Condividi tramite

Accedere a Visual Studio con account che richiedono l'autenticazione a più fattori (MFA)

  • Articolo

Questo articolo illustra come usare Visual Studio con account che richiedono l'autenticazione a più fattori (MFA).

Perché abilitare le politiche di autenticazione a più fattori?

Quando si collabora con utenti guest esterni, è consigliabile proteggere le app e i dati con criteri di accesso condizionale (CA), ad esempio l'autenticazione a più fattori (MFA).

Dopo l'abilitazione, gli utenti guest avranno bisogno di più di un nome utente e di una password per accedere alle risorse e devono soddisfare requisiti di sicurezza aggiuntivi. I criteri di autenticazione a più fattori possono essere applicati a livello di tenant, app o utente guest singolo, allo stesso modo in cui sono abilitati per i membri della propria organizzazione.

Nota

Le versioni di Visual Studio precedenti alla 16.6 potrebbero avere esperienze di autenticazione degradate quando vengono usate con account aventi criteri di Accesso Condizionale abilitati, ad esempio MFA, e associati a due o più tenant.

Questi problemi possono causare la richiesta di autenticazione dell'istanza di Visual Studio più volte al giorno. Potrebbe essere necessario immettere nuovamente le credenziali per i tenant autenticati in precedenza, anche durante la stessa sessione di Visual Studio.

Uso di Visual Studio con criteri MFA

È possibile accedere alle risorse protette tramite criteri CA come l'MFA in Visual Studio. Per usare questo flusso di lavoro avanzato, è necessario acconsentire esplicitamente all'uso del Web browser predefinito del sistema come meccanismo per aggiungere e ripetere l'autenticazione degli account di Visual Studio.

Con Visual Studio 2022 versione 17.11, Il broker di autenticazione di Windows è ora il flusso di lavoro predefinito per l'aggiunta e la nuova autenticazione degli account in Visual Studio.

Il broker di autenticazione di Windows usa Web Account Manager (WAM) e offre molti vantaggi, ad esempio la sicurezza, il supporto MFA migliorato e l'integrazione senza problemi tra gli account aggiunti al sistema operativo e Visual Studio. L'uso di WAM come meccanismo di autenticazione in Visual Studio semplifica l'accesso alle risorse protette tramite criteri ca, ad esempio MFA.

Selezionare Broker di autenticazione Web dall'elenco a discesa.

Se si verificano problemi di con l'uso di WAM, è consigliabile usare il Web browser di sistema come alternativa per aggiungere e autenticare nuovamente gli account di Visual Studio.

Avvertimento

Il mancato utilizzo di questo flusso di lavoro potrebbe portare a un'esperienza degradata, con il risultato di più richieste di autenticazione aggiuntive quando si aggiungono o si ri-autenticano gli account di Visual Studio.

Uso del broker di autenticazione di Windows

Per iniziare a usare WAM come meccanismo di autenticazione in Visual Studio:

  1. Eseguire l'aggiornamento a Visual Studio 2022 versione 17.11 o successiva.

  2. Selezionare un account dalla finestra di dialogo WAM quando richiesto. Se l'account non è elencato, aggiungilo usando Aggiungi un account.

    Aggiungere un account usando il flusso di lavoro del broker di autenticazione di Windows.

È possibile gestire gli account dalla finestra di dialogo Impostazioni Account in Visual Studio.

L'uso di Windows Account Manager (WAM) come meccanismo di autenticazione in Visual Studio è il flusso di lavoro consigliato per l'aggiunta e la riautenticazione degli account. Tuttavia, se si verificano problemi di con l'uso di WAM, è possibile passare a utilizzare il browser web di sistema.

Abilitazione del Web browser di sistema

Nota

Per un'esperienza ottimale, è consigliabile cancellare i dati predefiniti del Web browser del sistema prima di procedere con questo flusso di lavoro. Inoltre, se hai account aziendali o dell'istituto di istruzione nelle impostazioni di Windows 10 in Accedi all'azienda o all'istituto di istruzione, verifica che siano autenticati correttamente.

Per abilitare il flusso di lavoro del browser web di sistema , passare alla finestra di dialogo Opzioni di Visual Studio (Strumenti > Opzioni...), selezionare la scheda Account e selezionare Browser web di sistema dal menu a discesa Aggiungi e ripeti autenticazione account usando:.

Selezionare il Web browser di sistema dal menu.

Accedere ad account aggiuntivi con criteri di autenticazione a più fattori

Dopo aver abilitato il flusso di lavoro del Web browser di sistema, è possibile accedere o aggiungere account a Visual Studio come si farebbe normalmente, tramite la finestra di dialogo Impostazioni account (File > Impostazioni account...).

È possibile accedere o aggiungere account a Visual Studio tramite la scheda profilo o la finestra di dialogo Impostazioni account (Impostazioni account > file...).

broker di autenticazione di Windows

Dopo aver abilitato il flusso di lavoro del broker di autenticazione di Windows, è possibile accedere o aggiungere account a Visual Studio come normalmente. Web Account Manager (WAM) semplifica l'esperienza di accesso consentendo agli utenti di accedere con account noti a Windows, ad esempio l'account connesso alla sessione di Windows.

Aggiungere altri account a Visual Studio con il flusso di lavoro del broker di autenticazione di Windows.

Web browser di sistema

Dopo aver abilitato il flusso di lavoro del Web browser di sistema, è possibile accedere o aggiungere account a Visual Studio come normalmente.

Aggiungere un nuovo account di personalizzazione a Visual Studio.

Questa azione aprirà il browser web predefinito del sistema, ti chiederà di accedere al tuo account e di convalidare qualsiasi politica di autenticazione a più fattori necessaria.

Durante il processo di accesso, è possibile che venga visualizzato un prompt aggiuntivo che richiede di rimanere connesso. Questa richiesta verrà probabilmente visualizzata la seconda volta che viene usato un account per accedere. Per ridurre al minimo la necessità di immettere nuovamente le credenziali, è consigliabile selezionare , in quanto garantisce che le credenziali vengano mantenute tra le sessioni del browser.

Resta connesso?

In base alle attività di sviluppo e alla configurazione delle risorse, potrebbe comunque essere richiesto di immettere nuovamente le credenziali durante la sessione. Ciò può verificarsi quando si aggiunge una nuova risorsa o si tenta di accedere a una risorsa senza soddisfare i requisiti di autorizzazione CA/MFA in precedenza.

Riautenticazione di un account

In caso di problemi con l'account, Visual Studio potrebbe chiedere di immettere nuovamente le credenziali dell'account.

Screenshot che mostra l'account che richiede la riautenticazione.

Facendo clic su Immettere nuovamente le credenziali aprirà il Web browser predefinito del sistema e tenterà di aggiornare automaticamente le credenziali. In caso di esito negativo, verrà chiesto di accedere all'account e di convalidare i criteri di CA/MFA necessari.

Se l'account è associato a più Azure Active Directory e si verifica un problema di accesso con una o più di esse, la finestra di dialogo Rieseguire l'accesso mostrerà le directory interessate e i relativi codici di errore AADSTS .

Sarà possibile deselezionare le directory che non si desidera riautenticare e continuare ad effettuare un'operazione di accesso normale con la home directory, e con tutti i tenant ospiti che rimangono selezionati. Le directory deselezionate non saranno accessibili per un uso futuro finché il filtro dell'account non verrà rimosso.

riautenticare l'account di Visual Studio.

Nota

Per un'esperienza ottimale, mantenere aperto il browser fino a quando non vengono convalidati tutti i criteri CA/MFA per le risorse. La chiusura del browser può comportare la perdita dello stato MFA compilato in precedenza e potrebbe richiedere richieste di autorizzazione aggiuntive.

Risolvere i problemi di accesso

Problemi di CA/MFA

Se si verificano problemi di CA/MFA e/o non è possibile accedere anche quando si usa il Web browser di sistema, provare la procedura seguente per risolvere il problema:

  1. Disconnettersi dall'account in Visual Studio.
  2. Selezionare Strumenti>Opzioni>Account> Deselezionare Autentica in tutte le Azure Active Directories.
  3. Accedi di nuovo.

Nota

Dopo questi passaggi sarà probabilmente possibile accedere, ma l'account verrà inserito in uno stato filtrato. In uno stato filtrato, saranno disponibili solo il tenant e le risorse predefiniti dell'account. Tutti gli altri tenant e risorse di Microsoft Entra diventano inaccessibili, ma è possibile aggiungerli manualmente.

Problemi di pre-autorizzazione

Screenshot di una finestra di dialogo di errore di pre-autorizzazione.

A partire da Visual Studio 2022 versione 17.5, se viene visualizzata la finestra di dialogo di errore precedente, provare i passaggi seguenti per risolvere il problema:

  1. Disconnettersi dall'account in Visual Studio.
  2. Accedi di nuovo.
  3. Creare un nuovo Segnalare un problema ticket che spiega l'attività eseguita e/o la risorsa a cui si stava tentando di accedere prima di riscontrare il problema.

Nota

La creazione di un ticket consentirà di identificare le aree problematiche e fornire i log necessari per analizzare e risolvere il problema.

Errori di gestione Account Web (WAM)

Se si verificano errori quando si usa il flusso di lavoro del broker di autenticazione di Windows per l'accesso a Visual Studio, seguire l'azione elencata nella finestra di dialogo di errore per risolvere o segnalare il problema. Usare i collegamenti nella finestra di dialogo per altre informazioni sull'errore o per visualizzare i log degli errori.

Errore TPM (Trusted Platform Module)

Ad esempio, se viene visualizzata la finestra di dialogo di errore seguente, è possibile provare a risolvere il problema seguendo le istruzioni risoluzione degli errori TPM.

Screenshot di una finestra di dialogo di errore WAM con l'opzione per modificare il meccanismo di autenticazione per risolvere l'errore.

Se è necessario passare a un meccanismo di autenticazione diverso da Windows Broker, è possibile passare seguendo le istruzioni per abilitare il Web browser di sistema. Se queste istruzioni non funzionano e si dispone di un contratto di supporto, aprire un ticket di supporto all'indirizzo supporto tecnico

Come rifiutare esplicitamente l'uso di un tenant Microsoft Entra specifico in Visual Studio

Visual Studio 2019 versione 16.6 e successive offre la flessibilità necessaria per filtrare i tenant singolarmente o a livello globale, nascondendoli efficacemente da Visual Studio. Il filtro elimina la necessità di eseguire l'autenticazione con tale tenant, ma significa anche che non sarà possibile accedere alle risorse associate.

Questa funzionalità è utile quando si hanno più tenant, ma si vuole ottimizzare l'ambiente di sviluppo specificando un subset specifico. Può anche essere utile nei casi in cui non è possibile verificare una particolare politica CA/MFA, in quanto è possibile filtrare il tenant responsabile.

Come filtrare tutti i tenant

Per filtrare a livello globale tutti i tenant, aprire la finestra di dialogo Impostazioni account (File > Impostazioni account... > Opzioni account) e deselezionare la casella di controllo Autentica in tutte le Azure Active Directories.

Se si deseleziona questa opzione, si garantisce l'autenticazione solo con il tenant predefinito dell'account. Significa anche che non potrai accedere ad alcuna risorsa associata ad altri tenant in cui l'account potrebbe essere un ospite.

Come filtrare i singoli tenant

Per filtrare i tenant associati all'account di Visual Studio, aprire la finestra di dialogo Impostazioni account (Impostazioni account > file...) e fare clic su Applica filtro.

Applica filtro.

La finestra di dialogo Filtro account verrà visualizzata, consentendo di selezionare quali inquilini desideri utilizzare con il tuo account.

Selezionare l'account da filtrare.

Dopo aver deselezionato il tenant da filtrare, le Impostazioni account e le finestre di dialogo Filtro account mostreranno lo stato dopo il filtraggio.

Screenshot che mostra lo stato del tenant filtrato nelle impostazioni account e nelle finestre di dialogo Filtra account

Errori di rete con Visual Studio

Durante l'accesso, Visual Studio potrebbe riscontrare errori correlati alla rete che in genere non sono problemi del prodotto Visual Studio e potrebbe essere necessario esaminare il supporto IT locale.

Errore "Autorizzazione proxy richiesta

Se il computer o l'organizzazione usa misure di sicurezza come un firewall o un server proxy, assicurarsi di seguire i requisiti per usare Visual Studio dietro un proxy o un firewall.

Errori SSL (Layer di connessione sicura)

Gli errori SSL possono presentarsi in una varietà di forme. Ecco alcuni esempi:

  • "La connessione sottostante è stata chiusa"
  • "Impossibile stabilire la connessione SSL"
  • "Impossibile creare un canale sicuro SSL/TLS"
  • "Una connessione esistente è stata chiusa forzatamente dall'host remoto". Ciò può essere dovuto anche ai firewall che bloccano la connessione.
  • "La connessione sottostante è stata chiusa: si è verificato un errore imprevisto all'invio"

Questi errori possono essere causati dai seguenti:

  1. Proxy aziendale o firewall che blocca determinate versioni di TLS
  2. TLS 1.3 è abilitato nel computer, ma la rete non la supporta. È possibile provare a disabilitare TLS 1.3 nel computer per verificare se questo è il caso.
  3. Criteri di gruppo che limitano gli algoritmi SSL consentiti e questo elenco di elementi consentiti non corrisponde a quello previsto dal server.

Le risorse seguenti potrebbero essere utili per la risoluzione dei problemi ssl:

Disabilitare TLS 1.3

1.3: [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.3\Client] "DisabledByDefault"=dword:00000001 "Enabled"=dword:00000000

Errori di connessione rifiutata

"Non è stato possibile stabilire alcuna connessione perché il computer di destinazione lo ha rifiutato attivamente"

Questo errore indica quando Visual Studio sta tentando di stabilire una connessione a un endpoint Internet il computer ha rifiutato la connessione.

Cause comuni:

  • Se l'indirizzo "127.0.0.1" si trova nel messaggio di errore, significa che è stata tentata una connessione a un server proxy locale, ma il server proxy locale non era in esecuzione.

  • Connessione VPN: provare a disconnettersi da qualsiasi VPN e ritentare la connessione. Se funziona, è necessario contattare il provider VPN o l'amministratore di rete. Sono inclusi i servizi VPN aziendali o VPN di terze parti.

  • DNS: la ricerca del dominio nel computer ha restituito un indirizzo che non punta al server atteso. Ciò significa che la connessione si trova in un computer diverso che non esegue i servizi previsti e rifiuta la connessione. Per eseguire il debug di questo problema, è possibile usare strumenti come NsLookup e confrontarli con gli intervalli IP di Azure e i tag del servizio.

  • IPV6: alcuni computer hanno IPV6 abilitato, ma la rete non supporta il protocollo. In questo caso è possibile che venga visualizzato un messaggio di connessione rifiutato perché il server non è stato trovato. Provare a disabilitare IPV6 nel computer per verificare se la connessione funziona.

  • Problemi SSL - Vedere errori SSL ai numeri e.

  • Proxy o firewall nella rete: se è presente un proxy o un firewall in rete, sarà il primo dispositivo con cui la connessione tenta di comunicare e potrebbe essere quella che rifiuta la connessione. È possibile determinare se il firewall o il server proxy blocca le connessioni chiedendo all'amministratore di rete. In alternativa, esaminare le tracce di rete può indicare il computer a cui viene stabilita la connessione e identificare chi lo rifiuta. Se si tratta di un indirizzo di rete interno, significa che il proxy o il firewall ha bloccato la connessione. Se si tratta di un indirizzo IP esterno, questo significa in genere problemi DNS, IPV6 o SSL.

I problemi correlati alla rete sono in genere correlati al computer o alla configurazione di rete anziché a Visual Studio. Developer Community può fornire supporto, ma è incentrato sulle funzionalità all'interno di Visual Studio anziché sulla configurazione del computer. Per il supporto specifico della rete, l'della community di supporto tecnico di Microsoft o può essere utile.

Errori al primo avvio

È possibile che si verifichino errori durante l'avvio di Visual Studio per la prima volta. La finestra di dialogo di errore mostrerà il problema che impediva l'apertura di Visual Studio.

Accesso negato

È possibile che venga visualizzato uno degli errori seguenti:

Screenshot che mostra l'errore L'accesso al percorso 'C:\Users\<UserName>\AppData\Local\.IdentityService\<Qualche nome di file>' è negato.

Screenshot che mostra l'errore Accesso al percorso 'C:\Users\<UserName>\AppData\Local\. IdentityService\' viene negato.

Se si verificano questi errori, chiudere eventuali istanze aperte di Visual Studio ed eliminare il file o la directory menzionata nel messaggio di errore per risolvere il problema.

Prima di eliminare il file, controllare le autorizzazioni di sicurezza per il file e prendere in considerazione la registrazione di un ticket di feedback Developer Community. Ciò consentirà di comprendere meglio il motivo per cui viene negato l'accesso a questi file o directory.

Nel ticket di feedback includere le informazioni seguenti per consentirci di analizzare il problema:

  1. Descrizione o screenshot dei gruppi e degli utenti con autorizzazioni per il file o la directory menzionata nell'errore. Per visualizzare questa operazione, fare clic con il pulsante destro del mouse sul file o sulla directory, quindi selezionare Proprietà>Sicurezza.
  2. L'account utente usato per eseguire Visual Studio.
  3. Se l'errore persiste quando si avvia Visual Studio una seconda volta.

Contenuto correlato