Řešení problémů při instalaci jediného přihlášení služeb Office 365, Intune nebo Azure

ÚVOD

Tento článek popisuje řešení problémů při instalaci jediného přihlášení v služba Microsoft cloud služeb Office 365, Intune společnosti Microsoft nebo Microsoft Azure.

Prováděcí pokyny pro jednotné přihlášování (SSO) je k dispozici v dokumentaci služby Active Directory Azure (Azure AD). Pokud dojde k potížím při nastavení jednotného Přihlašování pomocí dané pokyny, můžete odkázat na tento článek. Poskytuje návod k řešení běžných problémů s každý krok instalace.

POSTUP

Řešení potíží s instalací SSO

Krok 1: Příprava služby Active Directory

Návod k instalaci
Přejděte na následující web společnosti Microsoft:
Ověření pro krok 1
Vyhledat problémy, které by mohly způsobit problémy synchronizace adresáře služby Active Directory, použijte nástroj připravenosti pro nasazení Microsoft Office 365.

Poznámka: Pouze uživatelské účty, které mají přípon zaregistrovaných uživatelských jmen (UPN), které odpovídají domény, která je federované pro jednotné přihlášování (SSO) můžete využít funkce jednotného Přihlašování.

Další informace o nástroj připravenosti pro nasazení sady Office 365 přejděte na následující web společnosti Microsoft:
Řešení potíží s ověřováním v kroku 1
Nástroj připravenosti pro nasazení sestavy obsahuje vložené odkazy na Microsoft Online Deployment Guide Poradce při potížích s pokyny pro konkrétní problémy, které jsou zjištěny. Chcete-li vyřešit, postupujte takto:
  1. Použijte nástroj připravenosti pro nasazení vložené odkazy na pokyny společnosti Microsoft Online Deployment Guide Chcete-li vyřešit problémy, které nástroj nalezne.

    Poznámka: Nesprávná Příprava služby Active Directory nebo selhání, chcete-li vyřešit problémy, které odhalí nástroj může způsobit problémy synchronizace adresáře v kroku 4. Postupujte podle návody pro řešení potíží, které nabízejí nástroj připravenosti pro nasazení a opravit problémy, ujistěte se, že nástroj připravenosti pro nasazení spuštěn bez chyb. Tak zabráníte tomu, aby tyto problémy vyskytující se v provedení:
    • 2392130 Poradce uživatele název problémech pro federované uživatele při přihlášení do služeb Office 365, Azure nebo Intune
    • 2001616 , uživatele služeb Office 365 e-mailovou adresu neočekávaně obsahuje podtržítko po synchronizaci adresářů
    • 2643629 jeden nebo více objektů bez synchronizace při použití nástroje Azure Active Directory Sync
  2. Spusťte znovu ověření kroky zkontrolujte, zda je problém vyřešen.

Krok 2: Architektura služby Active Directory Federation Services (AD FS)

Instalační program pokyny

Přejděte na následující weby společnosti Microsoft:

Poznámka: Microsoft Support nebude pomoci zákazníkům s spuštění instalace pokyny v těchto odkazů.

Krok 3: Azure Active Directory modul pro prostředí Windows PowerShell pro SSO

Návod k instalaci
Přejděte na následující web společnosti Microsoft:
Ověření pro krok 3
Chcete-li ověřit Azure Active Directory modul pro prostředí Windows PowerShell pro SSO, postupujte takto:
  1. Spuštění modulu Azure služby Active Directory pro prostředí Windows PowerShell jako správce.
  2. Zadejte následující příkazy a ujistěte se, že stisknutí klávesy Enter po zadání každého příkazu:
    1. $cred=Get-Credential 

      Poznámka: Budete-li vyzváni, zadejte pověření správce služby cloud.
    2. Connect-MsolService -Credential $cred 

      Poznámka: Tento příkaz připojí k Azure AD. Je třeba vytvořit kontext, který připojuje počítač k Azure AD, před spuštěním jakékoli další rutin, které jsou nainstalovány Azure Active Directory modul pro prostředí Windows PowerShell.
    3. Set-MsolAdfscontext -Computer < AD FS 2.0 primary server > 


      Poznámky
      • Pokud jste nainstalovali Azure Active Directory modul pro prostředí Windows PowerShell na primárním serveru služby Active Directory Federation Services (AD FS), není nutné spustit tuto rutinu.
      • V tomto příkazu je zástupný symbol <AD FS 2.0 primární server> představuje interní plně kvalifikovaný název domény (FQDN) primárního serveru služby AD FS. Tento příkaz vytvoří kontextu, který umožňuje připojení k služby AD FS.
    4. Get-MSOLFederationProperty -DomainName < federated domain name > 

      Poznámka: V tomto příkazu je zástupný symbol <název domény federované> představuje název domény, který byl federované kroky instalace.
  3. Porovnat první poloviny (Zdroj: AD FS Server) a poslední polovinu (Zdroj: služeb Microsoft Office 365) výstupu příkazu Get-MSOLFederationProperty , který byl spuštěn v kroku 2D. Všechny položky s výjimkou zdroje a FederationServiceDisplayName by měl odpovídat. Pokud se neshodují, aktualizovat data vztah důvěryhodnosti předávající strany pomocí části "Řešení" v následujícím článku znalostní báze Microsoft Knowledge Base:

    2647020 "Omlouváme se, ale jsme došlo k potížím při přihlášení" a "80041317" nebo "80043431" Chyba Federovaný uživatel pokusí přihlásit do služeb Office 365, Azure nebo Intune
Řešení potíží s ověřováním v kroku 3

Chcete-li vyřešit, postupujte takto:
  1. Řešit běžné problémy ověřování pomocí následujících článcích znalostní báze Microsoft Knowledge Base, podle vaší situace:
    • 2461873 nelze otevřít Azure Active Directory modul pro prostředí Windows PowerShell
    • 2494043 Nelze se připojit pomocí Azure Active Directory modul pro prostředí Windows PowerShell
    • 2587730 "připojení k serveru < název_serveru > Active Directory Federation Services 2.0 se nezdařilo" Chyba při použití rutiny Set MsolADFSContext
    • 2279117 správce nemůže přidat doménu do služeb Office 365 účtu
    • Chyba při spuštění rutiny New-MsolFederatedDomain podruhé, protože dojde k selhání ověření domény. Další informace o tomto scénáři naleznete v následujícím článku znalostní báze Knowledge Base:
      2515404 řešení problémů ověření domény ve službách Office 365
    • 2618887 "identifikátor federation service uvedené ve službě AD FS 2.0 server je již používán." Chyba při pokusu nastavit jiné federované domény do služeb Office 365, Azure nebo Intune
    • Problémy s časem způsobit problémy s New-MSOLFederatedDomain rutiny nebo rutina Convert-MSOLDomainToFederated . Další informace o tomto scénáři naleznete v následujícím článku znalostní báze Knowledge Base:
      2578667 "Omlouváme se, ale jsme došlo k potížím při přihlášení" a "80045 C 06" Chyba při Federovaný uživatel pokusí přihlásit do služeb Office 365, Azure nebo Intune
  2. Spusťte znovu ověření kroky zkontrolujte, zda je problém vyřešen.

Krok 4: Synchronizace služby Active Directory provést

Návod k instalaci
Přejděte na následující weby společnosti Microsoft:
Ověření pro krok 4
Chcete-li ověřit, postupujte takto:
  1. Spuštění modulu Azure služby Active Directory pro prostředí Windows PowerShell jako správce.
  2. Zadejte následující příkazy. Ujistěte se, že stisknete klávesu Enter po zadání každého příkazu.
    1. $cred=Get-Credential 


      Poznámka: Budete-li vyzváni, zadejte pověření správce služby cloud.
    2. Connect-MsolService -Credential $cred 


      Poznámka: Tento příkaz připojí k Azure AD. Je třeba vytvořit kontext, který připojuje počítač k Azure AD, před spuštěním jakékoli další rutin, které jsou nainstalovány Azure Active Directory modul pro prostředí Windows PowerShell.
    3. Get-MSOLCompanyInformation 
  3. Zkontrolujte hodnotučasu LastDirSyncz výstupu předchozí příkazy a ujistěte se, že ukazuje synchronizace poté, co byl nainstalován nástroj Azure Active Directory synchronizace.

    Poznámka: Datum a časové razítko pro tato hodnota je zobrazena v koordinovaný světový čas (greenwichský střední čas).
  4. Pokud LastDirSyncTime není aktualizován, sledování protokolu aplikace na serveru, na kterém je nainstalován nástroj Azure Active Directory synchronizace pro následující události:
    • Zdroj: synchronizace adresářů
    • ID události: 4
    • Úroveň: informace
    Tato událost označuje, že dokončení synchronizace adresáře na serveru. V takovém případě znovu spusťte následujícího postupu, ujistěte se, že hodnota LastDirSyncTime byla odpovídajícím způsobem aktualizují.
Řešení potíží s ověřováním v kroku 4

Řešit běžné problémy ověřování pomocí následujících článcích znalostní báze Microsoft Knowledge Base, podle vaší situace:
  • 2386445 Chyba při spuštění nástroje Azure Active Directory Sync: "vaše verze systému Windows Azure aktivní Průvodce konfigurací synchronizace adresáře je zastaralý"
  • 2310320 Chyba při pokusu spustit Azure synchronizace nástroj Konfigurace Průvodce služby Active Directory: "nelze ověřit vaše pověření. Zadejte znovu svá pověření a opakujte"
  • 2508225 "LogonUser() se nezdařila s kódem chyby: 1789" po zadání pověření správce rozlehlé sítě v Azure Active Directory Sync nástroj Průvodce konfigurací
  • 2502710 "s Microsoft Online Services přihlásit pomocníka došlo k neznámé chybě" Chyba při spuštění Azure synchronizace nástroj Konfigurace Průvodce služby Active Directory
  • 2419250 "počítač musí být připojen k doméně" Chyba při pokusu nainstalovat nástroj Azure Active Directory synchronizace
  • 2643629 jeden nebo více objektů bez synchronizace při použití nástroje Azure Active Directory Sync
  • 2641663 jak používat protokol SMTP tak, aby odpovídala odpovídající místní uživatelské účty uživatelské účty služeb Office 365 pro synchronizaci adresářů
  • 2492140 federované domény nelze přiřadit uživatele v portálu služeb Office 365

Krok 5: Office 365 klienta připravenosti

Návod k instalaci
  1. Zkontrolujte požadavky klienta pro Office 365. Další informace o systémových požadavcích aplikace Office 365 přejděte na Systémové požadavky služeb Office 365.
  2. Spusťte instalační program sady Office 365 plochy ve všech klientských počítačích, které používají bohatých klientských aplikací. Bohaté klientské aplikace včetně aplikace Microsoft Outlook, Microsoft službě Lync 2010, Microsoft Office Professional Plus 2010 a Azure Active Directory modul pro prostředí Windows PowerShell. Aplikace sady Office a integrace aplikace Microsoft SharePoint.

    Poznámka: Instalační program sady Office 365 plochy je k dispozici na adrese http://g.microsoftonline.com/0BX10en/436_qM _!Office365DesktopSetup.application.
  3. Pokud zkušenosti hladké, bez výzvy k doméně a k doméně připojeny klientské počítače, přidáte do zóny Místní intranet v aplikaci Windows Internet Explorer adresu URL služby AD FS Federation. Například takto:
    1. V aplikaci Internet Explorer klepněte v nabídce Nástroje na příkaz Možnosti Internetu.
    2. Klepněte na kartu zabezpečení , klepněte na položku Místní intranet, klepněte na tlačítko serverya potom klepněte na tlačítko Upřesnit.
    3. Napište https://sts.contoso.com do pole Přidat tento web k zóně a potom klepněte na tlačítko Přidat.

      Poznámka: "sts.contoso.com" představuje plně kvalifikovaný název DOMÉNY AD FS Federation Service.
    Další informace o této konfiguraci naleznete v následujícím článku znalostní báze Microsoft Knowledge Base:
    2535227 Federovaný uživatel vyzván neočekávaně k zadání jejich práce nebo škola pověření účtu
  4. Pokud v doméně a k doméně připojeny klientské počítače přístup k prostředkům v síti Internet pomocí serveru proxy, který překládá adresy v síti Internet pomocí veřejné dotazy DNS a interní, split-brain DNS, přidejte služby AD FS Federation URL do seznamu, pro který bude aplikace Internet Explorer obejít proxy filtrování. Následuje příklad toho, jak přidat adresu URL do seznamu výjimky aplikace Internet Explorer:
    1. V aplikaci Internet Explorer klepněte v nabídce Nástroje na příkaz Možnosti Internetu.
    2. Na kartě připojení klepněte na tlačítko Nastavení místní sítěa potom klepněte na tlačítko Upřesnit.
    3. Ve skupinovém rámečku výjimky zadejte hodnotu pomocí názvu DNS plně kvalifikovaný název koncového bodu služby AD FS. Zadejte například sts.contoso.com.
Ověření pro krok 5

Chcete-li ověřit, postupujte takto:
  1. Ujistěte se, že služby Microsoft Online Services Sign-in Assistant je nainstalována a spuštěna. Chcete-li to provést, postupujte takto:
    1. Klepněte na tlačítko Start, klepněte na příkaz Spustit, zadejte příkaz Services.msca klepněte na tlačítko OK.
    2. Vyhledejte položku služby Microsoft Online Services Sign-in Assistant a ujistěte se, zda je spuštěna služba.
    3. Pokud služba není spuštěna, klepněte pravým tlačítkem myši položku a pak vyberte příkaz Spustit.
  2. Přejděte na web AD FS MEX a ujistěte se, že koncový bod je součástí zóny zabezpečení aplikace Internet Explorer intranet. Chcete-li to provést, postupujte takto:
    1. Spusťte aplikaci Internet Explorer a přejděte na web koncového bodu služby AD FS. Následuje příklad webu koncového bodu služby:
      https://sts.contoso.com/federationmetadata/2007-06/federationmetadata.xml
    2. Zkontrolujte stavový řádek v dolní části okna a ujistěte se, že je uvedené pro tuto adresu URL zóny zabezpečení Místní intranet.

Krok 6: Konečné ověření

Počítače konfigurovaného klienta vyzkoušejte očekávané zkušenosti ověřování jednotného Přihlášení. To lze provést ověření pomocí účtu federovaného uživatele. Chcete testovat ověření federovaného uživatele v následujících situacích:
  • V místní síti a ověření pro službu Active Directory v prostorách
  • Z umístění v Internetu neutrální IP a není ověřen ke službě Active Directory v prostorách
Chcete-li ověřit, postupujte takto:
  1. Ověření webového test. Chcete-li to provést, použijte jednu z následujících metod:
    • Přihlaste se k portálu cloud služby jako federované uživatele pomocí místní pověření služby Active Directory.
    • Přihlášení k aplikaci Outlook Web App jako federované uživatele (pomocí místní pověření služby Active Directory), který má poštovní schránky na serveru Exchange Online. Například přihlášení k aplikaci Outlook Web App na následující adrese URL:
      https://outlook.com/owa/contoso.com
      Poznámka: Tato adresa URL "contoso.com" představuje název federované domény.
    • Přihlášení k aplikaci Microsoft SharePoint Online jako federované uživatele (pomocí místní pověření služby Active Directory), který má přístup ke kolekci týmového webu. Například přihlášení k aplikaci SharePoint Online na následující adrese URL:
      http://contoso.sharepoint.com
      Poznámka: Tato adresa URL "contoso" představuje název vaší organizace.
  2. Testování klienta nebo ověření aktivní žadatele. Chcete-li to provést, postupujte takto:
    1. Nastavit Skype pro Business Online (dříve službu Lync Online) client profile pro federované uživatelský účet a přihlaste se k účtu pomocí místní pověření služby Active Directory.
    2. Přihlásit se k Azure Active Directory modul pro prostředí Windows PowerShell pomocí účtu federovaného uživatele, který má globální správce pověření prostřednictvím rutiny MSOLService připojit .
  3. Testování základního ověřování Exchange Online pomocí vzdáleného připojení Analyzer Microsoft. Další informace o použití vzdáleného připojení Analyzer naleznete v následujícím článku znalostní báze Microsoft Knowledge Base:
    Jak 2650717 použití vzdáleného připojení Analyzer řešit problémy přihlášení služeb Office 365, Azure nebo Intune
Stále potřebujete pomoc? Přejít do Komunity Microsoft Azure Active Directory fóra na webu nebo na.
Vlastnosti

ID článku: 2530569 - Poslední kontrola: 12. 1. 2017 - Revize: 1

Váš názor