本文可帮助你修复以下问题:如果分配了多应用展台配置文件,则用户无法登录到已加入 Microsoft Entra 的 Windows 10 或 Windows 11 计算机。
症状
当用户尝试登录到已分配多应用展台配置文件的已加入 Microsoft Entra 的 Windows 10 或 Windows 11 计算机时,尝试会在加载用户配置文件之前立即失败。
在这种情况下,展台配置文件登录类型 Microsoft Entra 用户 或 组。 此外,Windows 10 或 Windows 11 计算机使用本地帐户,并且你注意到事件查看器日志中的以下错误消息:
Microsoft Entra ID -作日志(示例 1 - 通过条件访问所需的 MFA):
日志名称:Microsoft-Windows-AAD/Operational
来源:Microsoft-Windows-AAD
日期: <时间戳>
事件 ID 1098:
任务类别:AadTokenBrokerPlugin作
级别:错误
关键字:错误、错误
用户: <用户 SID>
计算机: <计算机名称>
描述:
错误:0xCAA2000C请求需要用户交互。
代码:interaction_required
说明:AADSTS50076:由于管理员进行了配置更改,或者由于已移动到新位置,必须使用多重身份验证访问“000000003-0000-0000-c0000-00000000000000”。Microsoft Entra ID -作日志 (示例 2 - 通过条件访问所需的使用条款 (TOU) ):
日志名称:Microsoft-Windows-AAD/Operational
来源:Microsoft-Windows-AAD
日期: <时间戳>
事件 ID 1098:
任务类别:AadTokenBrokerPlugin作
级别:错误
关键字:错误、错误
用户: <用户 SID>
计算机: <计算机名称>
描述:
错误:0xCAA2000C请求需要用户交互。
代码:interaction_required
说明:AADSTS50158:未满足外部安全质询。 用户将被重定向到另一个页面或身份验证提供程序,以满足其他身份验证质询。分配的访问权限 - 管理员日志:
日志名称:Microsoft-Windows-AssignedAccess/Admin
源:Microsoft-Windows-AssignedAccess
日期: <时间戳>
事件 ID:31000
任务类别:为当前用户应用分配的访问权限。
级别:错误
用户: <用户 SID>
计算机: <计算机名称>
描述:
为当前用户应用分配的访问权限时出现“未指定”错误,注销...
原因
此行为是设计使然。
之所以出现此问题,是因为用户是需要用户交互的条件访问策略的目标。 例如,多重身份验证(MFA)或使用条款(TOU)。
解决方案
若要解决此问题,请从需要用户交互的任何条件访问策略(例如 MFA 或 TOU)中排除展台用户。
如果为 MFA 启用了展台用户,请禁用它,因为多应用展台模式方案中当前不支持 MFA。