Accedi con Microsoft
Accedi o crea un account.
Salve,
Seleziona un altro account.
Hai più account
Scegli l'account con cui vuoi accedere.

INTRODUZIONE

Questo articolo illustra come risolvere i problemi di configurazione di Single Sign-On in un servizio cloud Microsoft, ad esempio Office 365, Microsoft Intune o Microsoft Azure.

Le istruzioni dettagliate per l'implementazione di Single Sign-On (SSO) sono disponibili nella documentazione della Guida di Azure Active Directory (Azure AD). Se si verifica un problema durante la configurazione di SSO usando queste indicazioni, è possibile fare riferimento a questo articolo. Fornisce una roadmap per la risoluzione dei problemi comuni relativi a ogni passaggio di configurazione.

PROCEDURA

Come risolvere i problemi di configurazione di SSO

Passaggio 1: Preparare Active Directory

Indicazioni per l'installazione

Vai al sito Web Microsoft seguente:

Prepararsi per Single Sign-On

Convalida per il passaggio 1

Usare la procedura guidata Valutazione della diagnostica di configurazione della sincronizzazione della directory per analizzare Active Directory alla ricerca di problemi che potrebbero causare problemi di sincronizzazione della directory.

Risolvere i problemi relativi alla convalida per il passaggio 1

  1. Nota: La preparazione non corretta di Active Directory o l'errore di risoluzione dei problemi identificati dallo strumento possono causare problemi di sincronizzazione della directory. Seguire le istruzioni per la risoluzione dei problemi offerte dalla procedura guidata Valutazione della diagnostica per la configurazione della sincronizzazione della directory per correggere i problemi e assicurarsi che la diagnostica guidata venga eseguita senza errori. In questo modo si evita che i problemi seguenti si verifichino in un secondo momento nell'implementazione:

    • 2392130 Risolvere i problemi relativi al nome utente che si verificano per gli utenti federati quando accedono a Office 365, Azure o Intune

    • 2001616 L'indirizzo di posta elettronica Office 365 di un utente contiene in modo imprevisto un carattere di sottolineatura dopo la sincronizzazione della directory

    • 2643629 Uno o più oggetti non vengono sincronizzati quando si usa lo strumento di sincronizzazione di Azure Active Directory

  2. Eseguire di nuovo la diagnostica guidata per verificare se il problema è stato risolto.

Passaggio 2: architettura Active Directory Federation Services (AD FS)

Indicazioni per

l'installazione Vai ai siti Web Microsoft seguenti:

Nota supporto tecnico Microsoft non aiuterà i clienti con l'esecuzione delle indicazioni di configurazione in questi collegamenti.

Passaggio 3: Modulo di Azure Active Directory per Windows PowerShell per SSO

Indicazioni per l'installazione

Vai al sito Web Microsoft seguente:

Installare Windows PowerShell per Single Sign-On con AD FS

Convalida per il passaggio 3

Per convalidare il modulo di Azure Active Directory per Windows PowerShell per SSO, procedere come segue:

  1. Eseguire il modulo di Azure Active Directory per Windows PowerShell come amministratore.

  2. Digitare i comandi seguenti e assicurarsi di premere INVIO dopo aver digitato ogni comando:

    1. $cred=Get-Credential
      Nota Quando richiesto, digitare le credenziali di amministratore del servizio cloud.

    2. Connect-MsolService -Credential $cred


      Nota Questo comando consente di connettersi ad Azure AD. È necessario creare un contesto che connetta l'utente ad Azure AD prima di eseguire uno dei cmdlet aggiuntivi installati dal modulo di Azure Active Directory per Windows PowerShell.

    3. Set-MsolAdfscontext -Computer < AD FS 2.0 primary server >



      Note

      • Se è stato installato il modulo di Azure Active Directory per Windows PowerShell nel server Active Directory Federation Services principale (AD FS), non è necessario eseguire questo cmdlet.

      • In questo comando il segnaposto <server primario AD FS 2.0> rappresenta il nome di dominio completo interno (FQDN) del server AD FS primario. Questo comando crea un contesto che consente di connettersi ad AD FS.

    4. Get-MSOLFederationProperty -DomainName < federated domain name >


      Nota In questo comando il segnaposto <nome di dominio federato> rappresenta il nome di dominio federato nei passaggi di configurazione.

  3. Confrontare la prima metà (Source: AD FS Server) e l'ultima metà (Source: Microsoft Office 365) dell'output del comando Get-MSOLFederationProperty eseguito nel passaggio 2D. Tutte le voci tranne Source e FederationServiceDisplayName devono corrispondere. Se non corrispondono, usare la sezione "Risoluzione" del seguente articolo della Microsoft Knowledge Base per aggiornare i dati di attendibilità della relying party:

    2647020 errore "Spiacenti, ma si sono verificati problemi di accesso" e "80041317" o "80043431" quando un utente federato tenta di accedere a Office 365, Azure o Intune

Risolvere i problemi relativi alla convalida per il passaggio 3

Per risolvere i problemi, segui questi passaggi:

  1. Risolvere i problemi comuni di convalida usando i seguenti articoli della Microsoft Knowledge Base, in base alle proprie esigenze:

    • 2461873 Non è possibile aprire il modulo di Azure Active Directory per Windows PowerShell

    • 2494043Non è possibile connettersi usando il modulo di Azure Active Directory per Windows PowerShell

    • 2587730 errore "Impossibile eseguire la connessione al server <ServerName> Active Directory Federation Services 2.0" quando si usa il cmdlet Set-MsolADFSContext

    • 2279117 Un amministratore non può aggiungere un dominio a un account di Office 365

    • Errore quando si esegue il cmdlet New-MsolFederatedDomain per la seconda volta perché la verifica del dominio non riesce. Per altre informazioni su questo scenario, vedere il seguente articolo della Knowledge Base:

      2515404 Risolvere i problemi di verifica del dominio in Office 365

    • 2618887 errore "Identificatore del servizio federativo specificato nel server AD FS 2.0 è già in uso". Quando si tenta di configurare un altro dominio federato in Office 365, Azure o Intune

    • Problemi di tempo causano problemi con il cmdlet New-MSOLFederatedDomain o con il cmdlet Convert-MSOLDomainToFederated.

  2. Eseguire di nuovo i passaggi di convalida per verificare se il problema è stato risolto.

Passaggio 4: Implementare la sincronizzazione di Active Directory

Indicazioni per l'installazione

Vai ai siti Web Microsoft seguenti:

Convalida per il passaggio 4

Per convalidare, seguire questa procedura:

  1. Eseguire il modulo di Azure Active Directory per Windows PowerShell come amministratore.

  2. Digitare i comandi seguenti. Assicurarsi di premere INVIO dopo ciascun comando.

    1. $cred=Get-Credential

      Nota Quando richiesto, digitare le credenziali di amministratore del servizio cloud.

    2. Connect-MsolService -Credential $cred

      Nota Questo comando consente di connettersi ad Azure AD. È necessario creare un contesto che connetta l'utente ad Azure AD prima di eseguire uno dei cmdlet aggiuntivi installati dal modulo di Azure Active Directory per Windows PowerShell.

    3. Get-MSOLCompanyInformation

  3. Controllare il valore LastDirSyncTime dall'output dei comandi precedenti e verificare che mostri una sincronizzazione dopo l'installazione dello strumento di sincronizzazione di Azure Active Directory.

    Nota L'indicatore di data e ora per questo valore viene visualizzato in formato Coordinated Universal Time (Ora di Greenwich).

  4. Se LastDirSyncTime non viene aggiornato, monitorare il registro dell'applicazione del server in cui è installato lo strumento di sincronizzazione di Azure Active Directory per l'evento seguente:

    • Origine: Sincronizzazione della directory

    • ID evento: 4

    • Livello: Informazioni

    Questo evento indica che la sincronizzazione della directory è stata completata nel server. In questo caso, eseguire di nuovo questi passaggi per assicurarsi che il valore LastDirSyncTime sia stato aggiornato in modo appropriato.

Risolvere i problemi relativi alla convalida per il passaggio 4

Risolvere i problemi comuni di convalida usando i seguenti articoli della Microsoft Knowledge Base, in base alle proprie esigenze:

  • 2508225 "LogonUser() Failed with error code: 1789" after you enter enterprise administrator credentials in the Azure Active Directory Sync tool Configuration Wizard

  • 2502710 errore "Si è verificato un errore sconosciuto con l'Assistente per l'accesso ai Microsoft Online Services" quando si esegue la configurazione guidata dello strumento di sincronizzazione di Azure Active Directory

  • 2419250 errore "Il computer deve essere aggiunto a un dominio" quando si prova a installare lo strumento di sincronizzazione di Azure Active Directory

  • 2643629 Uno o più oggetti non vengono sincronizzati quando si usa lo strumento di sincronizzazione di Azure Active Directory

  • 2641663 Come usare la corrispondenza SMTP per associare gli account utente locali agli account utente di Office 365 per la sincronizzazione della directory

  • 2492140 Non è possibile assegnare un dominio federato a un utente nel portale di Office 365

Passaggio 5: preparazione del cliente Office 365

Indicazioni per l'installazione

  1. Verificare i prerequisiti client per Office 365. Per altre informazioni sui requisiti di sistema per Office 365, vedere requisiti di sistema di Office 365.

  2. Eseguire Office 365 Configurazione desktop in tutti i computer client che usano applicazioni client complete. Le applicazioni client complesse includono Microsoft Outlook, Microsoft Lync 2010, Microsoft Office Professional Plus 2010, Modulo di Azure Active Directory per Windows PowerShell. Applicazioni desktop di Office e applicazioni di integrazione di Microsoft SharePoint.

  3. Se è prevista un'esperienza automatica e senza richiesta di conferma per i computer client aggiunti a un dominio e connessi al dominio, aggiungere l'URL del servizio federativo AD FS all'area Intranet locale in Windows Internet Explorer. Ad esempio, eseguire le operazioni seguenti:

    1. In Internet Explorer scegliere Opzioni Internet dal menu Strumenti.

    2. Fare clic sulla scheda Sicurezza, su Intranet locale, siti e quindi su Avanzate.

    3. Digitare https://sts.contoso.com nella casella Aggiungi il sito Web all'area e quindi fare clic su Aggiungi.

      Nota "sts.contoso.com" rappresenta il nome di dominio completo del servizio federativo AD FS.

    Per altre informazioni su questa configurazione, vedere il seguente articolo della Microsoft Knowledge Base:

    2535227 A un utente federato viene richiesto in modo imprevisto di immettere le credenziali dell'account aziendale o dell'istituto di istruzione

  4. Se i computer client aggiunti a un dominio e connessi a un dominio accedono alle risorse Internet usando un server proxy che risolve gli indirizzi Internet usando query DNS pubbliche (e non dns interno, split brain), aggiungere l'URL del servizio federativo AD FS all'elenco per cui Internet Explorer ignora il filtro proxy. Di seguito è riportato un esempio di come aggiungere l'URL all'elenco di eccezioni di Internet Explorer:

    1. In Internet Explorer scegliere Opzioni Internet dal menu Strumenti.

    2. Nella scheda Connessioni fare clic su Impostazioni LAN e quindi su Avanzate.

    3. Nella casella Eccezioni immettere il valore usando il nome DNS completo del nome dell'endpoint del servizio AD FS. Ad esempio, immettere sts.contoso.com.

Convalida per il passaggio 5

Per convalidare, seguire questa procedura:

  1. Verificare che il servizio Assistente per l'accesso ai Microsoft Online Services sia installato e in esecuzione. A tal fine, attenersi alla seguente procedura:

    1. Fare clic sul pulsante Start, scegliere Esegui, digitare Services.msc e quindi fare clic su OK.

    2. Individuare la voce Assistente per l'accesso ai Microsoft Online Services e verificare che il servizio sia in esecuzione.

    3. Se il servizio non è in esecuzione, fare clic con il pulsante destro del mouse sulla voce e quindi scegliere Avvia.

  2. Passare al sito Web AD FS MEX per verificare che l'endpoint fa parte dell'area di sicurezza Intranet di Internet Explorer. A tal fine, attenersi alla seguente procedura:

    1. Avviare Internet Explorer e quindi passare al sito Web dell'endpoint del servizio AD FS. Di seguito è riportato un esempio di sito Web dell'endpoint del servizio:

      https://sts.contoso.com/federationmetadata/2007-06/federationmetadata.xml

    2. Controllare la barra di stato nella parte inferiore della finestra per verificare che l'area di sicurezza indicata per l'URL sia Intranet locale.

Passaggio 6: Convalida finale

In un computer client configurato testare l'esperienza di autenticazione SSO prevista. A questo scopo, eseguire l'autenticazione usando un account utente federato. È consigliabile testare l'autenticazione di un utente federato nei seguenti scenari:

  • Nella rete locale e autenticati nel Active Directory locale

  • Da una posizione IP indipendente da Internet e non autenticata al Active Directory locale

Per convalidare, seguire questa procedura:

  1. Testare l'autenticazione Web. A tale scopo, utilizzare uno dei seguenti metodi:

    • Accedere al portale del servizio cloud come utente federato usando le credenziali di Active Directory locali.

    • Accedere a Outlook Web App come utente federato (usando le credenziali di Active Directory locali) che dispone di una cassetta postale Exchange Online. Ad esempio, accedi a Outlook Web App all'URL seguente:

      https://outlook.com/owa/contoso.comNote In questo URL "contoso.com" rappresenta il nome di dominio federato.

    • Accedere a Microsoft SharePoint Online come utente federato (usando le credenziali active directory locali) che ha accesso alla raccolta Siti del team. Ad esempio, accedere a SharePoint Online all'URL seguente:

      http://contoso.sharepoint.comNote In questo URL "contoso" rappresenta il nome dell'organizzazione.

  2. Testare l'autenticazione rich client o del richiedente attivo. A tal fine, attenersi alla seguente procedura:

    1. Configurare un profilo client di Skype for Business Online (in precedenza Lync Online) per un account utente federato e quindi accedere all'account con le credenziali di Active Directory locali.

    2. Accedere al modulo di Azure Active Directory per Windows PowerShell usando un account utente federato con credenziali di amministratore globale tramite il cmdlet connect-MSOLService.

  3. Testare Exchange Online'autenticazione di base usando Analizzatore connettività remota Microsoft. Per altre informazioni su come usare Analizzatore connettività remota, vedere il seguente articolo della Microsoft Knowledge Base:

    2650717  Come usare Analizzatore connettività remota per risolvere i problemi di Single Sign-On per Office 365, Azure o Intune

Serve ulteriore assistenza? Vai al sito Web Microsoft Community o ai forum di Azure Active Directory .

Facebook LinkedIn Posta elettronica
SOTTOSCRIVI FEED RSS

Serve aiuto?

Vuoi altre opzioni?

Individua Community

Esplorare i vantaggi dell'abbonamento e i corsi di formazione, scoprire come proteggere il dispositivo e molto altro ancora.

Vantaggi dell'abbonamento a Microsoft 365

Formazione su Microsoft 365

Microsoft Security

Centro accessibilità

Le community aiutano a porre e a rispondere alle domande, a fornire feedback e ad ascoltare gli esperti con approfondite conoscenze.

Chiedi alla community Microsoft

Microsoft Tech Community

Partecipanti al Programma Windows Insider

Partecipanti al Programma Insider di Microsoft 365

Queste informazioni sono risultate utili?

Come valuti la qualità della lingua?
Cosa ha influito sulla tua esperienza?
Premendo Inviare, il tuo feedback verrà usato per migliorare i prodotti e i servizi Microsoft. L'amministratore IT potrà raccogliere questi dati. Informativa sulla privacy.

Grazie per il feedback!

×