Logg på med Microsoft
Logg på, eller opprett en konto.
Hei,
Velg en annen konto.
Du har flere kontoer
Velg kontoen du vil logge på med.

INNLEDNING

Denne artikkelen beskriver hvordan du feilsøker problemer med konfigurasjon av enkel pålogging i en Microsoft-skytjeneste, for eksempel Office 365, Microsoft Intune eller Microsoft Azure.

Detaljert implementeringsveiledning for enkel pålogging (SSO) er tilgjengelig i hjelpedokumentasjonen for Azure Active Directory (Azure AD). Hvis det oppstår et problem når du konfigurerer SSO ved hjelp av denne veiledningen, kan du se denne artikkelen. Den inneholder et veikart for å feilsøke vanlige problemer med hvert oppsettstrinn.

PROSEDYRE

Slik feilsøker du SSO-oppsett

Trinn 1: Klargjøre Active Directory

Konfigurasjonsveiledning

Gå til følgende Microsoft-nettsted:

Forbered deg på enkel pålogging

Validering for trinn 1

Bruk diagnostikkveiviseren for evaluering av katalogsynkronisering til å skanne Active Directory etter problemer som kan forårsake problemer med katalogsynkronisering.

Feilsøke problemer med validering for trinn 1

  1. Obs! Feil klargjøring av Active Directory eller feil for å løse problemer som verktøyet identifiserer, kan føre til problemer med katalogsynkronisering. Følg feilsøkingsveiledningen som tilbys av diagnoseveiviseren for konfigurasjon av evalueringskatalog for å løse problemene, og kontroller at diagnoseveiviseren kjører uten feil. Dette forhindrer at følgende problemer oppstår senere i implementeringen:

    • 2392130 Feilsøke brukernavnproblemer som oppstår for brukere i forbund når de logger på Office 365, Azure eller Intune

    • 2001616 En brukers Office 365 e-postadresse inneholder uventet et understrekingstegn etter katalogsynkronisering

    • 2643629 Ett eller flere objekter synkroniseres ikke når du bruker synkroniseringsverktøyet for Azure Active Directory

  2. Kjør diagnoseveiviseren på nytt for å kontrollere om problemet er løst.

Trinn 2: Active Directory Federation Services (AD FS)-arkitektur

Konfigurasjonsveiledning

Gå til følgende Microsoft-nettsteder:

Vær oppmerksom på at Microsoft Kundestøtte ikke hjelper kunder med utførelsen av konfigurasjonsveiledningen i disse koblingene.

Trinn 3: Azure Active Directory-modul for Windows PowerShell for SSO

Konfigurasjonsveiledning

Gå til følgende Microsoft-nettsted:

Installer Windows PowerShell for enkel pålogging med AD FS

Validering for trinn 3

Følg disse trinnene for å validere Azure Active Directory-modulen for Windows PowerShell for SSO:

  1. Kjør Azure Active Directory-modulen for Windows PowerShell som administrator.

  2. Skriv inn følgende kommandoer, og kontroller at du trykker ENTER etter at du har skrevet inn hver kommando:

    1. $cred=Hent legitimasjon
      Obs! Når du blir bedt om det, skriver du inn administratorlegitimasjonen for skytjenesten.

    2. Connect-MsolService -Credential $cred


      Obs! Denne kommandoen kobler deg til Azure AD. Du må opprette en kontekst som kobler deg til Azure AD før du kjører noen av de ekstra cmdletene som installeres av Azure Active Directory-modulen for Windows PowerShell.

    3. Set-MsolAdfscontext -Computer < AD FS 2.0 primary server >



      Notater

      • Hvis du installerte Azure Active Directory-modulen for Windows PowerShell på den primære Active Directory Federation Services (AD FS)-serveren, trenger du ikke å kjøre denne cmdleten.

      • I denne kommandoen representerer plassholderen <AD FS 2.0 primærserver> det interne fullstendige domenenavnet (FQDN) for den primære AD FS-serveren. Denne kommandoen oppretter en kontekst som kobler deg til AD FS.

    4. Get-MSOLFederationProperty -DomainName < federated domain name >


      Obs! I denne kommandoen representerer plassholderen <organisasjonsdomenenavn> domenenavnet som ble samlet i konfigurasjonstrinnene.

  3. Sammenlign første halvdel (kilde: AD FS-server) og siste halvdel (kilde: Microsoft Office 365) av utdataene for Get-MSOLFederationProperty-kommandoen som du kjørte i trinn 2D. Alle oppføringer bortsett fra Kilde og FederationServiceDisplayName skal samsvare. Hvis de ikke samsvarer, kan du bruke delen «Løsning» i følgende Microsoft Knowledge Base-artikkel til å oppdatere klareringsdataene for beroende parter:

    2647020 «Beklager, men vi har problemer med å logge deg på» og «80041317» eller «80043431»-feil når en organisasjonsbruker prøver å logge på Office 365, Azure eller Intune

Feilsøke problemer med validering for trinn 3

Følg disse trinnene for å feilsøke:

  1. Feilsøk vanlige valideringsproblemer ved hjelp av følgende Microsoft Knowledge Base-artikler, avhengig av situasjonen:

    • 2461873 Du kan ikke åpne Azure Active Directory-modulen for Windows PowerShell

    • 2494043Du kan ikke koble til ved hjelp av Azure Active Directory-modulen for Windows PowerShell

    • 2587730 feilmeldingen «Tilkoblingen til <ServerName> Active Directory Federation Services 2.0-serveren mislyktes» når du bruker cmdleten Set-MsolADFSContext

    • 2279117 En administrator kan ikke legge til et domene i en Office 365-konto

    • Feil når du kjører cmdleten New-MsolFederatedDomain for andre gang fordi domenebekreftelsen mislykkes. Hvis du vil ha mer informasjon om dette scenarioet, kan du se følgende Knowledge Base-artikkel:

      2515404 Feilsøke problemer med domenebekreftelse i Office 365

    • 2618887 «Forbundstjenesteidentifikatoren som er angitt i AD FS 2.0-serveren, er allerede i bruk». Når du prøver å konfigurere et annet forbundsdomene i Office 365, Azure eller Intune

    • Tidsproblemer forårsaker problemer med New-MSOLFederatedDomain cmdlet eller Convert-MSOLDomainToFederated cmdlet.

  2. Kjør valideringstrinnene på nytt for å kontrollere om problemet er løst.

Trinn 4: Implementere Active Directory-synkronisering

Konfigurasjonsveiledning

Gå til følgende Microsoft-nettsteder:

Validering for trinn 4

Følg disse trinnene for å validere:

  1. Kjør Azure Active Directory-modulen for Windows PowerShell som administrator.

  2. Skriv inn følgende kommandoer. Pass på at du trykker Enter etter hver kommando.

    1. $cred=Hent legitimasjon

      Obs! Når du blir bedt om det, skriver du inn administratorlegitimasjonen for skytjenesten.

    2. Connect-MsolService -Credential $cred

      Obs! Denne kommandoen kobler deg til Azure AD. Du må opprette en kontekst som kobler deg til Azure AD før du kjører noen av de ekstra cmdletene som installeres av Azure Active Directory-modulen for Windows PowerShell.

    3. Get-MSOLCompanyInformation

  3. Kontroller LastDirSyncTime-verdien fra utdataene fra de forrige kommandoene, og kontroller at den viser en synkronisering etter at synkroniseringsverktøyet for Azure Active Directory ble installert.

    Obs! Dato- og klokkeslettangivelsen for denne verdien vises i Coordinated Universal Time (Greenwich Mean Time).

  4. Hvis LastDirSyncTime ikke oppdateres, kan du overvåke programloggen til serveren der synkroniseringsverktøyet for Azure Active Directory er installert for følgende hendelse:

    • Kilde: Katalogsynkronisering

    • Hendelses-ID: 4

    • Nivå: Informasjon

    Denne hendelsen indikerer at katalogsynkronisering er fullført på serveren. Når dette skjer, kjører du disse trinnene på nytt for å sikre at LastDirSyncTime-verdien ble oppdatert på riktig måte.

Feilsøke problemer med validering for trinn 4

Feilsøk vanlige valideringsproblemer ved hjelp av følgende Microsoft Knowledge Base-artikler, avhengig av situasjonen:

  • 2508225 «LogonUser() mislyktes med feilkode: 1789» etter at du har angitt legitimasjon for bedriftsadministrator i konfigurasjonsveiviseren for Azure Active Directory-synkroniseringsverktøy

  • 2502710 feilmeldingen «Det oppstod en ukjent feil med påloggingsassistenten for Microsoft Online Services» når du kjører konfigurasjonsveiviseren for Synkroniseringsverktøy for Azure Active Directory

  • 2419250 feilmeldingen «Datamaskinen må være koblet til et domene» når du prøver å installere synkroniseringsverktøyet for Azure Active Directory

  • 2643629 Ett eller flere objekter synkroniseres ikke når du bruker synkroniseringsverktøyet for Azure Active Directory

  • 2641663 Slik bruker du SMTP-samsvar for å samsvare med lokale brukerkontoer for å Office 365 brukerkontoer for katalogsynkronisering

  • 2492140 Du kan ikke tilordne et organisasjonsbasert domene til en bruker i Office 365-portalen

Trinn 5: Office 365 klientberedskap

Konfigurasjonsveiledning

  1. Kontroller forutsetningene for klienten for Office 365. Hvis du vil ha mer informasjon om systemkravene for Office 365, kan du gå til Office 365 systemkrav.

  2. Kjør Office 365 skrivebordsinstallasjon på alle klientdatamaskiner som bruker rike klientprogrammer. Rike klientprogrammer inkluderer Microsoft Outlook, Microsoft Lync 2010, Microsoft Office Professional Plus 2010, Azure Active Directory-modul for Windows PowerShell. Office-skrivebordsprogrammer og Integreringsprogrammer for Microsoft SharePoint.

  3. Hvis det forventes en sømløs opplevelse uten spørsmål for domenetilkoblede og domenetilkoblede klientdatamaskiner, legger du til URL-adressen for AD FS Federation Service i den lokale intranettsonen i Windows Internet Explorer. Gjør for eksempel følgende:

    1. Klikk Alternativer for InternettVerktøy-menyen i Internet Explorer.

    2. Klikk kategorien Sikkerhet , klikk Lokalt intranett, klikk Områder, og klikk deretter Avansert.

    3. Skriv inn https://sts.contoso.com i boksen Legg til dette nettstedet i sonen , og klikk deretter Legg til.

      Obs! «sts.contoso.com» representerer FQDN for AD FS Federation Service.

    Hvis du vil ha mer informasjon om denne konfigurasjonen, kan du se følgende Microsoft Knowledge Base-artikkel:

    2535227 En organisasjonsbasert bruker blir uventet bedt om å angi legitimasjonen for jobb- eller skolekontoen sin

  4. Hvis domenetilkoblede og domenetilkoblede klientdatamaskiner får tilgang til Internett-ressurser ved hjelp av en proxy-server som løser Internett-adresser ved hjelp av offentlige DNS-spørringer (og ikke intern DNS, split-brain DNS), kan du legge til URL-adressen for AD FS Federation Service i listen som Internet Explorer vil omgå proxyfiltrering for. Følgende er et eksempel på hvordan du legger til nettadressen i unntakslisten i Internet Explorer:

    1. Klikk Alternativer for InternettVerktøy-menyen i Internet Explorer.

    2. Klikk LAN-innstillingerfanen Tilkoblinger, og klikk deretter Avansert.

    3. Skriv inn verdien i Unntak-boksen ved hjelp av det fullstendige DNS-navnet på AD FS-tjenestens endepunktnavn. Skriv for eksempel inn sts.contoso.com.

Validering for trinn 5

Følg disse trinnene for å validere:

  1. Kontroller at påloggingsassistenttjenesten for Microsoft Online Services er installert og kjører. Dette gjør du slik:

    1. Klikk Start, klikk Kjør, skriv inn Services.msc, og klikk deretter OK.

    2. Finn påloggingsassistentoppføringen for Microsoft Online Services, og kontroller deretter at tjenesten kjører.

    3. Hvis tjenesten ikke kjører, høyreklikker du oppføringen, og deretter velger du Start.

  2. Gå til AD FS MEX-nettstedet for å sikre at endepunktet er en del av sikkerhetssonen intranett i Internet Explorer. Dette gjør du slik:

    1. Start Internet Explorer, og gå deretter til nettstedet for AD FS-tjenestens endepunkt. Følgende er et eksempel på et nettsted for tjenesteendepunkt:

      https://sts.contoso.com/federationmetadata/2007-06/federationmetadata.xml

    2. Kontroller statuslinjen nederst i vinduet for å kontrollere at sikkerhetssonen som er angitt for denne URL-adressen, er lokalt intranett.

Trinn 6: Endelig validering

Test den forventede SSO-godkjenningsopplevelsen på en konfigurert klientdatamaskin. Dette gjør du ved å godkjenne ved hjelp av en organisasjonsbasert brukerkonto. Du vil kanskje teste godkjenning av en organisasjonsbasert bruker i følgende scenarioer:

  • I det lokale nettverket og godkjent til lokal Active Directory

  • Fra en Internett-nøytral IP-plassering og ikke godkjent til lokal Active Directory

Følg disse trinnene for å validere:

  1. Test webgodkjenning. Hvis du vil gjøre dette, kan du bruke én av følgende metoder:

    • Logg på skytjenesteportalen som en organisasjonsbasert bruker ved hjelp av lokal Active Directory-legitimasjon.

    • Logg på Outlook Web App som en organisasjonsbasert bruker (ved hjelp av lokal Active Directory-legitimasjon) som har en Exchange Online postboks. Logg deg for eksempel på Outlook Web App på følgende URL-adresse:

      https://outlook.com/owa/contoso.comNote I denne URL-adressen representerer contoso.com domenenavnet i organisasjonsforbundet.

    • Logg deg på Microsoft Office SharePoint Online som en organisasjonsbasert bruker (ved hjelp av lokal Active Directory-legitimasjon) som har tilgang til gruppeområdesamlingen. Logg deg for eksempel på SharePoint Online på følgende URL-adresse:

      http://contoso.sharepoint.comNote Contoso representerer organisasjonens navn i denne URL-adressen.

  2. Test rik klient eller aktiv anmodergodkjenning. Dette gjør du slik:

    1. Konfigurer en Skype for Business Online-klientprofil (tidligere Lync Online) for en organisasjonsbasert brukerkonto, og logg deretter på kontoen ved hjelp av lokal Active Directory-legitimasjon.

    2. Logg deg på Azure Active Directory-modulen for Windows PowerShell ved hjelp av en organisasjonsbasert brukerkonto som har global administratorlegitimasjon gjennom cmdleten connect-MSOLService.

  3. Test Exchange Online enkel godkjenning ved hjelp av Microsoft Remote Connectivity Analyzer. Hvis du vil ha mer informasjon om hvordan du bruker Remote Connectivity Analyzer, kan du se følgende artikkel i Microsoft Knowledge Base:

    2650717  Slik bruker du Remote Connectivity Analyzer til å feilsøke problemer med enkel pålogging for Office 365, Azure eller Intune

Trenger du fremdeles hjelp? Gå til Microsoft Community eller azure Active Directory Forums-nettstedet .

Facebook LinkedIn E-post
ABONNER PÅ RSS-FEEDER

Trenger du mer hjelp?

Vil du ha flere alternativer?

Oppdag Community

Utforsk abonnementsfordeler, bla gjennom opplæringskurs, finn ut hvordan du sikrer enheten og mer.

Abonnementsfordeler for Microsoft 365

Microsoft 365-opplæring

Microsoft Sikkerhet

Tilgjengelighetssenter

Fellesskap hjelper deg med å stille og svare på spørsmål, gi tilbakemelding og høre fra eksperter med stor kunnskap.

Spør Microsoft-fellesskapet

Teknisk fellesskap for Microsoft

Windows Insider-medlemmer

Microsoft 365 Insiders

Var denne informasjonen nyttig?

Hvor fornøyd er du med språkkvaliteten?
Hva påvirket opplevelsen din?
Når du trykker på Send inn, blir tilbakemeldingen brukt til å forbedre Microsoft-produkter og -tjenester. IT-administratoren kan samle inn disse dataene. Personvernerklæring.

Takk for tilbakemeldingen!

×