应用程序登录故障排除

我的应用是一个基于 Web 的门户，它使具有工作或学校帐户的用户能够在 Microsoft Entra ID 中查看和启动Microsoft Entra 管理员向其授予访问权限的基于云的应用程序。 在 https://myapplications.windowsazure.cn，可通过 Web 浏览器访问我的应用。

若要详细了解如何将 Microsoft Entra ID 用作应用的标识提供者，请参阅 Microsoft Entra ID 中的“什么是应用程序管理”。 若要快速掌握速度，请查看 有关应用程序管理的快速入门系列。

这些应用程序是代表 Microsoft Entra 管理中心中的用户配置的。 应用程序必须正确配置并分配给用户或用户所属的组，才能在“我的应用”中看到该应用程序。

用户可能看到的应用类型属于以下类别：

• Microsoft 365 个应用程序
• 使用基于联合身份验证的 SSO 配置的Microsoft和第三方应用程序
• 基于密码的 SSO 应用程序
• 具有现有 SSO 解决方案的应用程序

下面是一些要检查应用是否出现或未出现的事情：

• 请确保将应用添加到 Microsoft Entra ID，并确保已分配用户。 若要了解详细信息，请参阅 有关应用程序管理的快速入门系列。
• 如果最近添加了应用，请让用户注销并重新登录。
• 如果应用需要许可证（如 Office），请确保为用户分配相应的许可证。
• 许可更改所需的时间可能会因组的大小和复杂性而异。

首先要检查的常规问题

• 确保 Web 浏览器满足要求，请参阅 “我的应用”支持的浏览器。
• 确保用户的浏览器已将应用程序的 URL 添加到其 受信任的站点。
• 请确保应用程序 配置 正确。
• 确保用户帐户已启用，以便可以登录。
• 确保用户的帐户未被锁定。
• 确保用户 的密码未过期或忘记。
• 确保 多重身份验证 未阻止用户访问。
• 确保条件访问策略没有阻止用户访问。
• 确保用户的 身份验证联系人信息 是最新的，以允许强制执行多重身份验证或条件访问策略。
• 请确保还尝试清除浏览器的 Cookie 并尝试再次登录。

用户帐户问题

由于用户帐户出现问题，可以阻止访问“我的应用”。 下面是可以用来排除和解决用户及其帐户设置存在的问题的一些方法：

• 检查 Microsoft Entra ID 中是否存在用户帐户
• 检查用户帐户的状态
• 重置用户的密码
• 启用自助服务密码重置
• 检查用户的多重身份验证状态
• 检查用户的身份验证联系信息
• 检查用户的组成员身份
• 检查用户是否有超过 999 个应用角色分配
• 检查用户的已分配许可证
• 为用户分配许可证

检查 Microsoft Entra ID 中是否存在用户帐户

若要检查是否存在某个用户帐户，请执行以下步骤：

1. 请至少以用户管理员身份登录到 Microsoft Entra 管理中心。
2. 浏览到 Entra ID>用户。
3. 搜索感兴趣的用户，然后选择该行以查看用户的详细信息。
4. 检查用户对象的属性，确保它们看上去与预期一致并且未丢失任何数据。

检查用户帐户的状态

若要检查用户帐户的状态，请执行以下步骤：

1. 请至少以用户管理员身份登录到 Microsoft Entra 管理中心。
2. 浏览到 Entra ID>用户。
3. 搜索感兴趣的用户，然后选择包含用户详细信息的行。
4. 选择“个人资料”。
5. 在“设置”下，确保“阻止登录”设置为“否”。

重置用户的密码

若要重置用户的密码，请执行以下步骤：

1. 请至少以用户管理员身份登录到 Microsoft Entra 管理中心。
2. 浏览到 Entra ID>用户。
3. 搜索感兴趣的用户，然后选择包含用户详细信息的行。
4. 选择用户窗格顶部的“重置密码”按钮。
5. 在出现的“重置密码”窗格上，选择“重置密码”按钮。
6. 为用户复制临时密码或输入新密码。
7. 向用户传达此新密码。 在下次登录期间，可能需要更改此密码才能登录 Microsoft Entra ID。

启用自助式密码重置

若要启用自助密码重置，请执行以下步骤：

• 使用户能够重置其 Microsoft Entra 密码
• 使用户能够重置或更改其 Active Directory 本地密码

检查用户的多重身份验证状态

若要检查用户的多重身份验证状态，请执行以下步骤：

1. 请至少以用户管理员身份登录到 Microsoft Entra 管理中心。
2. 浏览到 Entra ID>用户。
3. 选择窗格顶部的 “每用户 MFA”按钮。
4. 多重身份验证管理门户加载后，请确保位于“用户”选项卡上。
5. 通过搜索、筛选或排序在用户列表中找到用户。
6. 从用户列表中选择用户，根据需要 启用、 禁用或 强制实施 多重身份验证。

   注释

   如果用户处于 “强制” 状态，可以暂时将其设置为 “已禁用 ”，以让他们重新进入其帐户。 重新登录后，可以再次将其状态更改为 “已启用” ，要求他们在下次登录期间重新注册其联系信息。 此外，也可以按照检查用户的身份验证联系信息中的步骤为其验证或设置此数据。

检查用户的身份验证联系信息

若要检查用于多重身份验证、条件访问和密码重置的用户身份验证联系信息，请执行以下步骤：

1. 请至少以用户管理员身份登录到 Microsoft Entra 管理中心。
2. 浏览到 Entra ID>用户。
3. 搜索感兴趣的用户，然后选择包含用户详细信息的行。
4. 在“管理”下选择“身份验证方法”。
5. 查看为用户注册的数据并根据需要进行更新。

检查用户的组成员身份

若要检查用户的组成员身份，请执行以下步骤：

1. 请至少以用户管理员身份登录到 Microsoft Entra 管理中心。
2. 浏览到 Entra ID>用户。
3. 搜索感兴趣的用户，然后选择包含用户详细信息的行。
4. 选择“组”查看用户所属的组。

检查用户是否有超过 999 个应用角色分配

如果用户具有超过 999 个应用角色分配，则他们可能不会在“我的应用”中看到其所有应用。

这是因为“我的应用”当前最多读取 999 个应用角色分配，以确定用户分配到的应用。 如果将用户分配到 999 多个应用，则无法控制“我的应用”门户中显示哪些应用。

若要检查用户是否有超过 999 个应用角色分配，请执行以下步骤：

1. 安装 Microsoft.Graph PowerShell 模块。
2. 运行并至少以用户管理员身份登录。
3. 运行 (Get-MgUserAppRoleAssignment -UserId "<user-id>" -PageSize 999).Count 以确定用户当前授予的应用角色分配数。
4. 如果结果为 999，则用户可能具有超过 999 个应用角色分配。

检查用户的已分配许可证

若要检查用户的已分配许可证，请执行以下步骤：

1. 请至少以用户管理员身份登录到 Microsoft Entra 管理中心。
2. 浏览到 Entra ID>用户。
3. 搜索感兴趣的用户，然后选择包含用户详细信息的行。
4. 选择“许可证”查看当前已分配给用户的许可证。

为用户分配许可证

若要将许可证分配给用户，请执行以下步骤：

1. 请至少以用户管理员身份登录到 Microsoft Entra 管理中心。
2. 浏览到 Entra ID>用户。
3. 搜索感兴趣的用户，然后选择包含用户详细信息的行。
4. 选择“许可证”查看当前已分配给用户的许可证。
5. 选择 “分配 ”按钮。
6. 从可用产品列表中选择一个或多个许可证。
7. 可选：选择“ 查看许可证”选项 以精细分配产品。
8. 选择“保存”。

深层链接疑难解答

深层链接或用户访问 URL 是用户可用于直接从浏览器 URL 栏访问其密码 SSO 应用程序的链接。 通过导航到此链接，用户会自动登录到应用程序，而无需先转到“我的应用”。 此链接与用户用于从 Microsoft 365 应用程序启动器访问这些应用程序的链接相同。

检查深层链接

若要检查是否有正确的深层链接，请执行以下步骤：

1. 至少以云应用程序管理员身份登录到 Microsoft Entra 管理中心。
2. 请导航到 Entra ID>企业应用程序>所有应用程序。
3. 在“搜索”框中输入现有应用程序的名称，然后从搜索结果中选择该应用程序。
4. 查找标签 “用户访问 URL”。 深层链接应与此 URL 匹配。

联系支持人员

如果可用，请使用以下信息开具支持票证：

• 相关错误 ID
• UPN（用户电子邮件地址）
• TenantID
• 浏览器类型
• 发生错误时的时区和时间/时间范围
• Fiddler 跟踪

后续步骤

• 有关应用程序管理的快速入门系列