# Abrufen des Zugriffstokens fehlgeschlagen

## Problem

Wenn Sie versuchen, sich bei KONNEKT anzumelden, erhalten Sie die Fehlermeldung „Failed to obtain access token“.

## Ursache

KONNEKT unterstützt keine "Excluded Apps" in einer Microsoft Entra (Azure AD) Conditional Access-Richtlinie, die MFA erfordert, in Kombination mit einer Windows-Sitzung ohne SSO.

## Umgehungslösung

Unsere empfohlene Umgehungslösung besteht darin, den Windows-Computer so einzurichten, dass er ein Primary Refresh Token (PRT) hält, z. B. durch Entra Join (AAD Join) oder Registrierung. Bitte siehe [hier ](https://learn.microsoft.com/en-us/entra/identity/devices/concept-primary-refresh-token#how-is-a-prt-issued)für Details.

Weitere Alternativen sind (nicht wirklich empfohlen):

* Entfernen Sie die MFA-Anforderung aus der entsprechenden Conditional Access-Richtlinie. Um bei CA-Richtlinien ohne MFA dennoch etwas Sicherheit zu behalten, könnten Sie [Vertrauenswürdige Standorte (z. B. öffentliche IP-Adressen Ihrer VDI-Hosts)](https://learn.microsoft.com/en-us/entra/identity/conditional-access/location-condition)

oder

* eine Conditional Access-Richtlinie ohne "Excluded Apps" verwenden. Bitte siehe auch [Conditional Access-Konfiguration](https://docs.konnekt.io/de/installation/security/conditional-access).

## Lösung

Eine Lösung wurde in KONNEKT Version 2.10 implementiert - "[Enhanced OAuth](https://docs.konnekt.io/de/configuration/system-settings/erweiterte-authentifizierung)".