует, что вы продолжите получать уведомления для подтверждения вашей личности.

Принимать заявки без разблокировки

Q : Почему Authenticator позволяет утверждать запрос без разблокировки устройства?

A : Вам не нужно разблокировать устройство, чтобы одобрить запросы на подтверждение, потому что все, что вам нужно доказать, - это то, что у вас есть телефон.Двухэтапная проверка требует подтверждения двух вещей - того, что вы знаете, и того, что у вас есть. Вы знаете свой пароль. У вас есть телефон (настроенный с помощью Authenticator и зарегистрированный как доказательство многофакторной аутентификации). Таким образом, наличие телефона и подтверждение запроса соответствуют критериям для второго фактора аутентификации.

Уведомления об активности

Q : Почему я получаю уведомления о действиях в моей учетной записи?

A : Уведомления о действиях отправляются в Authenticator сразу после внесения изменений в ваши личные учетные записи Microsoft, что помогает обеспечить большую безопасность.Ранее мы отправляли эти уведомления только по электронной почте и SMS. Дополнительные сведения об этих уведомлениях об активности см. В разделе Что произойдет, если в вашу учетную запись войдет необычный режим. Чтобы изменить место получения уведомлений, войдите в свою учетную запись на странице «Где мы можем связаться с вами с некритическими предупреждениями».

Одноразовые коды доступа

Q : Мои одноразовые коды доступа не работают. Что я должен делать?

A : Убедитесь, что дата и время на вашем устройстве правильные и синхронизируются автоматически.Если дата и время неправильные или не синхронизированы, код не будет работать.

Windows 10 Mobile

Q : Операционная система Windows 10 Mobile устарела в декабре 2019 года. Будет ли устаревать также Microsoft Authenticator в операционных системах Windows Mobile?

A : Authenticator во всех операционных системах Windows Mobile не будет поддерживаться после 28 февраля 2020 г. Пользователи не будут иметь права на получение каких-либо новых обновлений для приложения после указанной выше даты.После 28 февраля 2020 года службы Microsoft, которые в настоящее время поддерживают аутентификацию с использованием Microsoft Authenticator во всех операционных системах Windows Mobile, прекратят свою поддержку. Чтобы пройти аутентификацию в службах Microsoft, мы настоятельно рекомендуем всем нашим пользователям переключиться на альтернативный механизм аутентификации до этой даты.

Почтовое приложение по умолчанию

Q : При входе в мою рабочую или учебную учетную запись с помощью почтового приложения по умолчанию, которое поставляется с iOS, я получаю запрос от Authenticator о моей проверочной информации.После ввода этой информации и возврата в почтовое приложение я получаю сообщение об ошибке. Что я могу сделать?

A : Скорее всего, это происходит из-за того, что ваш вход и ваше почтовое приложение выполняются в двух разных приложениях, в результате чего начальный фоновый процесс входа перестает работать и завершается сбоем. Чтобы попытаться исправить это, мы рекомендуем вам выбрать значок Safari в правой нижней части экрана при входе в почтовое приложение. При переходе в Safari весь процесс входа в систему происходит в одном приложении, что позволяет успешно войти в приложение.

Apple Watch, часы OS 7

Q : Почему у меня возникают проблемы с Apple Watch на watchOS 7?

A : существует проблема с утверждением уведомлений в watchOS 7, и мы работаем с Apple, чтобы исправить это. Между тем, любые уведомления, для которых требуется приложение Microsoft Authenticator watchOS, должны быть одобрены на вашем телефоне.

Apple Watch не показывает учетные записи

Q : Почему не все мои учетные записи отображаются, когда я открываю Authenticator на своих Apple Watch?

A : Authenticator поддерживает только личные, учебные или рабочие учетные записи Microsoft с push-уведомлениями в приложении-компаньоне Apple Watch.Для других ваших учетных записей, таких как Google или Facebook, вам необходимо открыть приложение Authenticator на своем телефоне, чтобы увидеть свои коды подтверждения.

Уведомления Apple Watch

Q : Почему я не могу одобрить или отклонить уведомления на Apple Watch?

A : Сначала убедитесь, что вы обновили Authenticator до версии 6.0.0 или более поздней на своем iPhone. После этого откройте сопутствующее приложение Microsoft Authenticator на Apple Watch и найдите любые учетные записи с кнопкой Настроить под ними.Завершите процесс настройки, чтобы утвердить уведомления для этих учетных записей.

Ошибка связи Apple Watch

Q : Я получаю ошибку связи между Apple Watch и моим телефоном. Что я могу сделать для устранения неполадок?

A : эта ошибка возникает, когда экран часов переходит в спящий режим до того, как он завершит обмен данными с телефоном.
Если ошибка произошла во время установки:
Попробуйте запустить установку еще раз, убедившись, что часы не спят, пока процесс не будет завершен.В то же время откройте приложение на своем телефоне и отвечайте на все появляющиеся запросы.
Если ваш телефон и часы по-прежнему не обмениваются данными, вы можете попробовать следующие действия:

1. Принудительно закрыть телефонное приложение Microsoft Authenticator и снова открыть его на своем iPhone.
2. Принудительно закройте сопутствующее приложение на Apple Watch.
   1. Откройте приложение-компаньон Microsoft Authenticator на своих часах
   2. Удерживайте боковую кнопку, пока не появится экран Завершение работы .
   3. Отпустите боковую кнопку и удерживайте колесико Digital Crown, чтобы принудительно закрыть активное приложение.
3. Выключите Bluetooth и Wi-Fi на телефоне и на часах, а затем снова включите их.
4. Перезагрузите iPhone и часы.

Сопутствующее приложение для Apple Watch не синхронизируется

Q : Почему приложение-компаньон Microsoft Authenticator для Apple Watch не синхронизируется и не отображается на моих часах?

A : Если приложение не отображается на ваших часах, попробуйте выполнить следующие действия:

1. Убедитесь, что на ваших часах работает watchOS 4.0 или выше.
2. Снова синхронизируйте часы.

Сбой сопутствующего приложения Apple Watch

Q : Произошел сбой моего сопутствующего приложения Apple Watch.Могу ли я отправить вам свои журналы сбоев, чтобы вы могли разобраться?

A : Сначала убедитесь, что вы решили поделиться с нами своей аналитикой. Если вы являетесь пользователем TestFlight, вы уже зарегистрированы. В противном случае вы можете перейти в «Настройки »> «Конфиденциальность»> «Аналитика » и выбрать опции « Поделиться iPhone и Watch Analytics » и « Поделиться с разработчиками приложений ».
После регистрации вы можете попытаться воспроизвести сбой, чтобы журналы сбоев автоматически отправлялись нам для расследования.Однако, если вы не можете воспроизвести сбой, вы можете вручную скопировать файлы журнала и отправить их нам.

1. Откройте приложение Watch на телефоне, перейдите в «Настройки »> «Общие» , а затем нажмите «» Копировать Watch Analytics .
2. Найдите соответствующий сбой в разделе «Настройки »> «Конфиденциальность»> «Аналитика»> «Аналитические данные », а затем вручную скопируйте весь текст.
3. Откройте Authenticator на своем телефоне и вставьте скопированный текст в текстовое поле Поделиться с разработчиками приложений на странице Отправить журналы .

Автозаполнение для потребителей

Q : Что такое автозаполнение в Authenticator?

A : приложение Authenticator теперь безопасно хранит и автоматически заполняет пароли для приложений и веб-сайтов, которые вы посещаете на своем телефоне. Вы можете использовать автозаполнение для синхронизации и автозаполнения паролей на устройствах iOS и Android. После настройки приложения Authenticator в качестве поставщика автозаполнения на вашем телефоне оно предлагает сохранять ваши пароли, когда вы вводите их на странице входа на сайт или в приложение.Пароли сохраняются как часть вашей учетной записи Microsoft, а также доступны при входе в Microsoft Edge со своей учетной записью Microsoft.

Q : Какую информацию мне может предоставить Authenticator автоматически?

A : Authenticator может автоматически вводить имена пользователей и пароли на сайтах и ​​в приложениях, которые вы посещаете на своем телефоне.

Q : Как включить автозаполнение пароля в Authenticator на моем телефоне?

A : выполните следующие действия:

1. Откройте приложение Authenticator.
2. В настройках под Beta включите Автозаполнение .
3. На вкладке Пароли в Authenticator выберите Войти с помощью Microsoft и войдите, используя свою учетную запись Microsoft. Эта функция в настоящее время поддерживает только учетные записи Microsoft и еще не поддерживает рабочие или учебные учетные записи.

Q : Как сделать Authenticator поставщиком автозаполнения по умолчанию на моем телефоне?

A : выполните следующие действия:

1. Откройте Authenticator Настройки , а в версии Beta включите Автозаполнение .

2. На вкладке Пароли внутри приложения войдите в систему, используя свою учетную запись Microsoft.

3. Выполните одно из следующих действий:

   • В iOS в разделе Настройки выберите Как включить автозаполнение в разделе настроек автозаполнения, чтобы узнать, как установить Authenticator в качестве поставщика автозаполнения по умолчанию.
   • На Android в разделе Настройки выберите Установить как поставщик автозаполнения в разделе настроек автозаполнения, чтобы установить Authenticator в качестве поставщика автозаполнения по умолчанию.

Q : Что делать, если переключатель Autofill неактивен для меня в настройках?

A : Автозаполнение в настоящее время находится на стадии бета-тестирования и еще не включено для всех организаций или типов учетных записей. Если переключатель Autofill в настройках неактивен для вас, скорее всего, вы используете приложение Authenticator со своей рабочей учетной записью. Вы можете использовать эту функцию на устройстве, на которое не добавлен ваш рабочий аккаунт. Если ваша организация работает с Microsoft, переключатель Autofill будет включен, даже если рабочая учетная запись добавлена ​​в Authenticator.

Q : Как остановить синхронизацию паролей?

A : Чтобы остановить синхронизацию паролей в приложении Authenticator, откройте Настройки > Настройки автозаполнения > Синхронизация учетной записи . На следующем экране вы можете выбрать Остановить синхронизацию и удалить все данные автозаполнения . Это удалит пароли и другие данные автозаполнения с устройства. Удаление данных автозаполнения не влияет на многофакторную аутентификацию.

Q : Как мои пароли защищены приложением Authenticator?

A : Приложение Authenticator уже обеспечивает высокий уровень безопасности для многофакторной аутентификации и управления учетными записями, и такая же полоса безопасности также расширена для управления вашими паролями.

• Приложение Authenticator требует строгой аутентификации. : Для входа в Authenticator требуется второй фактор. Это означает, что ваши пароли внутри приложения Authenticator недоступны, даже если кто-то знает пароль вашей учетной записи Microsoft.
• Данные автозаполнения защищены биометрическими данными и паролем. : Прежде чем вы сможете автоматически вводить пароль в приложении или на сайте, Authenticator требует биометрического пароля или пароля устройства. Это гарантирует, что даже если кто-то еще имеет доступ к вашему устройству, он не сможет ввести или увидеть ваш пароль, так как не сможет предоставить биометрический или PIN-код устройства.Кроме того, пользователь не может открыть страницу паролей, если он не предоставит биометрические данные или PIN-код, даже если они отключили блокировку приложений в настройках приложения.
• Зашифрованные пароли на устройстве : пароли на устройстве зашифрованы, а ключи шифрования / дешифрования никогда не сохраняются и всегда генерируются на лету. Пароли расшифровываются только тогда, когда пользователь хочет, то есть во время автозаполнения или когда пользователь хочет увидеть пароль, оба из которых требуют биометрических данных или PIN-кода.
• Облако и сетевая безопасность : Ваши пароли в облаке зашифровываются и дешифруются только тогда, когда они достигают вашего устройства.Пароли синхронизируются через HTTPS-соединение с защитой SSL, что гарантирует, что злоумышленник не сможет перехватить конфиденциальные данные во время их синхронизации. Мы также гарантируем, что проверяем работоспособность данных, синхронизируемых по сети, с помощью криптографических хеш-функций (в частности, хеш-кода аутентификации сообщений).

Автозаполнение для ИТ-администраторов

Q : Смогут ли мои сотрудники или студенты использовать автозаполнение пароля в приложении Authenticator?

A : Нет. Функция автозаполнения в настоящее время находится на стадии бета-тестирования и еще не включена для всех организаций или типов учетных записей.Если ваш сотрудник или ученик добавил свою рабочую или учебную учетную запись в приложение Microsoft Authenticator, автозаполнение паролей будет для них недоступно. Единственное исключение из этого ограничения - когда ваш сотрудник или ученик добавляет свою рабочую или учебную учетную запись в облачную многофакторную аутентификацию Microsoft в качестве внешней или сторонней учетной записи.

Q : Могу ли я сделать функцию автозаполнения доступной для моих сотрудников (или студентов)?

A : Да. Чтобы разрешить вашим сотрудникам или учащимся, ваше предприятие или учебное заведение можно добавить в список разрешенных.Обратитесь в службу поддержки или в контактное лицо Microsoft, чтобы вас добавили в список разрешенных. Кроме того, если вы ИТ-администратор своей организации, вы также можете заполнить форму, чтобы выразить свою заинтересованность в присоединении к предприятию со списком разрешений для автозаполнения в Authenticator.

Q : Будет ли пароль моей рабочей или учебной учетной записи синхронизироваться автоматически?

A : Нет. Автозаполнение пароля не синхронизирует пароль рабочей или учебной учетной записи для ваших пользователей. Когда пользователи посещают сайт или приложение, Authenticator предлагает сохранить пароль для этого сайта или приложения, и пароль сохраняется только тогда, когда пользователь выбирает это.

Q : Могу ли я разрешить автозаполнение только определенных пользователей моей организации?

A : Нет. В настоящее время предприятия могут включить автозаполнение паролей только для всех или ни для кого из своих сотрудников. Мы будем постепенно расширять этот контроль.

Q : Что делать, если у моего сотрудника или ученика несколько рабочих или учебных учетных записей? Например, у моего сотрудника в Microsoft Authenticator есть учетные записи нескольких предприятий или учебных заведений.

A : Все предприятия или учебные заведения, добавленные в приложение Authenticator, должны быть включены в список для автозаполнения в Authenticator, чтобы владелец приложения мог его использовать.Единственное исключение из этого ограничения - когда ваш сотрудник или ученик добавляет свою рабочую или учебную учетную запись в облачную многофакторную аутентификацию Microsoft в качестве внешней или сторонней учетной записи.

Следующие шаги

Распространенные проблемы с двухфакторной аутентификацией учетной записи - Azure AD

• 01.09.2020
• На чтение 9 минут

В этой статье

Есть несколько общих проблем с двухфакторной верификацией, которые, кажется, возникают чаще, чем любой из нас хотел бы. Мы собрали эту статью, чтобы описать исправления наиболее распространенных проблем.

Ваша организация Azure Active Directory (Azure AD) может включить двухфакторную проверку для вашей учетной записи. Когда двухфакторная проверка включена, для входа в вашу учетную запись требуется комбинация следующих данных:

• Ваше имя пользователя
• Ваш пароль
• Мобильное устройство или телефон

Двухфакторная проверка более безопасна, чем просто пароль, потому что для двухфакторной проверки требуется что-то, что вы знаете , плюс то, что у вас есть .Ни у одного хакера нет вашего физического телефона.

Важно

Если вы являетесь администратором, вы можете найти дополнительную информацию о том, как настроить среду Azure AD и управлять ею, в документации по Azure AD.

Это содержимое может помочь вам с вашей рабочей или учебной учетной записью, которая является учетной записью, предоставленной вам вашей организацией (например, [email protected]). Если у вас возникли проблемы с двухфакторной проверкой в ​​личной учетной записи Майкрософт, которую вы создали для себя (например, danielle @ outlook.com), см. Включение и отключение двухфакторной проверки для вашей учетной записи Microsoft.

У меня нет с собой мобильного устройства

Бывает. Вы оставили мобильное устройство дома, и теперь вы не можете использовать свой телефон, чтобы проверить, кто вы. Возможно, вы ранее добавляли альтернативный способ входа в свою учетную запись, например, через офисный телефон. Если да, вы можете использовать этот альтернативный метод сейчас. Если вы никогда не добавляли альтернативный метод проверки, вы можете обратиться за помощью в службу поддержки вашей организации.

Чтобы войти в свою рабочую или учебную учетную запись, используя другой метод проверки

1. Войдите в свою учетную запись, но выберите Войти другим способом ссылку на странице Двухфакторная проверка .

   Если вы не видите ссылку Sign in other way , это означает, что вы не настроили другие методы проверки. Вам придется обратиться к администратору за помощью для входа в вашу учетную запись.

2. Выберите альтернативный метод проверки и продолжите процесс двухфакторной проверки.

Не могу выключить двухфакторную проверку

• Если вы используете двухфакторную проверку с личной учетной записью для службы Microsoft, например [email protected], вы можете включать и выключать эту функцию.

• Если вы используете двухфакторную проверку для своей рабочей или учебной учетной записи, это, скорее всего, означает, что ваша организация решила, что вы должны использовать эту дополнительную функцию безопасности. Вы не можете отключить его индивидуально.

Если вы не можете отключить двухфакторную проверку, это также может быть связано с настройками безопасности по умолчанию, которые были применены на уровне организации. Дополнительные сведения о значениях безопасности по умолчанию см. В разделе Что такое параметры безопасности по умолчанию?

Мое устройство было потеряно или украдено

Если вы потеряли или украли мобильное устройство, вы можете предпринять одно из следующих действий:

• Войдите в систему, используя другой метод.
• Обратитесь в службу поддержки вашей организации, чтобы очистить настройки.

Мы настоятельно рекомендуем сообщать службе поддержки вашей организации, если ваш телефон был потерян или украден. Служба поддержки может внести соответствующие обновления в вашу учетную запись. После очистки настроек вам будет предложено зарегистрироваться для двухфакторной проверки при следующем входе в систему.

Я не получаю проверочный код, отправленный на мое мобильное устройство

Обычная проблема - не получить проверочный код. Проблема обычно связана с вашим мобильным устройством и его настройками.Вот несколько действий, которые вы можете попробовать.

Мне не предлагается ввести вторую контрольную информацию

Вы входите в свою рабочую или учебную учетную запись, используя свое имя пользователя и пароль.Затем вам будет предложено ввести дополнительную информацию для проверки безопасности. Если вам не предлагается, возможно, вы еще не настроили свое устройство. Ваше мобильное устройство должно быть настроено для работы с вашим конкретным дополнительным методом проверки безопасности.

Возможно, вы еще не настроили свое устройство. Ваше мобильное устройство должно быть настроено для работы с вашим конкретным дополнительным методом проверки безопасности. Инструкции по обеспечению доступности вашего мобильного устройства для вашего метода проверки см. В разделе Управление настройками метода двухфакторной проверки.Если вы знаете, что еще не настроили свое устройство или учетную запись, вы можете выполнить действия, описанные в статье «Настройка моей учетной записи для двухэтапной проверки».

У меня новый номер телефона, и я хочу его добавить

Если у вас новый номер телефона, вам необходимо обновить сведения о методе проверки безопасности. Это позволит вашим запросам подтверждения перейти в нужное место. Чтобы обновить метод проверки, выполните действия, описанные в разделе « Добавление или изменение номера телефона » статьи «Управление настройками метода двухфакторной проверки».

У меня есть новое мобильное устройство, и я хочу его добавить

Если у вас новое мобильное устройство, вам необходимо настроить его для работы с двухфакторной проверкой. Это многоступенчатое решение:

1. Настройте устройство для работы с учетной записью, выполнив действия, описанные в статье «Настройка моей учетной записи для двухэтапной проверки».

2. Обновите информацию об учетной записи и устройстве на странице Дополнительная проверка безопасности . Выполните обновление, удалив старое устройство и добавив новое.Дополнительные сведения см. В статье «Управление настройками метода двухфакторной проверки».

Дополнительные шаги:

У меня проблемы со входом в систему на мобильном устройстве во время путешествия

Возможно, вам будет сложнее использовать метод проверки, связанный с мобильным устройством, например обмен текстовыми сообщениями, когда вы находитесь за границей. Также возможно, что ваше мобильное устройство может стать причиной оплаты роуминга. В этой ситуации мы рекомендуем вам использовать приложение Microsoft Authenticator с возможностью подключения к точке доступа Wi-Fi.Дополнительные сведения о том, как настроить приложение Microsoft Authenticator на мобильном устройстве, см. В статье «Загрузка и установка приложения Microsoft Authenticator».

Я не могу заставить свои пароли приложений работать

Пароли приложений заменяют ваш обычный пароль для старых настольных приложений, которые не поддерживают двухфакторную проверку. Во-первых, убедитесь, что вы правильно ввели пароль. Если это не поможет, попробуйте создать новый пароль для приложения. Сделайте это, выполнив действия, описанные в Создание и удаление паролей приложений с помощью раздела портала «Мои приложения» статьи Управление паролями приложений для двухэтапной проверки.

Не могу отключить двухфакторную проверку

Если вы используете двухфакторную проверку для своей рабочей или учебной учетной записи (например, [email protected]), это, скорее всего, означает, что ваша организация решила, что вы должны использовать эту дополнительную функцию безопасности. Поскольку ваша организация решила, что вы должны использовать эту функцию, у вас нет возможности отключить ее индивидуально. Однако, если вы используете двухфакторную проверку с личной учетной записью, например [email protected], у вас есть возможность включать и выключать эту функцию.Инструкции по управлению двухфакторной проверкой для ваших личных учетных записей см. В разделе Включение и отключение двухфакторной проверки для вашей учетной записи Microsoft.

Если вы не можете отключить двухфакторную проверку, это также может быть связано с настройками безопасности по умолчанию, которые были применены на уровне организации. Дополнительные сведения о значениях безопасности по умолчанию см. В разделе Что такое параметры безопасности по умолчанию?

Не нашел ответа на свою проблему

Если вы попробовали эти шаги, но все еще сталкиваетесь с проблемами, обратитесь за помощью в службу поддержки вашей организации.

Статьи по теме

Смотрите также

• Как поменять панель пуск на windows 7
• Как получить роот на андроид
• Как переустановить виндовс 7 на компьютере с флешки для чайников
• Как проверить автозагрузку windows 7
• Как перенести контакты с windows phone на android через bluetooth
• Windows defender user interface что это
• Как сменить иконки на windows 7
• На андроиде как поменять доступ к папке adb
• Как узнать версию блютуз на андроид телефоне
• Как обновить ami bios
• Как убрать оптимизацию приложений при запуске андроид