Azure Entra ID: Microsoft bestätigt Probleme mit Single Sign On (SSO)

[English]Administratoren haben sich seit einiger Zeit über sporadische Probleme beim Single Sign On (SSO) unter Microsofts Azure Entra ID beklagt. Die Nutzerkönnen sich dann sporadisch nicht mehr unter ihren Microsoft 365-Apps anmelden. Nun gibt es wohl eine Bestätigung eines Lesers, dass Microsoft dies in internen Statusseiten für Enterprise-Kunden bestätigt hat.

Microsoft Entra SSO: Worum geht es genau?

Ich hatte Anfang April 2024 im Blog-Beitrag Gibt es Probleme mit Single Sign On (SSO) bei Maschinen mit Azure Entra ID? ein Problem zur Diskussion gestellt, welches von einem Administrator an mich herangetragen wurde. Es geht um das Thema Single Sign On (kurz SSO) für Anwendungen die die Microsoft Cloud (Azure) verwenden. Der Fachbegriff lautet nun „Microsoft Entra Single Sign-On (SSO)“ und wird auf dieser Microsoft Support-Seite erläutert.

Mit Single Sign-On (SSO) sollen die Zugriffe auf die verwendeten  SaaS-Apps (Software-as-a-Service), Cloud-Apps oder lokalen Apps vereinfacht werden. Es gibt eine Anmeldung an Microsoft Entra ID, die dann für alle verwendeten Apps gelten soll. Im Dezember 2023 hatte Microsoft im Techcommunity-Beitrag Upcoming changes to Windows single sign-on einige Änderungen beim Single Sign One angekündigt. Dies wurde für Nutzer in Europa erforderlich, um die Einhaltung der Auflagen des Digital Markets Act (DMA) im Europäischen Wirtschaftsraum (EWR) sicherzustellen. Dazu soll ab 2024 die Funktionsweise für SSO unter Windows geändert werden.

Microsoft 365 Entra ID-Anmeldung hängt

In diesem Kontext hatte sich Blog-Leser E. H. per E-Mail bei mir gemeldet, weil er in seinem Umfeld von Fehlern beim Single Sign On (SSO) genervt ist. In seiner Umgebung tritt das seltsame Phänomen auf, dass sich Nutzer sporadisch nicht mehr mit den Microsoft Desktop Apps wie Excel, Word und Co. anmelden können. Die Benutzeranmeldung an der betreffenden Microsoft 365-Anmeldung bleibt mit obiger Meldung hängen.

Der Nutzer bekommt nur den Hinweis „Da hat etwas nicht geklappt“ und es wird empfohlen, den Support zu kontaktieren und dort den Fehlercode „TypeError“ zu nennen. Ein Supporter wird mit einem Typ-Fehler herzlich wenig anfangen können. In den Azure -Log-Dateien findet sich beim entsprechenden Benutzer der Eintrag: Failure reason User is required to permit SSO.“

Das in obigem Text bzw. im verlinkten Blog-Beitrag geschilderte Problem wurde in Kommentaren von weiteren Lesern bestätigt. Ein Nutzer schrieb, dass er ein Ticket bei Microsoft dazu offen habe. Es gab sogar einen Nutzerkommentar, der einen vom Microsoft genannten Workaround durch Registrierungseingriffe beschrieb, die aber nur für einige Apps gilt und nicht zuverlässig funktioniert. Das Problem und der Workaround sind auch in diesem Beitrag auf administrator.de ein Thema.

Microsoft bestätigt Probleme

Zum 8. Mai 2024 hat sich ein Administrator hier im Blog mit einem Kommentar gemeldet und gibt an, dass es in seiner Umgebung nur Clients, keine Server betreffen würde. Es seien aber immer mehr Clients betroffen, Geräte in MDM seien schneller betroffen und dann werde Die Bestätigung mit „Weiter“ (aka.ms/sso-info)“ angefordert.

Der Leser schrieb dann, dass Microsoft für Enterprise Kunden das obige Problem „im Status des Windows-Release“ als Confirmed zum 1. Mai 2024 eingestellt habe. Der Eintrag WI789501 für Windows 11 23H2 sei für ihn aber erst zum 8. Mai 2024 im Statusbereich aufgetaucht. Der Leser schreibt, dass diese Information „in den Consumer Status Pages“ noch nicht eingetragen worden sei. Ich habe auch mal versucht, um Web nach einem Eintrag zu suchen – im Known-Issues Statusbereich von Windows 11 23H2 (oder Windows 10 22H2 etc.) wird mir nichts angezeigt. Ich ziehe mal den Text, den der Leser als Kommentar eingestellt hat, hier heraus:

Automatic sign-in to Microsoft applications might not work as expected
WI789501, Windows 11, version 23H2
Zuletzt aktualisiert: 1. Mai 2024, 21:47 MESZ
Entstehungszeitpunkt: 23. Jan. 2024, 23:00 MEZ
Status: Confirmed
Auswirkungen auf Benutzer: Some users reported that they must repeatedly sign-in to Microsoft applications such as Edge, Defender, and Office

After installing Windows Updates released on January 23, 2024 (KB5034204) and later, a limited number of users in Europe have reported issues with automatic sign-in on Microsoft applications such as Microsoft Edge, Xbox, Office, Outlook and Defender. This issue might cause users to be logged out of any Microsoft application that uses Microsoft account [link] multiple times. Users might observe this issue once they sign into Windows using their Microsoft account.

Errors encountered by this issue might display like „Unable to sync with your account because we need to confirm that it’s you. Please log in again to verify your account“ or display a pop-up window ‚Sign-in – Microsoft family features‘ with the message „You need to sign back in to your Microsoft account…“.

Microsoft gibt also an, dass das Problem durch das Update KB5034204 vom 23. Januar 2024 oder Folgeupdates verursacht wird (siehe Windows 11 23H2/22H2: Preview Update KB5034204 (23. Januar 2024)) und nur wenige Nutzer betrifft. Das betreffe die automatische Anmeldung bei Microsoft-Anwendungen wie Microsoft Edge, Xbox, Office, Outlook und Defender. Die Betroffenen würden mehrfach von jeder Microsoft-Anwendung abgemeldet.

Dieses Update ist mir aufgefallen, weil es für weitere Probleme sorgte (siehe Windows 11: Preview Update KB5034204 sorgt für Probleme (Installation, Explorer-Abstürze etc.)). Eine Lösung für das obige Problem hat Microsoft nicht avisiert.

Ähnliche Artikel:
Gibt es Probleme mit Single Sign On (SSO) bei Maschinen mit Azure Entra ID?
Windows 11 23H2/22H2: Preview Update KB5034204 (23. Januar 2024)
Windows 11: Preview Update KB5034204 sorgt für Probleme (Installation, Explorer-Abstürze etc.)