登录 Microsoft 应用程序时出现的问题
用户访问 Microsoft 发布的应用程序的方法主要有三种。
对于 Microsoft 365 或其他付费套件中的应用程序,可以通过许可证分配直接向用户的用户帐户授予访问权限,也可以使用基于组的许可证分配功能通过组来这样做。
对于 Microsoft 或第三方发布的可供任何人免费使用的应用程序,可以通过用户许可授予用户访问权限。 这意味着他们使用其 Microsoft Entra 工作或学校帐户登录到应用程序,并允许它访问其帐户上一些受限制的数据集。
对于 Microsoft 或第三方发布的可供任何人免费使用的应用程序,还可以通过管理员许可授予用户访问权限。 这意味着管理员已确定组织中的所有人都可以使用此应用程序,因此他们使用全局管理员帐户可以登录到应用程序并向组织中所有人授予访问权限。
若要解决问题,请从对于应用程序访问要考虑的常规问题领域开始,并阅读“演练:对 Microsoft 应用程序访问进行故障排除的步骤”了解详细信息。
对于应用程序访问要考虑的常规问题区域
如果知道从何处着手,以下列表提供了需要深入了解的常规问题领域,但我们建议阅读以下演练以便快速开始操作:演练:对 Microsoft 应用程序访问进行故障排除的步骤。
对 Microsoft 应用程序访问进行故障排除的步骤
下面是当用户无法登录到 Microsoft 应用程序时遇到的一些常见问题。
首先要检查的常规问题
确保用户尝试登录到正确的 URL,而不是本地应用程序 URL。
确保用户的帐户未被锁定。
确保 Microsoft Entra ID 中存在用户的帐户。 检查 Microsoft Entra ID 中是否存在用户帐户
确保用户的帐户已启用登录功能。检查用户帐户的状态
确保多重身份验证未阻止用户访问。 检查用户的多重身份验证状态或检查用户的身份验证联系信息
确保条件访问策略没有阻止用户访问。 检查特定的条件访问策略或检查特定应用程序的条件访问策略或者禁用特定的条件访问策略
确保用户的身份验证联系信息是最新的以允许强制执行多重身份验证或条件访问策略。 检查用户的多重身份验证状态或检查用户的身份验证联系信息
对于需要许可证的 Microsoft 应用程序(如 Office365),以下是排除上述常规问题后需要检查的一些特定问题:
确保已为用户分配许可证。检查用户的已分配许可证或检查组的已分配许可证
如果许可证分配到静态组,请确保用户是该组的成员。 检查用户的组成员身份
如果许可证分配到动态组,请确保动态组规则设置正确。 检查动态组的成员身份条件
如果许可证已分配到动态组,请确保动态组的成员身份已处理完毕,并确保用户是该组的成员(这可能需要一些时间)。 检查用户的组成员身份
一旦确保已分配许可证,请确保许可证未过期。
确保许可证与他们访问的应用程序相对应。
对于不需要许可证的 Microsoft应用程序,以下是一些需要检查的其他事项:
如果应用程序请求用户级权限(例如“访问此用户的邮箱”),请确保用户已登录到应用程序,并且已执行用户级许可操作,从而允许应用程序访问其数据。
如果应用程序请求管理员级权限(例如“访问所有用户的邮箱”),请确保全局管理员已代表组织中所有用户执行管理员级许可操作。
用户帐户问题
由于已分配到应用程序的用户出现问题,应用程序访问可能会遭到阻止。 下面是可以用来排除和解决用户及其帐户设置存在的问题的一些方法:
提示
本文中的步骤可能因开始使用的门户而略有不同。
检查 Microsoft Entra ID 中是否存在用户帐户
若要检查是否存在某个用户帐户,请执行以下步骤:
请至少以用户管理员身份登录到 Microsoft Entra 管理中心。
浏览到“标识”>“用户”>“所有用户”。
搜索你感兴趣的用户,然后选择包含该用户详细信息的行。
检查用户对象的属性,确保它们看上去与预期一致并且未丢失任何数据。
检查用户帐户的状态
若要检查用户帐户的状态,请执行以下步骤:
- 请至少以用户管理员身份登录到 Microsoft Entra 管理中心。
- 浏览到“标识”>“用户”>“所有用户”。
- 搜索你感兴趣的用户,然后选择包含该用户详细信息的行。
- 选择“配置文件”。
- 在“设置”下,确保“阻止登录”设置为“否”。
重置用户的密码
若要重置用户的密码,请执行以下步骤:
- 请至少以用户管理员身份登录到 Microsoft Entra 管理中心。
- 浏览到“标识”>“用户”>“所有用户”。
- 搜索你感兴趣的用户,然后选择包含该用户详细信息的行。
- 选择用户窗格顶部的“重置密码”按钮。
- 在出现的“重置密码”窗格上,选择“重置密码”按钮。
- 为用户复制临时密码或输入新密码。
- 告知用户此新密码,在他们下一次登录到 Microsoft Entra ID 时,需要更改此密码。
启用自助式密码重置
若要启用自助式密码重置,请按照以下部分中的部署步骤操作:
检查用户的多重身份验证状态
若要检查用户的多重身份验证状态,请执行以下步骤:
请至少以用户管理员身份登录到 Microsoft Entra 管理中心。
浏览到“标识”>“用户”>“所有用户”。
选择窗格顶部的“多重身份验证”按钮。
在多重身份验证管理门户加载后,确保位于“用户”选项卡上。
通过搜索、筛选或排序在用户列表中找到用户。
从用户列表中选择用户,并根据需要启用、禁用或强制实施多重身份验证。
- 注意:如果用户处于已强制执行状态,可暂时将其设置为已禁用以允许用户重新登录到其帐户。 一旦他们重新登录到其帐户,便可以再次将其状态更改为已启用来要求他们在下次登录期间重新注册其联系信息。 此外,也可以按照检查用户的身份验证联系信息中的步骤为其验证或设置此数据。
检查用户的身份验证联系信息
若要检查用于多重身份验证、条件访问和密码重置的用户身份验证联系信息,请执行以下步骤:
请至少以用户管理员身份登录到 Microsoft Entra 管理中心。
浏览到“标识”>“用户”>“所有用户”。
搜索你感兴趣的用户,然后选择包含该用户详细信息的行。
选择“配置文件”。
向下滚动到“身份验证联系信息”。
查看为用户注册的数据并根据需要进行更新。
检查用户的组成员身份
若要检查用户的组成员身份,请执行以下步骤:
请至少以用户管理员身份登录到 Microsoft Entra 管理中心。
浏览到“标识”>“用户”>“所有用户”。
搜索你感兴趣的用户,然后选择包含该用户详细信息的行。
选择“组”查看用户所属的组。
检查用户的已分配许可证
若要检查用户的已分配许可证,请执行以下步骤:
请至少以用户管理员身份登录到 Microsoft Entra 管理中心。
浏览到“标识”>“用户”>“所有用户”。
搜索你感兴趣的用户,然后选择包含该用户详细信息的行。
选择“许可证”查看当前已分配给用户的许可证。
为用户分配许可证
若要将许可证分配给用户,请执行以下步骤:
请至少以用户管理员身份登录到 Microsoft Entra 管理中心。
浏览到“标识”>“用户”>“所有用户”。
搜索你感兴趣的用户,然后选择包含该用户详细信息的行。
选择“许可证”查看当前已分配给用户的许可证。
选择“分配”按钮。
从可用产品列表中选择一个或多个产品。
可选选择“分配选项”项以精确分配产品。 完成此操作后,选择“确定”。
选择“分配”按钮,将这些许可证分配给此用户。
组问题
由于已分配到应用程序的组出现问题,应用程序访问可能会遭到阻止。 下面是可以用来进行故障排除并解决组和组成员身份问题的一些方法:
检查组的成员身份
若要检查组的成员身份,请执行以下步骤:
- 请至少以用户管理员或组管理员身份登录到 Microsoft Entra 管理中心。
- 浏览到“标识”>“组”>“所有组”。
- 搜索感兴趣的组,然后选择包含该组详细信息的行。
- 选择“成员”查看分配到此组的用户列表。
检查动态组的成员身份条件
若要检查动态组的成员身份条件,请执行以下步骤:
请至少以用户管理员或组管理员身份登录到 Microsoft Entra 管理中心。
浏览到“标识”>“组”>“所有组”。
搜索感兴趣的组,然后选择包含该组详细信息的行。
选择“动态成员身份规则”。
查看为此组定义的简单或高级规则,并确保希望使其成为此组成员的用户满足这些条件。
检查组的已分配许可证
若要检查组的已分配许可证,请执行以下步骤:
请至少以用户管理员或组管理员身份登录到 Microsoft Entra 管理中心。
浏览到“标识”>“组”>“所有组”。
搜索感兴趣的组,然后选择包含该组详细信息的行。
选择“许可证”查看当前已分配给组的许可证。
重新处理组的许可证
若要重新处理组的已分配许可证,请执行以下步骤:
请至少以用户管理员或组管理员身份登录到 Microsoft Entra 管理中心。
浏览到“标识”>“组”>“所有组”。
搜索感兴趣的组,然后选择包含该组详细信息的行。
选择“许可证”查看当前已分配给组的许可证。
选择“重新处理”按钮,确保分配给此组成员的许可证是最新许可证。 这可能需要较长时间,具体取决于组的大小和复杂程度。
注意
要更快地执行此操作,可考虑暂时会许可证直接分配给用户。 为用户分配许可证。
为组分配许可证
若要将许可证分配给组,请执行以下步骤:
请至少以用户管理员或组管理员身份登录到 Microsoft Entra 管理中心。
浏览到“标识”>“组”>“所有组”。
搜索感兴趣的组,然后选择包含该组详细信息的行。
选择“许可证”查看当前已分配给组的许可证。
选择“分配”按钮。
从可用产品列表中选择一个或多个产品。
可选选择“分配选项”项以精确分配产品。 完成此操作后,选择“确定”。
选择“分配”按钮,将这些许可证分配给此组。 这可能需要较长时间,具体取决于组的大小和复杂程度。
注意
要更快地执行此操作,可考虑暂时会许可证直接分配给用户。 为用户分配许可证。
条件访问策略问题
检查特定的条件访问策略
若要检查或验证单个条件访问策略,请执行以下操作:
请至少以条件访问管理员身份登录到 Microsoft Entra 管理中心。
浏览到“标识”>“应用程序”>“企业应用程序”。
选择“条件访问”导航项。
选择要检查的策略。
检查不存在任何可能会阻止用户访问的特定条件、分配或其他设置。
注意
可能需要暂时禁用此策略,以确保它不影响登录。为此,请将“启用策略”切换按钮设置为“否”,然后单击“保存”按钮。
检查特定应用程序的条件访问策略
若要检查或验证单个应用程序当前配置的条件访问策略,请执行以下操作:
至少以云应用程序管理员身份登录到 Microsoft Entra 管理中心。
浏览到“标识”>“应用程序”>“企业应用程序”>“所有应用程序”。
按应用程序显示名称或应用程序 ID 搜索你感兴趣的或用户正在尝试登录到的应用程序。
选择“条件访问”导航项。
选择要检查的策略。
检查不存在任何可能会阻止用户访问的特定条件、分配或其他设置。
注意
可能需要暂时禁用此策略,以确保它不影响登录。为此,请将“启用策略”切换按钮设置为“否”,然后单击“保存”按钮。
禁用特定的条件访问策略
若要检查或验证单个条件访问策略,请执行以下操作:
- 请至少以条件访问管理员身份登录到 Microsoft Entra 管理中心。
- 浏览到“标识”>“应用程序”>“企业应用程序”。
- 选择“条件访问”导航项。
- 选择要检查的策略。
- 通过将“启用策略”切换按钮设置为“否”来禁用策略,然后选择“保存”按钮。
应用程序许可问题
由于相应的权限许可操作并未发生,应用程序访问可能会遭到阻止。 下面是可以用来进行故障排除并解决应用程序许可问题的一些方法:
执行用户级许可操作
对于需要权限的任何已启用 OpenID Connect 的应用程序,导航到应用程序的登录屏幕都会面向已登录用户为应用程序执行用户级许可。
如果要以编程方式执行此操作,请参阅请求单个用户的同意。
为任何应用程序执行管理员级许可操作
对于仅使用 V1 应用程序模型开发的应用程序,可通过在应用程序的登录 URL 末尾添加“?prompt=admin_consent”来强制执行此管理员级许可。
对于使用 V2 应用程序模型开发的任何应用程序,可以按照使用管理员许可终结点的“向目录管理员请求权限”部分中的说明强制执行此管理员级许可。
为单租户应用程序执行管理员级许可
对于请求权限的单租户应用程序(如组织内正在开发或组织拥有的应用程序),可以通过以全局管理员”身份登录,并单击“应用程序注册表”-“所有应用程序”- 选择应用 -“所需权限”窗格顶部的“授予权限”按钮,代表所有用户执行“管理级许可”操作。>>>
对于使用 V1 或 V2 应用程序模型开发的任何应用程序,可以按照使用管理员许可终结点的“向目录管理员请求权限”部分下的说明强制执行此管理员级许可。
为多租户应用程序执行管理员级许可
对于请求权限的多租户应用程序(如第三方或 Microsoft 开发的应用程序),可以执行“管理级许可”操作。 以“全局管理员”身份登录,并在“企业应用程序”->“所有应用程序”-> 选择应用 ->“权限”窗格(即将可用)下单击“授予权限”按钮。
还可以按照使用管理员许可终结点的“向目录管理员请求权限”部分下的说明强制执行此管理员级许可。