Przejdź do głównej zawartości
Pomoc techniczna
Zaloguj się
Zaloguj się przy użyciu konta Microsoft
Zaloguj się lub utwórz konto.
Witaj,
Wybierz inne konto.
Masz wiele kont
Wybierz konto, za pomocą którego chcesz się zalogować.

WPROWADZENIE

W tym artykule omówiono rozwiązywanie problemów z konfiguracją logowania jednokrotnego w usłudze firmy Microsoft w chmurze, takiej jak Office 365, Microsoft Intune lub Microsoft Azure.

Szczegółowe wskazówki dotyczące implementacji logowania jednokrotnego (SSO) są dostępne w dokumentacji Pomocy usługi Azure Active Directory (Azure AD). Jeśli podczas konfigurowania logowania logowania SSO wystąpi problem, korzystając z tych wskazówek, możesz skorzystać z tego artykułu. Zawiera on przewodnik ułatwiający rozwiązywanie typowych problemów z każdym krokiem konfiguracji.

PROCEDURA

Rozwiązywanie problemów z konfiguracją funkcji SSO

Krok 1. Przygotowywanie usługi Active Directory

Wskazówki dotyczące konfiguracji

Przejdź do następującej witryny internetowej firmy Microsoft:

Przygotowywanie się do logowania jednokrotnego

Sprawdzanie poprawności kroku 1

Użyj kreatora diagnostyki konfiguracji synchronizacji katalogów, aby przeskanować usługę Active Directory w poszukiwaniu problemów, które mogą powodować problemy z synchronizacją katalogów.

Rozwiązywanie problemów ze sprawdzaniem poprawności kroku 1

  1. Uwaga Nieprawidłowe przygotowanie usługi Active Directory lub niepowodzenie rozwiązywania problemów, które identyfikuje narzędzie, może powodować problemy z synchronizacją katalogów. Postępuj zgodnie ze wskazówkami dotyczącymi rozwiązywania problemów oferowanymi przez kreatora Diagnostyka konfiguracji synchronizacji katalogów, aby rozwiązać problemy i upewnić się, że kreator diagnostyki jest uruchamiany bez żadnych błędów. Zapobiega to występowaniu następujących problemów w dalszej części implementacji:

    • 2392130 Rozwiązywanie problemów z nazwami użytkowników występujących w przypadku użytkowników federacyjnych podczas logowania się do Office 365, azure lub Intune

    • 2001616 Adres e-mail Office 365 użytkownika nieoczekiwanie zawiera znak podkreślenia po synchronizacji katalogów

    • 2643629 Co najmniej jeden obiekt nie jest synchronizowany podczas korzystania z narzędzia do synchronizacji usługi Azure Active Directory

  2. Uruchom ponownie kreatora diagnostyki, aby sprawdzić, czy problem został rozwiązany.

Krok 2. Architektura Active Directory Federation Services (AD FS)

Wskazówki dotyczące

konfiguracji Przejdź do następujących witryn internetowych firmy Microsoft:

Uwaga pomoc techniczna firmy Microsoft nie pomoże klientom w wykonaniu wskazówek dotyczących konfiguracji w tych linkach.

Krok 3. Moduł usługi Azure Active Directory dla Windows PowerShell dla funkcji SSO

Wskazówki dotyczące konfiguracji

Przejdź do następującej witryny internetowej firmy Microsoft:

Instalowanie Windows PowerShell logowania jednokrotnego za pomocą usług AD FS

Sprawdzanie poprawności kroku 3

Aby sprawdzić poprawność modułu usługi Azure Active Directory dla Windows PowerShell dla funkcji SSO, wykonaj następujące czynności:

  1. Uruchom moduł usługi Azure Active Directory dla Windows PowerShell jako administrator.

  2. Wpisz następujące polecenia i upewnij się, że po wpisaniu poszczególnych poleceń naciśniesz klawisz Enter:

    1. $cred=Get-Credential
      Uwaga Gdy zostanie wyświetlony monit, wpisz poświadczenia administratora usługi w chmurze.

    2. Connect-MsolService -Credential $cred


      Uwaga To polecenie łączy Cię z Azure AD. Przed uruchomieniem dowolnego z dodatkowych poleceń cmdlet zainstalowanych przez moduł usługi Azure Active Directory dla Windows PowerShell należy utworzyć kontekst łączący Cię z Azure AD.

    3. Set-MsolAdfscontext -Computer < AD FS 2.0 primary server >



      Notatki

      • Jeśli na serwerze podstawowym Active Directory Federation Services (AD FS) zainstalowano moduł usługi Azure Active Directory dla Windows PowerShell, nie musisz uruchamiać tego polecenia cmdlet.

      • W tym poleceniu symbol zastępczy <podstawowy serwer usług AD FS 2.0> reprezentuje wewnętrzną w pełni kwalifikowaną nazwę domeny (FQDN) podstawowego serwera usług AD FS. To polecenie tworzy kontekst łączący Cię z usługą AD FS.

    4. Get-MSOLFederationProperty -DomainName < federated domain name >


      Uwaga W tym poleceniu symbol zastępczy <federacyjnego nazwy domeny> reprezentuje nazwę domeny, która została sfederowana w krokach konfiguracji.

  3. Porównaj pierwszą połowę (Źródło: Serwer AD FS) i ostatnią połowę (Źródło: Microsoft Office 365) wyniku polecenia Get-MSOLFederationProperty, które było wyświetlane w kroku 2D. Wszystkie wpisy z wyjątkiem pozycji Source i FederationServiceDisplayName powinny być zgodne. Jeśli nie są one zgodne, zaktualizuj dane zaufania jednostki uzależnionej za pomocą sekcji "Rozwiązywanie problemów" z poniższego artykułu z bazy wiedzy Microsoft Knowledge Base:

    2647020 "Niestety, ale występują problemy z zalogowaniem Cię" i "80041317" lub "80043431", gdy użytkownik federacyjny próbuje zalogować się do Office 365, azure lub Intune

Rozwiązywanie problemów ze sprawdzaniem poprawności kroku 3

Aby rozwiązać ten problem, wykonaj następujące czynności:

  1. Rozwiązywanie typowych problemów ze sprawdzaniem poprawności przy użyciu następujących artykułów z bazy wiedzy Microsoft Knowledge Base, stosownie do sytuacji:

    • 2461873 Nie można otworzyć modułu usługi Azure Active Directory dla Windows PowerShell

    • 2494043Nie można nawiązać połączenia przy użyciu modułu usługi Azure Active Directory dla Windows PowerShell

    • 2587730 błąd "Nie powiodło się połączenie z serwerem <ServerName> Active Directory Federation Services 2.0" podczas korzystania z polecenia cmdlet Set-MsolADFSContext

    • 2279117 Administrator nie może dodać domeny do konta Office 365

    • Błąd podczas drugiego uruchomienia polecenia cmdlet New-MsolFederatedDomain z powodu niepowodzenia weryfikacji domeny. Aby uzyskać więcej informacji na temat tego scenariusza, zobacz następujący artykuł z bazy wiedzy Knowledge Base:

      2515404 Rozwiązywanie problemów z weryfikacją domeny w Office 365

    • 2618887 błąd "Identyfikator usługi federacyjnej określony na serwerze usług AD FS 2.0 jest już używany". Podczas próby skonfigurowania innej domeny federacyjnej w usłudze Office 365, Azure lub Intune

    • Problemy z czasem powodują problemy z poleceniem cmdlet New-MSOLFederatedDomain lub poleceniem cmdlet Convert-MSOLDomainToFederated.

  2. Uruchom ponownie kroki sprawdzania poprawności, aby sprawdzić, czy problem został rozwiązany.

Krok 4. Zaimplementuj synchronizację z usługą Active Directory

Wskazówki dotyczące konfiguracji

Przejdź do następujących witryn internetowych firmy Microsoft:

Sprawdzanie poprawności kroku 4

Aby sprawdzić poprawność, wykonaj następujące czynności:

  1. Uruchom moduł usługi Azure Active Directory dla Windows PowerShell jako administrator.

  2. Wpisz następujące polecenia. Po wpisaniu każdego polecenia naciśnij klawisz Enter.

    1. $cred=Get-Credential

      Uwaga Gdy zostanie wyświetlony monit, wpisz poświadczenia administratora usługi w chmurze.

    2. Connect-MsolService — $cred

      poświadczeń Uwaga To polecenie łączy Cię z Azure AD. Przed uruchomieniem dowolnego z dodatkowych poleceń cmdlet zainstalowanych przez moduł usługi Azure Active Directory dla Windows PowerShell należy utworzyć kontekst łączący Cię z Azure AD.

    3. Get-MSOLCompanyInformation

  3. Sprawdź wartość LastDirSyncTime z danych wyjściowych poprzednich poleceń i upewnij się, że po zainstalowaniu narzędzia do synchronizacji usługi Azure Active Directory jest wyświetlana synchronizacja.

    Uwaga Sygnatura daty i godziny dla tej wartości jest wyświetlana w uniwersalnym czasie koordynowanym (czasu uniwersalnego Greenwich).

  4. Jeśli funkcja LastDirSyncTime nie została zaktualizowana, monitoruj dziennik aplikacji serwera, na którym jest zainstalowane narzędzie do synchronizacji usługi Azure Active Directory, dla następującego zdarzenia:

    • Źródło: Synchronizacja katalogów

    • Identyfikator zdarzenia: 4

    • Poziom: Informacje

    To zdarzenie wskazuje, że synchronizacja katalogów została zakończona na serwerze. W takim przypadku uruchom ponownie te czynności, aby upewnić się, że wartość LastDirSyncTime została odpowiednio zaktualizowana.

Rozwiązywanie problemów ze sprawdzaniem poprawności w kroku 4

Rozwiązywanie typowych problemów ze sprawdzaniem poprawności przy użyciu następujących artykułów z bazy wiedzy Microsoft Knowledge Base, stosownie do sytuacji:

  • 2508225 "LognUser() Failed with error code: 1789" after you enter enterprise administrator credentials in the Azure Active Directory Sync tool Configuration Wizard

  • 2502710 "Wystąpił nieznany błąd z asystentem logowania w usługach Microsoft Online Services" podczas uruchamiania Kreatora konfiguracji narzędzia do synchronizacji usługi Azure Active Directory

  • 2419250 błąd "Komputer musi być przyłączony do domeny" podczas próby zainstalowania narzędzia do synchronizacji usługi Azure Active Directory

  • 2643629 Co najmniej jeden obiekt nie jest synchronizowany podczas korzystania z narzędzia do synchronizacji usługi Azure Active Directory

  • 2641663 Jak za pomocą dopasowywania SMTP dopasować lokalne konta użytkowników do Office 365 kont użytkowników na potrzeby synchronizacji katalogów

  • 2492140 Nie można przypisać domeny federacyjne do użytkownika w portalu Office 365

Krok 5. Office 365 przygotowanie klienta

Wskazówki dotyczące konfiguracji

  1. Sprawdź wymagania wstępne klienta pod kątem Office 365. Aby uzyskać więcej informacji na temat wymagań systemowych dotyczących Office 365, zobacz wymagania systemowe Office 365.

  2. Uruchom Office 365 Konfiguracja pulpitu na wszystkich komputerach klienckich, na których są używane rozbudowane aplikacje klienckie. Zaawansowane aplikacje klienckie obejmują program Microsoft Outlook, Program Microsoft Lync 2010, Microsoft® Office Professional Plus 2010, moduł usługi Azure Active Directory dla Windows PowerShell. Aplikacje klasyczne pakietu Office i aplikacje integracji z programem Microsoft SharePoint.

  3. Jeśli dla komputerów klienckich przyłączonych do domeny i połączonych z domeną nie jest oczekiwany żaden monit, dodaj adres URL usługi federacyjnej AD FS do lokalnej strefy intranetowej w programie Windows Internet Explorer. Na przykład wykonaj następujące czynności:

    1. W programie Internet Explorer w menu Narzędzia kliknij pozycję Opcje internetowe.

    2. Kliknij kartę Zabezpieczenia , kliknij pozycję Lokalny intranet, kliknij pozycję Witryny, a następnie kliknij pozycję Zaawansowane.

    3. Wpisz https://sts.contoso.com w polu Dodaj tę witrynę sieci Web do strefy , a następnie kliknij przycisk Dodaj.

      Uwaga "sts.contoso.com" reprezentuje nazwę FQDN usługi federacyjnej usług AD FS.

    Aby uzyskać więcej informacji na temat tej konfiguracji, zobacz następujący artykuł z bazy wiedzy Microsoft Knowledge Base:

    2535227 Użytkownik federacyjny jest nieoczekiwanie monitowany o wprowadzenie poświadczeń konta służbowego

  4. Jeśli komputery klienckie przyłączone do domeny i połączone z domeną uzyskują dostęp do zasobów internetowych za pomocą serwera proxy, który rozpozna adresy internetowe przy użyciu publicznych zapytań DNS (a nie wewnętrznych, podzielonych systemów DNS mózgu), dodaj adres URL usługi federacyjnej AD FS do listy, dla której program Internet Explorer będzie pomijał filtrowanie serwerów proxy. Poniżej przedstawiono przykład dodawania adresu URL do listy wyjątków programu Internet Explorer:

    1. W programie Internet Explorer w menu Narzędzia kliknij pozycję Opcje internetowe.

    2. Na karcie Połączenia kliknij pozycję Ustawienia sieci LAN, a następnie kliknij pozycję Zaawansowane.

    3. W polu Wyjątki wprowadź wartość przy użyciu w pełni kwalifikowanej nazwy DNS nazwy punktu końcowego usługi AD FS. Na przykład wprowadź sts.contoso.com.

Sprawdzanie poprawności kroku 5

Aby sprawdzić poprawność, wykonaj następujące czynności:

  1. Upewnij się, że usługa Asystent logowania w witrynie Microsoft Online Services jest zainstalowana i uruchomiona. W tym celu wykonaj następujące czynności:

    1. Kliknij przycisk Start, kliknij polecenie Uruchom, wpisz Services.msc, a następnie kliknij przycisk OK.

    2. Znajdź wpis Asystent logowania w witrynie Microsoft Online Services, a następnie upewnij się, że usługa jest uruchomiona.

    3. Jeśli usługa nie jest uruchomiona, kliknij prawym przyciskiem myszy wpis, a następnie wybierz pozycję Rozpocznij.

  2. Przejdź do witryny internetowej AD FS MEX, aby upewnić się, że punkt końcowy jest częścią strefy zabezpieczeń intranetowych programu Internet Explorer. W tym celu wykonaj następujące czynności:

    1. Uruchom program Internet Explorer, a następnie przejdź do witryny internetowej punktu końcowego usługi AD FS. Poniżej przedstawiono przykład witryny internetowej punktu końcowego usługi:

      https://sts.contoso.com/federationmetadata/2007-06/federationmetadata.xml

    2. Sprawdź pasek stanu u dołu okna, aby upewnić się, że strefą zabezpieczeń wskazaną dla tego adresu URL jest lokalny intranet.

Krok 6. Ostateczna weryfikacja

Na skonfigurowanym komputerze klienckim przetestuj oczekiwane uwierzytelnianie logowania jednokrotnego. W tym celu uwierzytelnij się przy użyciu federacyjnych kont użytkowników. Możesz przetestować uwierzytelnianie użytkownika federacyjne w następujących scenariuszach:

  • W sieci lokalnej i uwierzytelniony w lokalna usługa Active Directory

  • Z neutralnej internetowej lokalizacji IP i nie uwierzytelnionej do lokalna usługa Active Directory

Aby sprawdzić poprawność, wykonaj następujące czynności:

  1. Przetestuj uwierzytelnianie w sieci Web. W tym celu zastosuj jedną z następujących metod:

    • Zaloguj się do portalu usługi w chmurze jako użytkownik federacyjny, używając lokalnych poświadczeń usługi Active Directory.

    • Zaloguj się, aby Outlook Web App jako użytkownik federacyjny (używając lokalnych poświadczeń usługi Active Directory), który ma Exchange Online skrzynkę pocztową. Na przykład zaloguj się do Outlook Web App pod następującym adresem URL:

      https://outlook.com/owa/contoso.comNote W tym adresie URL "contoso.com" odpowiada federacyjnej nazwie domeny.

    • Zaloguj się, aby Microsoft Office SharePoint Online jako użytkownik federacyjny (używając lokalnych poświadczeń usługi Active Directory), który ma dostęp do zbioru witryn zespołu. Na przykład zaloguj się do usługi SharePoint Online pod następującym adresem URL:

      http://contoso.sharepoint.comNote W tym adresie URL ciąg "contoso" reprezentuje nazwę Twojej organizacji.

  2. Przetestuj zaawansowane uwierzytelnianie klienta lub aktywnego żądacza. W tym celu wykonaj następujące czynności:

    1. Skonfiguruj profil klienta usługi Skype dla firm Online (dawniej Lync Online) dla federacyjnych kont użytkowników, a następnie zaloguj się do tego konta przy użyciu lokalnych poświadczeń usługi Active Directory.

    2. Zaloguj się do modułu usługi Azure Active Directory dla Windows PowerShell przy użyciu federacyjne konto użytkownika z poświadczeniami administratora globalnego za pośrednictwem polecenia cmdlet connect-MSOLService.

  3. Przetestuj Exchange Online uwierzytelnianie podstawowe przy użyciu analizatora zdalnej łączności firmy Microsoft. Aby uzyskać więcej informacji na temat korzystania z analizatora łączności zdalnej, zobacz następujący artykuł w bazie wiedzy Microsoft Knowledge Base:

    2650717  Jak rozwiązywać problemy z logowaniem jednokrotnym dla Office 365, platformy Azure lub Intune

Nadal potrzebujesz pomocy? Przejdź do witryny Microsoft Community lub witryny internetowej forów usługi Azure Active Directory .

Facebook LinkedIn Adres e-mail
ZASUBSKRYBUJ KANAŁY INFORMACYJNE RSS

Potrzebujesz dalszej pomocy?

Chcesz uzyskać więcej opcji?

Odkryj Społeczność

Poznaj korzyści z subskrypcji, przeglądaj kursy szkoleniowe, dowiedz się, jak zabezpieczyć urządzenie i nie tylko.

Korzyści z subskrypcji platformy Microsoft 365

Szkolenia dotyczące platformy Microsoft 365

Rozwiązania dotyczące zabezpieczeń firmy Microsoft

Centrum ułatwień dostępu

Społeczności pomagają zadawać i odpowiadać na pytania, przekazywać opinie i słuchać ekspertów z bogatą wiedzą.

Zapytaj społeczność firmy Microsoft

Społeczność techniczna firmy Microsoft

Niejawny program testów systemu Windows

Microsoft 365 Insiders

Czy te informacje były pomocne?

Jaka jest jakość języka?
Co wpłynęło na Twoje wrażenia?
Jeśli naciśniesz pozycję „Wyślij”, Twoja opinia zostanie użyta do ulepszania produktów i usług firmy Microsoft. Twój administrator IT będzie mógł gromadzić te dane. Oświadczenie o ochronie prywatności.

Dziękujemy za opinię!

×