如果分配了多应用展台配置文件,则用户无法登录到 Windows
本文可帮助你修复以下问题:如果分配了多应用展台配置文件,则用户无法登录到已加入Microsoft Entra Windows 10计算机。
症状
当用户尝试登录到已加入Microsoft Entra Windows 10分配了多应用展台配置文件的计算机时,尝试将立即在加载用户配置文件之前失败。
在这种情况下,展台配置文件登录类型Microsoft Entra用户或组。 此外,Windows 10计算机使用本地帐户,你注意到事件查看器日志中的以下错误消息:
Microsoft Entra ID - 操作日志 (示例 1 - 需要通过条件访问) 进行 MFA:
日志名称:Microsoft-Windows-AAD/Operational
来源:Microsoft-Windows-AAD
日期: <时间戳>
事件 ID:1098
任务类别:AadTokenBrokerPlugin 操作
级别:错误
关键字:错误、错误
用户: <用户 SID>
计算机: <计算机名称>
说明:
错误:0xCAA2000C 请求需要用户交互。
代码:interaction_required
说明:AADSTS50076:由于管理员进行了配置更改,或者已移动到新位置,必须使用多重身份验证才能访问“00000003-0000-0000-c000-0000000000000”。Microsoft Entra ID - 操作日志 (示例 2 - 使用条款 (TOU) 要求通过条件访问) :
日志名称:Microsoft-Windows-AAD/Operational
来源:Microsoft-Windows-AAD
日期: <时间戳>
事件 ID:1098
任务类别:AadTokenBrokerPlugin 操作
级别:错误
关键字:错误、错误
用户: <用户 SID>
计算机: <计算机名称>
说明:
错误:0xCAA2000C 请求需要用户交互。
代码:interaction_required
说明:AADSTS50158:未满足外部安全质询。 用户将被重定向到另一个页面或身份验证提供程序,以满足其他身份验证质询。分配的访问权限 - 管理员日志:
日志名称:Microsoft-Windows-AssignedAccess/管理员
源:Microsoft-Windows-AssignedAccess
日期: <时间戳>
事件 ID:31000
任务类别:为当前用户应用分配的访问权限。
级别:错误
用户: <用户 SID>
计算机: <计算机名称>
说明:
错误 应用当前用户分配的访问权限时出现未指定错误,注销...
原因
此行为是设计使然。
出现此问题是因为用户是需要用户交互的条件访问策略的目标。 例如,多重身份验证 (MFA) 或使用条款 (TOU) 。
解决方案
若要解决此问题,请从需要用户交互的任何条件访问策略(如 MFA 或 TOU)中排除展台用户。
如果为展台用户启用了 MFA,请禁用它,因为 MFA 目前在多应用展台模式方案中不受支持。