Condividi tramite

Accedere a Visual Studio con account che richiedono l'autenticazione a più fattori (MFA)

  • Articolo

Questo articolo illustra come usare Visual Studio con account che richiedono l'autenticazione a più fattori (MFA).

Perché abilitare i criteri di autenticazione a più fattori?

Quando si collabora con utenti guest esterni, è consigliabile proteggere le app e i dati con criteri di accesso condizionale (CA), ad esempio l'autenticazione a più fattori.

Dopo l'abilitazione, gli utenti guest avranno bisogno di più di un nome utente e di una password per accedere alle risorse e devono soddisfare requisiti di sicurezza aggiuntivi. I criteri MFA possono essere applicati a livello di tenant, di app o di singolo utente, così come vengono abilitati per i membri dell'organizzazione.

Nota

Le versioni di Visual Studio precedenti alla 16.6 potrebbero avere esperienze di autenticazione ridotte quando vengono usate con gli account con criteri ca abilitati, ad esempio MFA, e sono associati a due o più tenant.

Questi problemi possono causare la richiesta di autenticazione dell'istanza di Visual Studio più volte al giorno. Potrebbe essere necessario immettere nuovamente le credenziali per i tenant autenticati in precedenza, anche durante la stessa sessione di Visual Studio.

Uso di Visual Studio con criteri MFA

È possibile accedere alle risorse protette tramite criteri ca, ad esempio MFA in Visual Studio. Per usare questo flusso di lavoro avanzato, è necessario acconsentire esplicitamente all'uso del Web browser predefinito del sistema come meccanismo per aggiungere e ripetere l'autenticazione degli account di Visual Studio.

Con Visual Studio 2022 versione 17.11, autenticazione di Windows broker è ora il flusso di lavoro predefinito per l'aggiunta e la nuova autenticazione degli account in Visual Studio.

autenticazione di Windows broker usa Web Account Manager (WAM) e offre molti vantaggi, ad esempio la sicurezza, il supporto MFA migliorato e la perfetta integrazione tra gli account aggiunti al sistema operativo e Visual Studio. L'uso di WAM come meccanismo di autenticazione in Visual Studio semplifica l'accesso alle risorse protette tramite criteri ca, ad esempio MFA.

Selezionare Gestore di autenticazione Web nell'elenco a discesa.

Se si verificano problemi con l'uso di WAM, è consigliabile usare il Web browser di sistema come alternativa per aggiungere e riautenticare gli account di Visual Studio.

Avviso

L'uso di questo flusso di lavoro potrebbe causare un'esperienza danneggiata, causando più richieste di autenticazione aggiuntive durante l'aggiunta o la nuova autenticazione degli account di Visual Studio.

Uso di autenticazione di Windows broker

Per iniziare a usare WAM come meccanismo di autenticazione in Visual Studio:

  1. Eseguire l'aggiornamento a Visual Studio 2022 versione 17.11 o successiva.

  2. Selezionare un account dalla finestra di dialogo WAM quando richiesto. Se l'account non è elencato, aggiungerlo usando Aggiungi un account.

    Aggiungere un account usando il flusso di lavoro autenticazione di Windows broker.

È possibile gestire gli account dalla finestra di dialogo Impostazioni account in Visual Studio.

L'uso di Windows Account Manager (WAM) come meccanismo di autenticazione in Visual Studio è il flusso di lavoro consigliato per l'aggiunta e la riautenticazione degli account. Tuttavia, se si verificano problemi con l'uso di WAM, è possibile passare all'uso del Web browser di sistema.

Abilitazione del Web browser di sistema

Nota

Per un'esperienza ottimale, è consigliabile cancellare i dati predefiniti del Web browser del sistema prima di procedere con questo flusso di lavoro. Inoltre, se hai account aziendali o dell'istituto di istruzione nelle impostazioni di Windows 10 in Accedi all'azienda o all'istituto di istruzione, verifica che siano autenticati correttamente.

Per abilitare il flusso di lavoro del Web browser di sistema, passare alla finestra di dialogo Opzioni di Visual Studio (Opzioni strumenti>...), selezionare la scheda Account e selezionare Il Web browser di sistema dall'elenco a discesa Aggiungi e riautentica gli account usando: .

Selezionare il Web browser di sistema dal menu.

Accedere ad account aggiuntivi con criteri di autenticazione a più fattori

Dopo aver abilitato il flusso di lavoro del Web browser di sistema, è possibile accedere o aggiungere account a Visual Studio come normalmente, tramite la finestra di dialogo Impostazioni account (Impostazioni account file > ...).

È possibile accedere o aggiungere account a Visual Studio tramite la scheda profilo o la finestra di dialogo Impostazioni account (Impostazioni account file > ...).

broker autenticazione di Windows

Dopo aver abilitato il flusso di lavoro di autenticazione di Windows broker, è possibile accedere o aggiungere account a Visual Studio come si farebbe normalmente. Web Account Manager (WAM) semplifica l'esperienza di accesso consentendo agli utenti di accedere con account noti a Windows, ad esempio l'account connesso alla sessione di Windows.

Aggiungere altri account a Visual Studio con il flusso di lavoro autenticazione di Windows broker.

Web browser di sistema

Dopo aver abilitato il flusso di lavoro del Web browser di sistema, è possibile accedere o aggiungere account a Visual Studio come normalmente.

Aggiungere un nuovo account di personalizzazione a Visual Studio.

Questa azione aprirà il Web browser predefinito del sistema, chiederà di accedere all'account e di convalidare i criteri di autenticazione a più fattori necessari.

Durante il processo di accesso, è possibile che venga visualizzato un prompt aggiuntivo che richiede di rimanere connesso. Questa richiesta verrà probabilmente visualizzata la seconda volta che viene usato un account per accedere. Per ridurre al minimo la necessità di immettere nuovamente le credenziali, è consigliabile selezionare , in quanto garantisce che le credenziali vengano mantenute tra le sessioni del browser.

Resta connesso?

In base alle attività di sviluppo e alla configurazione delle risorse, potrebbe comunque essere richiesto di immettere nuovamente le credenziali durante la sessione. Ciò può verificarsi quando si aggiunge una nuova risorsa o si tenta di accedere a una risorsa senza soddisfare i requisiti di autorizzazione CA/MFA in precedenza.

Riautenticazione di un account

In caso di problemi con l'account, Visual Studio potrebbe chiedere di immettere nuovamente le credenziali dell'account.

Screenshot che mostra l'account che richiede la riautenticazione.

Facendo clic su Re-enter your credentials (Immetti nuovamente le credenziali ) si aprirà il Web browser predefinito del sistema e si tenterà di aggiornare automaticamente le credenziali. In caso di esito negativo, verrà chiesto di accedere all'account e di convalidare i criteri di ca/MFA necessari.

Se l'account è associato a più directory di Azure Active Directory e si verifica un problema di accesso con uno o più di essi, la finestra di dialogo Immetti di nuovo le credenziali mostra le directory interessate e i codici di errore AADSTS associati.

Sarà possibile deselezionare le directory che non si desidera autenticare e continuare a eseguire regolarmente l'accesso con la home directory, nonché tutti i tenant guest che rimangono selezionati. Le directory deselezionate non saranno accessibili per un uso futuro finché il filtro dell'account non viene rimosso.

Ripetere l'autenticazione dell'account di Visual Studio.

Nota

Per un'esperienza ottimale, mantenere aperto il browser fino a quando non vengono convalidati tutti i criteri CA/MFA per le risorse. La chiusura del browser può comportare la perdita dello stato MFA compilato in precedenza e potrebbe richiedere richieste di autorizzazione aggiuntive.

Risolvere i problemi di accesso

Problemi di CA/MFA

Se si verificano problemi di CA/MFA e/o non è possibile accedere anche quando si usa il Web browser di sistema, provare la procedura seguente per risolvere il problema:

  1. Disconnettersi dall'account in Visual Studio.
  2. Selezionare Strumenti>Opzioni>Account> deselezionare Autentica in tutte le directory di Azure Active Directory.
  3. Accedi di nuovo.

Nota

Dopo questi passaggi sarà probabilmente possibile accedere, ma l'account verrà inserito in uno stato filtrato. In uno stato filtrato, saranno disponibili solo il tenant e le risorse predefiniti dell'account. Tutti gli altri tenant e risorse di Microsoft Entra diventeranno inaccessibili, ma è possibile aggiungerli manualmente.

Problemi di pre-autorizzazione

Screenshot di una finestra di dialogo di errore di pre-autorizzazione.

A partire da Visual Studio 2022 versione 17.5, se viene visualizzata la finestra di dialogo di errore precedente, provare i passaggi seguenti per risolvere il problema:

  1. Disconnettersi dall'account in Visual Studio.
  2. Accedi di nuovo.
  3. Creare un nuovo ticket Segnala un problema che spiega l'attività eseguita e/o la risorsa a cui si stava tentando di accedere prima di riscontrare il problema.

Nota

La creazione di un ticket consentirà di identificare le aree problematiche e fornire i log necessari per analizzare e risolvere il problema.

Errori di Gestione account Web (WAM)

Se si verificano errori quando si usa il flusso di lavoro di autenticazione di Windows broker per l'accesso a Visual Studio, seguire l'azione elencata nella finestra di dialogo di errore per risolvere o segnalare il problema. Usare i collegamenti nella finestra di dialogo per altre informazioni sull'errore o per visualizzare i log degli errori.

Errore TPM (Trusted Platform Module)

Ad esempio, se viene visualizzata la finestra di dialogo di errore seguente, è possibile tentare di risolvere il problema seguendo le istruzioni per la risoluzione degli errori TPM.

Screenshot di una finestra di dialogo di errore di WAM con l'opzione modifica del meccanismo di autenticazione per risolvere l'errore.

Se è necessario passare a un meccanismo di autenticazione diverso da Windows Broker, è possibile passare seguendo le istruzioni per abilitare il Web browser di sistema. Se queste istruzioni non funzionano e si dispone di un contratto di supporto, aprire un ticket di supporto al supporto tecnico

Come rifiutare esplicitamente l'uso di un tenant Microsoft Entra specifico in Visual Studio

Visual Studio 2019 versione 16.6 e successive offre la flessibilità necessaria per filtrare i tenant singolarmente o a livello globale, nascondendoli in modo efficace da Visual Studio. Il filtro elimina la necessità di eseguire l'autenticazione con tale tenant, ma significa anche che non sarà possibile accedere alle risorse associate.

Questa funzionalità è utile quando si hanno più tenant, ma si vuole ottimizzare l'ambiente di sviluppo specificando un subset specifico. Può anche essere utile nelle istanze in cui non è possibile convalidare un determinato criterio CA/MFA, in quanto è possibile filtrare il tenant che causa l'offesa.

Come filtrare tutti i tenant

Per filtrare a livello globale tutti i tenant, aprire la finestra di dialogo Impostazioni account (Impostazioni account file > ... > Opzioni account) e deselezionare la casella di controllo Autentica in tutte le directory di Azure Active Directory.

Se si deseleziona questa opzione, si garantisce l'autenticazione solo con il tenant predefinito dell'account. Significa anche che non sarà possibile accedere ad alcuna risorsa associata ad altri tenant in cui l'account potrebbe essere un guest.

Come filtrare i singoli tenant

Per filtrare i tenant associati all'account di Visual Studio, aprire la finestra di dialogo Impostazioni account (Impostazioni account file > ...) e fare clic su Applica filtro.

Applica filtro.

Verrà visualizzata la finestra di dialogo Filtro account , che consente di selezionare i tenant da usare con l'account.

Selezionare account da filtrare.

Dopo aver deselezionato il tenant da filtrare, le impostazioni account e le finestre di dialogo Filtra account mostreranno lo stato filtrato.

Screenshot che mostra lo stato del tenant filtrato nelle impostazioni account e nelle finestre di dialogo Filtra account

Errori di rete con Visual Studio

Durante l'accesso, Visual Studio potrebbe riscontrare errori correlati alla rete che in genere non sono problemi del prodotto Visual Studio e potrebbe essere necessario esaminare il supporto IT locale.

Errore "Autorizzazione proxy richiesta

Se il computer o l'organizzazione usa misure di sicurezza come un firewall o un server proxy, assicurarsi di seguire i requisiti per usare Visual Studio dietro un proxy o un firewall.

Errori SSL

Gli errori SSL possono venire in un'ampia gamma di moduli. Alcuni esempi sono:

  • "La connessione sottostante è stata chiusa"
  • "Impossibile stabilire la connessione SSL"
  • "Impossibile creare un canale sicuro SSL/TLS"
  • "Una connessione esistente è stata chiusa forzatamente dall'host remoto". Ciò può essere dovuto anche ai firewall che bloccano la connessione.
  • "La connessione sottostante è stata chiusa: si è verificato un errore imprevisto all'invio"

Questi errori possono essere causati dai seguenti:

  1. Proxy aziendale o firewall che blocca determinate versioni di TLS
  2. TLS 1.3 è abilitato nel computer, ma la rete non la supporta. È possibile provare a disabilitare TLS 1.3 nel computer per verificare se questo è il caso.
  3. Criteri di gruppo che limitano gli algoritmi SSL consentiti e questo elenco di elementi consentiti non corrisponde a quello previsto dal server.

Le risorse seguenti potrebbero essere utili per la risoluzione dei problemi ssl:

Disabilitare TLS 1.3

1.3: [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.3\Client] "DisabledByDefault"=dword:00000001 "Enabled"=dword:000000000

Errori di connessione rifiutati

"Non è stato possibile stabilire alcuna connessione perché il computer di destinazione lo ha rifiutato attivamente"

Questo errore indica quando Visual Studio sta tentando di stabilire una connessione a un endpoint Internet il computer ha rifiutato la connessione.

Cause comuni:

  • Se l'indirizzo "127.0.0.1" si trova nel messaggio di errore, significa che è stata tentata una connessione a un server proxy locale, ma il server proxy locale non era in esecuzione.

  • Connessione VPN: provare a disconnettersi da qualsiasi VPN e ritentare la connessione. Se funziona, è necessario contattare il provider VPN o l'amministratore di rete. Sono inclusi i servizi VPN aziendali o VPN di terze parti.

  • DNS: la ricerca del dominio nel computer è stata risolta in un indirizzo che non punta al server previsto. Ciò significa che la connessione si trova in un computer diverso che non esegue i servizi previsti e rifiuta la connessione. Per eseguire il debug di questo problema, è possibile usare strumenti come NsLookup e confrontarli con gli intervalli IP di Azure e i tag del servizio.

  • IPV6: alcuni computer hanno IPV6 abilitato, ma la rete non supporta il protocollo. In questo caso è possibile che venga visualizzato un messaggio di connessione rifiutato perché il server non è stato trovato. Provare a disabilitare IPV6 nel computer per verificare se la connessione funziona.

  • Problemi SSL: vedere Errori SSL.

  • Proxy o firewall nella rete: se è presente un proxy o un firewall in rete, sarà il primo dispositivo con cui la connessione tenta di comunicare e potrebbe essere quella che rifiuta la connessione. È possibile determinare se il firewall o il server proxy blocca le connessioni chiedendo all'amministratore di rete. In alternativa, esaminare le tracce di rete può indicare il computer a cui viene stabilita la connessione e identificare chi lo rifiuta. Se si tratta di un indirizzo di rete interno, significa che il proxy o il firewall ha bloccato la connessione. Se si tratta di un indirizzo IP esterno, questo significa in genere problemi DNS, IPV6 o SSL.

I problemi correlati alla rete sono in genere correlati al computer o alla configurazione di rete anziché a Visual Studio. La community degli sviluppatori può fornire supporto, ma è incentrata sulle funzionalità all'interno di Visual Studio anziché sulla configurazione del computer. Per il supporto specifico della rete, il supporto tecnico o della community di supporto tecnico Microsoft può essere utile.

Errori al primo avvio

È possibile che si verifichino errori durante l'avvio di Visual Studio per la prima volta. La finestra di dialogo di errore mostrerà il problema che impediva l'apertura di Visual Studio.

Accesso negato

È possibile che venga visualizzato uno degli errori seguenti:

Screenshot che mostra l'errore Accesso al percorso 'C:\Users\<UserName>\AppData\Local\. IdentityService\<Il nome> file è negato.

Screenshot che mostra l'errore Accesso al percorso 'C:\Users\<UserName>\AppData\Local\. IdentityService\' viene negato.

Se si verificano questi errori, chiudere eventuali istanze aperte di Visual Studio ed eliminare il file o la directory menzionata nel messaggio di errore per risolvere il problema.

Prima di eliminare il file, controllare le autorizzazioni di sicurezza per il file e prendere in considerazione la registrazione di un ticket di feedback della community degli sviluppatori. Ciò consentirà di comprendere meglio il motivo per cui viene negato l'accesso a questi file o directory.

Nel ticket di feedback includere le informazioni seguenti per consentirci di analizzare il problema:

  1. Descrizione o screenshot dei gruppi e degli utenti con autorizzazioni per il file o la directory menzionata nell'errore. Per visualizzare questa operazione, fare clic con il pulsante destro del mouse sul file o sulla directory, quindi scegliere Proprietà>Sicurezza.
  2. L'account utente usato per eseguire Visual Studio.
  3. Se l'errore persiste quando si avvia Visual Studio una seconda volta.

Contenuto correlato