Войдите в Visual Studio с учетными записями, для которых требуется многофакторная проверка подлинности (MFA)

В этой статье описано, как использовать Visual Studio с учетными записями, для которых требуется многофакторная проверка подлинности (MFA).

Почему использовать политики многофакторной аутентификации?

При совместной работе с внешними гостевыми пользователями рекомендуется защитить приложения и данные с помощью политик условного доступа (ЦС), таких как многофакторной проверки подлинности (MFA).

После включения гостевые пользователи потребуют больше имени пользователя и пароля для доступа к ресурсам и должны соответствовать дополнительным требованиям безопасности. Политики MFA могут применяться на уровне клиента, приложения или отдельного гостевого пользователя, так же, как они включены для членов вашей организации.

Заметка

Версии Visual Studio до 16.6 могут привести к ухудшению качества аутентификации при использовании с учетными записями, которые включили политики Условного Доступа (УД), такие как MFA, и связаны с двумя или более арендаторами.

Эти проблемы могут привести к тому, что ваша установка Visual Studio будет запрашивать повторную аутентификацию несколько раз в день. Возможно, вам придется повторно ввести учетные данные для ранее прошедших проверку подлинности клиентов, даже во время одного сеанса Visual Studio.

Использование Visual Studio с политиками MFA

Благодаря Visual Studio 2022 версии 17.11брокер проверки подлинности Windows теперь является рабочим процессом по умолчанию для добавления и повторной проверки подлинности учетных записей в Visual Studio.

Брокер проверки подлинности Windows использует диспетчер веб-учетных записей (WAM) и предлагает множество преимуществ, таких как безопасность, улучшенная поддержка MFA и простая интеграция учетных записей, добавленных в ОС и Visual Studio. Использование WAM в качестве механизма проверки подлинности в Visual Studio упрощает доступ к ресурсам, защищенным с помощью политик ЦС, таких как MFA.

Если возникают проблемы с использованием WAM, рекомендуется использовать системный веб-браузер в качестве альтернативы добавлению и повторной проверки подлинности учетных записей Visual Studio.

Предупреждение

Неиспользование этого рабочего процесса может привести к ухудшению опыта, вызвав множественные дополнительные запросы на аутентификацию при добавлении или повторной проверке подлинности учетных записей Visual Studio.

Использование брокера проверки подлинности Windows

Чтобы начать использовать WAM в качестве механизма проверки подлинности в Visual Studio:

1. Обновите до Visual Studio 2022 версии 17.11 или более поздней.

2. При появлении запроса выберите учетную запись в диалоговом окне WAM. Если учетной записи нет в списке, добавьте ее, выбрав Добавить учетную запись.

   

Вы можете управлять учетными записями из диалогового окна "Параметры учетной записи" в Visual Studio.

Использование диспетчера учетных записей Windows (WAM) в качестве механизма проверки подлинности в Visual Studio является рекомендуемым рабочим процессом для добавления и повторной проверки подлинности учетных записей. Однако при возникновении проблем с с использованием WAMможно переключиться на использование системного веб-браузера.

Включение системного веб-браузера

Заметка

Для оптимального опыта, мы рекомендуем очистить данные веб-браузера по умолчанию вашей системы, прежде чем продолжить выполнение этого процесса. Кроме того, если у вас в параметрах Windows 10 в разделе Доступ к рабочим или учебным учетным записяместь такие учетные записи, убедитесь, что они успешно аутентифицированы.

Чтобы включить рабочий процесс системного веб-браузера, перейдите в диалоговое окно "Параметры" Visual Studio (Средства > Параметры...), выберите вкладку Учетные записи и выберите Системный веб-браузер из раскрывающегося списка "Добавление и повторная проверка подлинности учетных записей с помощью:".

Вход в дополнительные учетные записи с помощью политик MFA

Вы можете войти или добавить учетные записи в Visual Studio с помощью карточки профиля или диалогового окна "Параметры учетной записи" (Параметры учетной записи >...).

брокер проверки подлинности Windows

После включения рабочего процесса брокера проверки подлинности Windows вы можете войти или добавить учетные записи в Visual Studio, как обычно. Диспетчер веб-учетных записей (WAM) упрощает вход, позволяя пользователям входить с учетными записями, распознаваемыми Windows, например, учетной записью, вошедшей в сеанс Windows.

системный веб-браузер

После включения рабочего процесса системного веб-браузера вы сможете войти в Visual Studio или добавить учетные записи, как обычно.

Это действие откроет веб-браузер по умолчанию системы, попросит вас войти в учетную запись и проверить любую необходимую политику MFA.

Во время входа система может попросить вас остаться в системе. Эта строка, скорее всего, будет отображаться во второй раз, когда учетная запись используется для входа. Чтобы свести к минимуму необходимость повторного ввода учетных данных, рекомендуется выбрать Да, так как это гарантирует сохранение учетных данных в сеансах браузера.

На основе ваших действий разработки и конфигурации ресурсов может потребоваться повторно ввести учетные данные во время сеанса. Это может произойти при добавлении нового ресурса или попытке доступа к ресурсу без выполнения требований авторизации ЦС/MFA.

Повторная проверка подлинности учетной записи

Если возникла проблема с вашей учетной записью, Visual Studio может попросить повторно ввести учетные данные учетной записи.

Щелкнув Повторно введите учетные данные, откроет веб-браузер вашей системы по умолчанию и попытается автоматически обновить учетные данные. В случае неудачи вам предложат войти в свою учетную запись и подтвердить выполнение любых необходимых политик условного доступа/многофакторной аутентификации.

Если ваша учетная запись связана с несколькими каталогами Azure Active Directory и у вас возникнет проблема с доступом к одному или нескольким из них, в диалоговом окне повторно введите учетные данные будут показаны затронутые каталоги, а также связанные с ними коды ошибок AADSTS.

Вы сможете отменять выбор любых каталогов, которые не требуется повторно выполнять проверку подлинности, и продолжать регулярной операции входа в домашний каталог, а также всех гостевых клиентов, которые остаются выбранными. Удаленные каталоги не будут доступны для дальнейшего использования, пока не будет удален фильтр учетной записи .

Заметка

Для наилучшего опыта оставьте браузер открытым до тех пор, пока не будут проверены все политики контроля доступа/многофакторной аутентификации для ваших ресурсов. Закрытие браузера может привести к потере ранее созданного состояния MFA и может запрашивать дополнительные запросы авторизации.

Устранение неполадок при входе

Проблемы с удостоверяющим центром/MFA

Если у вас возникли проблемы с ЦС/MFA и /или не удается войти даже при использовании системного веб-браузера, выполните следующие действия, чтобы устранить эту проблему:

1. Выйдите из учетной записи в Visual Studio.
2. Выберите Средства>Параметры>Учетные записи> Снять галочку с аутентификации во всехAzure Active Directory.
3. Снова войдите.

Заметка

После выполнения этих действий вы, скорее всего, сможете войти в систему, но ваша учетная запись будет помещена в отфильтрованное состояние. В состоянии фильтрации будут доступны только арендатор по умолчанию и ресурсы вашей учетной записи. Все остальные клиенты и ресурсы Microsoft Entra становятся недоступными, но вы можете вручную добавить их обратно.

Проблемы с предварительной авторизацией

Начиная с Visual Studio 2022 версии 17.5, если отображается предыдущее диалоговое окно об ошибке, выполните следующие действия, чтобы устранить проблему:

1. Выйдите из учетной записи в Visual Studio.
2. Снова войдите.
3. Создайте новый запрос «Сообщите о проблеме», объяснив действия, которые вы выполняли, и/или ресурс, к которому вы пытались получить доступ, прежде чем столкнуться с проблемой.

Заметка

Создание тикета поможет нам определить проблемные участки и предоставить необходимые логи для изучения и решения проблемы.

Ошибки диспетчера веб-учетных записей (WAM)

Если при использовании рабочего процесса брокера проверки подлинности Windows при входе в Visual Studioвозникают ошибки, выполните действия, перечисленные в диалоговом окне ошибки, чтобы устранить или сообщить о проблеме. Используйте ссылки в диалоговом окне, чтобы узнать больше об ошибке или просмотреть журналы ошибок.

Ошибка TPM (доверенный модуль платформы)

Например, если появляется следующее диалоговое окно с ошибкой, вы можете попытаться устранить проблему, следуя инструкциям: устранение ошибки TPM.

Если необходимо переключиться на механизм проверки подлинности, отличный от брокера Windows, можно переключиться, следуя инструкциям, чтобы включить системный веб-браузер. Если эти инструкции не работают и у вас есть контракт на поддержку, откройте запрос в службу поддержки технической поддержки

Как отказаться от использования определенного клиента Microsoft Entra в Visual Studio

Visual Studio 2019 версии 16.6 и выше предоставляет гибкость для фильтрации клиентов по отдельности или глобально, эффективно скрывая их от Visual Studio. Фильтрация устраняет необходимость аутентификации с этим арендатором, но также означает, что вы не сможете получить доступ к любым связанным ресурсам.

Эта функция полезна при наличии нескольких арендаторов, и вы хотите оптимизировать среду разработки, нацеливаясь на определенное подмножество. Он также может помочь в случаях, когда не удается проверить определенную политику центра сертификации/многофакторной аутентификации (CA/MFA), так как вы можете отфильтровать проблемный арендатор.

Как отфильтровать всех арендаторов

Чтобы глобально отфильтровать все клиенты, откройте диалоговое окно "Параметры учетной записи" (параметры учетной записи > файла... > учетные записи) и установите флажок "Проверка подлинности для всех каталогов Azure Active Directory".

Отмена выбора этого параметра гарантирует, что вы будете проходить проверку подлинности только с помощью клиента по умолчанию учетной записи. Это также означает, что вы не сможете получить доступ к каким-либо ресурсам, связанным с другими арендаторами, в которых ваша учетная запись может быть гостем.

Как фильтровать отдельных арендаторов

Чтобы отфильтровать тенанты, связанные с вашей учетной записью Visual Studio, откройте диалоговое окно "Параметры учетной записи" (Файл → Параметры учетной записи >...) и нажмите Применить фильтр.

Откроется окно фильтрации учетной записи , позволяющее выбрать арендаторов, которых вы хотите использовать с вашим аккаунтом.

После отмены выбора арендатора для фильтрации, диалоговые окна "Настройки учетной записи" и "Фильтр учетной записи" будут отображать состояние фильтрации.

Ошибки сети в Visual Studio

Во время входа Visual Studio может столкнуться с ошибками, связанными с сетью, которые обычно не являются проблемами с продуктом Visual Studio и могут быть изучены локальной ИТ-поддержкой.

Ошибка "Требуется авторизация прокси-сервера

Если компьютер или организация используют такие меры безопасности, как брандмауэр или прокси-сервер, убедитесь, что вы выполняете требования к использованию Visual Studio за прокси-сервером или брандмауэром.

Ошибки SSL

Ошибки SSL могут возникать в различных формах. Ниже приведены некоторые примеры.

• "Базовое подключение было закрыто"
• "Не удалось установить SSL-подключение"
• "Не удалось создать безопасный канал SSL/TLS"
• "Существующее подключение было принудительно закрыто удаленным узлом". (Это также может быть связано с брандмауэрами, блокирующими подключение)
• "Базовое подключение было закрыто: произошла непредвиденная ошибка при отправке"

Эти ошибки могут быть вызваны следующими причинами:

1. Корпоративный прокси-сервер или брандмауэр блокирует определенные версии TLS
2. ПРОТОКОЛ TLS 1.3 включен на компьютере, но сеть не поддерживает ее. Вы можете попытаться отключить tls 1.3 на компьютере, чтобы проверить, является ли это так.
3. Групповая политика ограничивает используемые алгоритмы SSL, и этот список разрешенных алгоритмов не совпадает с тем, что ожидает сервер.

Следующие ресурсы могут быть полезны для устранения неполадок SSL:

• средство проверки готовности к переходу Azure DevOps TLS 1.2
• рекомендации по обеспечению безопасности транспортного уровня (TLS) с помощью .NET Framework
• параметры реестра TLS

Отключение TLS 1.3

1.3: [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.3\Client] "DisabledByDefault"=dword:00000001 "Enabled"=dword:000000000

Ошибки отказа в подключении

"Подключение не может быть сделано, так как целевой компьютер активно отказался от него"

Эта ошибка означает, что когда Visual Studio пытается подключиться к конечной точке Интернета, компьютер отказался от подключения.

Распространенные причины:

• Если адрес "127.0.0.1" находится в сообщении об ошибке, это означает, что была предпринята попытка подключения к локальному прокси-серверу, но локальный прокси-сервер не запущен.

• VPN-подключение — попробуйте отключиться от любых виртуальных сетей и повторите попытку подключения. Если это работает, свяжитесь с поставщиком VPN или администратором сети. К ним относятся корпоративные VPN-службы или сторонние VPN-службы.

• DNS — поиск домена на компьютере разрешен на адрес, который не указывает на ожидаемый сервер. Это означает, что подключение направляется к другому компьютеру, на котором не запущены ожидаемые службы, и соединение отклоняется. Для отладки этой проблемы можно использовать такие средства, как NsLookup, и сравнить его с диапазонов IP-адресов Azure и тегов служб.

• Некоторые компьютеры имеют включенный IPV6, но сеть не поддерживает этот протокол. В этом случае может отображаться сообщение об отказе подключения, так как сервер не найден. Попробуйте отключить IPV6 на компьютере, чтобы узнать, работает ли подключение.

• Проблемы SSL. См. ошибки SSL.

• Прокси-сервер или брандмауэр в сети. Если в сети есть прокси-сервер или брандмауэр, они будут первыми устройствами, с которыми подключение пытается взаимодействовать, и они могут быть теми, кто отказывает в подключении. Вы можете определить, блокирует ли брандмауэр или прокси-сервер подключения, запрашивая администратора сети. Кроме того, глядя на трассировки сети, можно определить, к какому компьютеру устанавливается подключение и кто отклоняет его. Если это внутренний сетевой адрес, это означает, что прокси-сервер или брандмауэр заблокированы подключение. Если это внешний IP-адрес, это обычно означает проблемы DNS, IPV6 или SSL.

Поддержка в решении сетевых проблем

Проблемы, связанные с сетью, обычно связаны с конфигурацией компьютера или сети, а не с Visual Studio. сообщество разработчиков может обеспечить некоторую поддержку, но оно ориентировано на функции в Visual Studio, а не на конфигурацию машины. Для сетевой поддержки сообщество поддержки Майкрософт или техническая поддержка могут быть полезны.

Ошибки при первом запуске

При первом запуске Visual Studio могут возникнуть ошибки. В диалоговом окне ошибки отобразится проблема, из-за которой Не удалось открыть Visual Studio.

Доступ запрещен

Вы можете увидеть одну из следующих ошибок:

При возникновении этих ошибок закройте все открытые экземпляры Visual Studio и удалите файл или каталог, упомянутый в сообщении об ошибке, чтобы устранить проблему.

Перед удалением файла проверьте разрешения безопасности в файле и рассмотрите возможность ведения журнала сообщества разработчиков отзывов. Это поможет нам лучше понять, почему доступ к этим файлам или каталогам запрещен.

В запросе на отзыв добавьте следующие сведения, чтобы помочь нам изучить проблему:

1. Описание или снимок экрана групп и пользователей с разрешениями для файла или каталога, указанного в ошибке. Чтобы просмотреть это, щелкните правой кнопкой мыши файл или каталог, а затем выберите пункт Свойства>Безопасности.
2. Учетная запись пользователя, используемая для запуска Visual Studio.
3. Если ошибка сохраняется при запуске Visual Studio во второй раз.

Связанное содержимое

• Вход в Visual Studio