Windows 10 上更新到 Office 2016 内部版本 16.0.7967 后登录时出现连接问题
提示
若要诊断并自动修复几个常见的 Office 登录问题,可以下载并运行 Microsoft 支持和恢复助手。
概述
本文包含有关 Microsoft Office 2016 的新身份验证框架的信息。
默认情况下,适用于企业的 Microsoft 365 应用(2016 版)使用基于 Azure Active Directory 身份验证库 (ADAL) 框架的身份验证。 从内部版本 16.0.7967 开始,Office 使用 Web 帐户管理器 (WAM) 在高于 15000 的 Windows 内部版本(Windows 10 版本 1703 内部版本 15063.138)上进行登录工作流。
一般指导
如果在 Windows 10 上的 Office 应用程序中遇到身份验证问题,我们建议你执行以下操作:
- 根据 适用于企业的 Microsoft 365 应用的更新历史记录(按日期列出)将 Office 产品更新到频道的最新版本。
- 确保正在运行以下任一 Windows 内部版本:
- 适用于 Windows 10 版本 1809 或更高版本的任何内部版本
- 17134.677 或更高内部版本的 Windows 10 版本 1803
- 16299.461 或更高内部版本的 Windows 10 版本 1709
- 15063.1112 或更高内部版本的 Windows 10 版本 1703
症状
在更新到 Microsoft Office 2016 内部版本 16.0.7967 或 Windows 10 上的更高版本后,可能会遇到以下症状之一。
症状 1
当整个网络在你的设备上工作时,Office 应用程序可能会遇到连接问题。 你可能会看到类似如下内容的消息:
为此,你将需要 Internet。
我们无法连接到你登录所需的服务之一。 请检查连接并重试。
0xCAA70007
若要确定你是否遇到此类问题,请按照以下步骤操作:
确保正在运行 Office 内部版本 16.0.9126.2259 或更高内部版本。 (你的频道上的最新版本很棒。请参阅概述部分的一般指南。)
打开事件查看器。
转到“应用程序和服务日志>”Microsoft>Windows>Microsoft Entra ID。
在“操作”日志中,查找 XMLHTTPWebRequest 中具有以下模式的消息:
0x?aa7????, 0x?aa8????, 0x?aa3????, 0x102, 0x80070102
确保这些错误的时间与你实际建立 Internet 连接的时间有关。 这不是间歇性网络问题,因为网络堆栈的休眠和初始化后丢失 Wi-Fi 连接或唤醒。
然后,要确定问题是由网络环境还是本地防火墙/防病毒软件引起的,请按照以下步骤操作:
打开 Edge(不是 Internet Explorer)并转到 https://login.microsoftonline.com。 导航应登录 https://www.office.com或公司的默认着陆页。 如果失败,问题在网络环境或本地防火墙/防病毒软件中。
在"InPrivate "模式下打开 Edge(不是 Internet Explorer),然后转到 https://login.microsoftonline.com。 输入凭据后,导航应登录 https://www.office.com 或公司的默认着陆页。 如果失败,问题在网络环境或本地防火墙/防病毒软件中。
若要解决此问题,请确保本地防火墙、防病毒软件和Windows Defender不会阻止参与令牌获取的以下Microsoft Entra WAM 插件进程:
C:\Windows\SystemApps\Microsoft.AAD.BrokerPlugin_cw5n1h2txyewy\Microsoft.AAD.BrokerPlugin.exe
C:\Windows\System32\backgroundTaskHost.exe
注意插件的 PackageFamilyName 如下:
Microsoft.AAD.BrokerPlugin_cw5n1h2txyewy
此外,请确保你的网络环境不会阻止主要目标:
https://login.microsoftonline.com/
注意此主地址包括许多 IP 地址(和许多服务)。 其中一些地址可能无缘无故地在环境中被阻止,这在某些设备中会导致间歇性问题,而另一些设备则工作正常。
症状 2
当你尝试在 Microsoft SharePoint Online、OneDrive for Business 或 SharePoint 中打开或保存文档,或者尝试在 Microsoft Outlook 中同步电子邮件或日历时,系统会提示你输入凭据。 输入凭据后,系统将再次提示你。 发生此问题可能有以下几个原因:
受信任的平台模块 (TPM) 芯片或固件出现故障。 Windows 使用 TPM 芯片来保护你的凭据。 在某些情况下,芯片可能会损坏或重置。 若要确定你是否遇到此类问题,请按照以下步骤操作:
- 打开事件查看器。
- 转到“应用程序和服务日志>”Microsoft>Windows>Microsoft Entra ID。
- 在操作日志中,找到显示以下模式的错误:0x?028????, 0x?029???? 还是 0x?009????
为了避免将来出现此问题,我们建议你更新 TPM 固件。
对于 Windows 10 版本 1709 或更高版本:操作系统会自动检测与 TPM 故障相关的情况,并提供应自动发生的用户恢复过程。 如果此过程不是自动发生的,我们建议你使用此手动恢复方法。
对于Windows 10版本 1703:为Microsoft Entra混合联接提供了自动过程。 未为其他环境配置提供自动过程。 如果Microsoft Entra混合联接过程未自动发生,建议使用此手动恢复方法。
由于安全问题或错误,用户、企业版管理员或策略禁用了设备。 要确定是否遇到此问题,请按照以下步骤操作:
- 打开事件查看器。
- 转到“应用程序和服务日志>”Microsoft>Windows>Microsoft Entra ID。
- 在操作日志中,找到以下消息:
说明:AADSTS70002:验证凭据时出错。 AADSTS135011:禁用身份验证期间使用的设备。
若要解决此问题,建议企业管理员在 Active Directory 中启用设备或Microsoft Entra ID。 有关如何在 Microsoft Entra ID 中管理设备的信息,请参阅“如何使用 Azure 门户 管理设备”主题的设备管理任务部分。
企业管理员或策略由于安全原因或错误删除了设备。 若要验证你是否遇到此问题,请执行以下步骤:
- 打开事件查看器。
- 转到“应用程序和服务日志>”Microsoft>Windows>Microsoft Entra ID。
- 在操作日志中,找到以下消息:
说明:AADSTS70002:验证凭据时出错。 AADSTS50155:设备未进行身份验证。
若要解决此问题,我们建议你使用手动恢复方法恢复设备。 注意如果企业版中没有人删除该设备,请提交支持工单并提供未恢复设备的示例。
手动恢复
若要手动恢复计算机,请遵循相应的步骤,具体取决于设备如何加入云 (Microsoft Entra 混合联接、添加工作帐户或Microsoft Entra加入) 。
Microsoft Entra混合联接
运行以下命令:
>dsregcmd /status
结果应包含以下字段(在“设备”状态下):
AzureAdJoined : YES DomainJoined : YES DomainName : <CustomerDomain>
当前登录用户应为域用户。 受影响的标识应是当前登录用户。
恢复(安全操作):
在管理命令提示符窗口中运行
Dsregcmd /leave
命令,然后重新启动系统。添加用户帐户
运行以下命令:
>dsregcmd /status
结果应包含以下字段(在“用户”状态下):
WorkplaceJoined : YES
设备状态可以设置为任何选项。 当前登录用户可以是任何用户。 受影响的标识应该是一个工作或学校帐户,你可以在设置>帐户>访问工作或学校中看到。
恢复(安全操作):
在“设置”>“帐户”>“访问工作或学校”中删除工作帐户,然后还原工作帐户。
Microsoft Entra联接
运行以下命令:
>dsregcmd /status
结果应包含以下字段(在“设备”状态下):
AzureAdJoined : YES DomainJoined : NO
当前登录用户应该是Microsoft Entra用户。 受影响的标识应是当前登录用户。
恢复:
注意 首先备份数据。
创建新的本地管理员。 与域断开连接(“设置”>“帐户”>“访问工作或学校”>“断开连接”)。 然后,以新的本地管理员身份登录,并重新连接到Microsoft Entra ID。
症状 3
Office 登录工作流停止或未在屏幕上显示进度。 登录窗口显示“正在登录”消息或空白身份验证屏幕。
出现此问题的原因是 WAM 禁用非 HTTPS 流量以防止安全威胁,例如有人窃取用户凭据。若要验证你是否遇到此问题,请按照以下步骤操作: 若要验证你是否遇到此问题,请执行以下步骤:
打开事件查看器。
转到“应用程序和服务日志>”Microsoft>Windows>Microsoft Entra ID。
在操作日志中,找到以下消息:
导航到非 SSL 目标。 禁止不安全的通信。 取消导航。
要解决此问题并保护用户凭据,我们建议你在标识服务器上启用 HTTPS。
症状 4
你有一个非持久性虚拟桌面基础结构 (VDI) 环境,该环境具有配置为单一登录 (SSO) 的联合标识提供程序 (IdP)。 由于 SSO 已配置,因此不会提示你激活或登录。 但是,系统会提示你登录每个新会话。 Office ULS 日志显示以下错误消息:
{"Action": "BlockedRequest", "HRESULT": "0xc0f10005"
注意
如果你遇到此问题,请打开支持案例。 我们需要更多的日志输入报告来帮助隔离问题。
更多信息
以下准则适用于本文:
- 在低于 15000 的 Windows 7、Windows 8、Windows 8.1 或 Windows 10 内部版本中,ADAL 身份验证是唯一选项。
- Windows 内部版本应高于 15000(Windows 10 版本 1703 内部版本 15063.138 一般可用)。 有关详细信息,请参阅 Windows 10 版本信息。
- 无论你使用 Microsoft 联合身份验证还是非 Microsoft 联合身份验证解决方案,本文都适用。
有关更多信息,请参见以下知识库文章:
4347010 错误代码:0x8004deb4(登录到 OneDrive for Business 时)