MS Office
Die Anmeldemethode könnte unsicher sein
Office zeigt die Meldung: Office hat diesen Inhalt blockiert, weil er eine Anmeldemethode verwendet, die unsicher sein könnte.
In diesem Fall muss die Domain des Web Clients den sicheren Anmeldemethoden im Trust Center hinzugefügt werden.
Möglicherweise kann der Benutzer diese Einstellungen selbst vornehmen oder diese Einstellungen werden von der Organisation gesteuert. Wenn der Benutzer selbst keine Einstellungen im Trust Center hinzufügen kann, muss der IT-Betreiber diese Einstellung zentral für alle Benutzer vornehmen.
Hinzufügen der Ausnahme im Trust Center
Den Button Trust Center öffnen anklicken und im Trust Center die Option Aktion für jeden Host anfragen aktivieren.
Anschliessend kann das Dokument erneut geöffnet werden. Office fragt den Benutzer, ob die angegebene Domain vertrauenswüdig ist. Wenn mit Ja bestätigt wird, kann das Dokument geöffnet werden.
Hinzufügen der Ausnahme in den Gruppenrichtlinien (zentrale Steuerung in der Organisation)
Der IT-Betreiber kann eine Gruppenrichtline erstellen, die die Domain des Web Clients (nicht des CMI STS) dem Trust Center hinzufügt.
Verwendet der Kunde beispielsweise die Url https://cmi.gemeinde.ch/webclient um den Web Client zu verwenden, so muss die Domain cmi.gemeinde.ch freigeschaltet werden.
- Möglicherweise muss der IT-Betreiber administrative Templates (ADMX/ADML) für Office auf den Domain Controller installieren.
- Die folgende Ressource hilft, einen Gruppenrichtlinie zu erstellen:
Gruppenrichtlinie Erstellen
Eine mögliche Policy könnte wie gefolgt aussehen:
konnte nicht geöffnet werden
Office zeigt die Meldung:
Es handelt sich um eine allgemeine Fehlermeldung die die Ursache des Problems nicht benennt. In einem solchen Fall sind die Logs aller beteiltigen Systeme zu prüfen:
- CMI Server
- CMI WebDav-Server
- CMI STS
Erscheint diese Fehlermeldung bevor das Anmeldefenster des CMI STS erscheint, wurde Office die Url des CMI STS nicht mitgeteilt oder die Kommunikation mit dem CMI STS war nicht möglich.
Die Login-Methode wird über Request-/Response-Header ausgehandelt. Wenn eine Firewall Request- und Response-Header filtert, weiss Office nicht, dass eine Anmeldung erforderlich. Die erforderlichen Header sind im Kapitel Technisches aufgelistet. Mit dem IT-Betreiber ist zu prüfen, ob diese Header bei Office ankommen.
Schreibgeschützte Dokumente
Wenn Dokumente nur schreibgeschützt geöffnet werden können, wurden möglicherweise benötigte Response-Header aus der Kommunikation zwischen dem WebDav-Server und Microsoft Office durch eine Firewall entfernt. Die erforderlichen Header sind im Kapitel Technisches aufgelistet. Mit dem IT-Betreiber ist zu prüfen, ob diese Header bei Office ankommen.
Office öffnet sich, aber anschliessend wir kein Dokument geladen / kein STS Anmeldefester geöffnet
Das hier beschriebene Troubleshooting bezieht sich auf die Authentifizierungsmethode
MS-OFBAund ist nicht auf andere Authentifizierungsmethoden anwendbar.
Mit den Developer-Tools des Browsers herausfinden, mit welche URL an Office übergeben wird.
Mit der URL das Powershell-Script auf dem betroffenen Endgerät ausführen:
try{
Invoke-WebRequest -UseBasicParsing -Uri "https://[...].docx" -Headers @{ "X-FORMS_BASED_AUTH_ACCEPTED"="T" }
}
catch{
$headers = $_.Exception.Response.Headers
$headers.AllKeys | ForEach-Object { "$($_) $($headers[$_])" }
}
Die Antwort sollte den Status-Code 403 (Unauthorized) haben und daher sollte das Script in den Catch-Block fallen. Die Script-Ausgabe sollte folgende Header enthalten:
X-FORMS_BASED_AUTH_REQUIRED https://sts.[...]/identity/connect/authorize?client_id=webdav&response_type=id_token%20token&scope=openid%20profile%20metatool&redirect_uri=[...]&state=[...]&nonce=[...]&acr_values=[...]&response_mode=form_post
X-FORMS_BASED_AUTH_RETURN_URL https://[...]/account/success
X-FORMS_BASED_AUTH_DIALOG_SIZE 1200x800
[...]
- Kontrollieren, ob die
X-FORMS-Header vorhanden sind. - Kontrollieren, ob die URL zum STS und WebDav korrekt sind.
- Stimmt die Client-ID?
- Stimmt die Redirect-Uri?