Freigeben über

Benutzer können sich nicht bei Windows anmelden, wenn ein Kioskprofil mit mehreren Apps zugewiesen ist

  • Artikel

Dieser Artikel hilft Ihnen, ein Problem zu beheben, bei dem sich ein Benutzer nicht bei einem Microsoft Entra-Computer anmelden kann, der windows 10 beigetreten ist, wenn ein Kioskprofil mit mehreren Apps zugewiesen ist.

Problembeschreibung

Wenn ein Benutzer versucht, sich bei einem Windows 10-Computer mit Microsoft Entra anzumelden, dem ein Kioskprofil mit mehreren Apps zugewiesen ist, schlägt der Versuch sofort fehl, bevor das Benutzerprofil geladen wird.

Screenshot: Seite für die Anmeldung.

Screenshot der Seite

In diesem Fall ist der Kioskprofil-Anmeldetyp Microsoft Entra-Benutzer oder -Gruppe. Darüber hinaus verwendet der Windows 10-Computer ein lokales Konto, und Sie sehen die folgenden Fehlermeldungen in den Ereignisanzeige Protokollen:

  • Microsoft Entra ID - Betriebsprotokolle (Beispiel 1 – MFA über bedingten Zugriff erforderlich):

    Protokollname: Microsoft-Windows-AAD/Operational
    Quelle: Microsoft-Windows-AAD
    Datum: <Zeitstempel>
    Ereignis-ID 1098:
    Aufgabenkategorie: AadTokenBrokerPlugin-Vorgang
    Ebene: Fehler
    Schlüsselwörter: Fehler,Fehler
    Benutzer: <Benutzer-SID>
    Computer: <Computername>
    Beschreibung:
    Fehler: 0xCAA2000C Die Anforderung erfordert eine Benutzerinteraktion.
    Code: interaction_required
    Beschreibung: AADSTS50076: Aufgrund einer Vom Administrator vorgenommenen Konfigurationsänderung oder weil Sie an einen neuen Speicherort verschoben haben, müssen Sie die mehrstufige Authentifizierung verwenden, um auf "0000000000-0000-0000-c0000-000000000000" zuzugreifen.

  • Microsoft Entra-ID – Betriebsprotokolle (Beispiel 2 – Nutzungsbedingungen ( TOU) erforderlich über bedingten Zugriff):

    Protokollname: Microsoft-Windows-AAD/Operational
    Quelle: Microsoft-Windows-AAD
    Datum: <Zeitstempel>
    Ereignis-ID 1098:
    Aufgabenkategorie: AadTokenBrokerPlugin-Vorgang
    Ebene: Fehler
    Schlüsselwörter: Fehler,Fehler
    Benutzer: <Benutzer-SID>
    Computer: <Computername>
    Beschreibung:
    Fehler: 0xCAA2000C Die Anforderung erfordert eine Benutzerinteraktion.
    Code: interaction_required
    Beschreibung: AADSTS50158: Externe Sicherheitsabfrage nicht erfüllt. Der Benutzer wird an eine andere Seite oder einen anderen Authentifizierungsanbieter umgeleitet, um zusätzliche Authentifizierungsproblemen zu erfüllen.

  • Zugewiesener Zugriff – Administratorprotokolle:

    Protokollname: Microsoft-Windows-AssignedAccess/Admin
    Quelle: Microsoft-Windows-AssignedAccess
    Datum: <Zeitstempel>
    Ereignis-ID: 31000
    Aufgabenkategorie: Anwenden des zugewiesenen Zugriffs für den aktuellen Benutzer.
    Ebene: Fehler
    Benutzer: <Benutzer-SID>
    Computer: <Computername>
    Beschreibung:
    Fehler Nicht angegebener Fehler beim Anwenden des zugewiesenen Zugriffs für den aktuellen Benutzer, Abmelden...

Ursache

Dieses Verhalten ist beabsichtigt.

Dieses Problem tritt auf, da die Benutzer auf Richtlinien für bedingten Zugriff abzielen, die eine Benutzerinteraktion erfordern. Beispiel: mehrstufige Authentifizierung (Multi-Factor Authentication, MFA) oder Nutzungsbedingungen (TOU).

Lösung

Um dieses Problem zu beheben, schließen Sie die Kioskbenutzer von allen Richtlinien für bedingten Zugriff aus, die eine Benutzerinteraktion erfordern, z. B. MFA oder TOU.

Wenn der Kioskbenutzer für MFA aktiviert ist, deaktivieren Sie ihn, da MFA derzeit in Szenarien im Kioskmodus mit mehreren Apps nicht unterstützt wird.