ÚVOD

Tento článek popisuje, jak řešit problémy s instalací jednotného přihlašování v cloudové službě Microsoftu, jako je Office 365, Microsoft Intune nebo Microsoft Azure. podrobné pokyny k implementaci jednotného přihlašování (SSO) najdete v nápovědě k Azure Active Directory (Azure AD). Pokud při nastavování jednotného přihlašování pomocí tohoto návodu dojde k potížím, můžete se podívat na tento článek. Poskytuje přehled, který pomáhá řešit běžné problémy s každým krokem nastavení.

POSTUP

Řešení potíží s nastavením jednotného přihlašování

Krok 1: Příprava služby Active Directory

Pokyny k nastavení

Přejděte na následující web společnosti Microsoft:

Příprava na jednotné přihlašování

Ověření v kroku 1

Pomocí Průvodce korutinou Diagnostika nastavení synchronizace adresářů vyhledejte v adresáři Active Directory problémy, které by mohly způsobit problémy se synchronizací.

Poradce při potížích s ověřením v kroku 1

  1. Poznámka Nesprávná příprava služby Active Directory nebo Chyba při řešení problémů, které nástroj identifikuje, může způsobit problémy se synchronizací. Postupujte podle pokynů poradce při potížích, které jsou nabídnuté průvodcem vyzkoušením diagnostiky adresáře vyhodnocováním, a ujistěte se, že Průvodce diagnostikou běží bez chyb. Tím se zabrání tomu, aby se v průběhu implementace objevily následující problémy:

    • 2392130 Řešení problémů s uživatelským jménem, ke kterým dochází pro federované uživatele při přihlášení k Office 365, Azure nebo Intune

    • 2001616 E-mailová adresa uživatele Office 365 neočekávaně obsahuje znak podtržítka po synchronizaci adresářů

    • 2643629 Při použití nástroje Azure Active Directory Sync se nesynchronizují některé objekty.

  2. Spusťte Průvodce diagnostikou a zkontrolujte, jestli je problém vyřešený.

Krok 2: architektura služby AD FS (Active Directory Federation Services)

Pokyny k nastavení Přejděte na následující weby Microsoftu: Poznámka: Podpora poskytovaná společností Microsoft vám zákazníkům při provádění pokynů k nastavení v těchto odkazech pomůže.

Krok 3: modul Azure Active Directory pro Windows PowerShell pro jednotné přihlašování

Pokyny k nastavení

Přejděte na následující web společnosti Microsoft:

Instalace Windows PowerShellu pro jednotné přihlašování s AD FS

Ověření v kroku 3

Pokud chcete ověřit modul Azure Active Directory pro Windows PowerShell pro jednotné přihlašování, postupujte takto:

  1. Spusťte modul Azure Active Directory pro Windows PowerShell jako správce.

  2. Zadejte následující příkazy a po zadání každého příkazu stiskněte klávesu ENTER:

    1. $cred=Get-Credential Poznámka: Až budete vyzváni, zadejte přihlašovací údaje správce cloudové služby.

    2. Connect-MsolService -Credential $cred 

      PoznámkaTento příkaz vás spojí s Azure AD. Před spuštěním dalších rutin nainstalovaných modulem Azure Active Directory pro Windows PowerShell musíte vytvořit kontext, který vás připojí k Azure AD.

    3. Set-MsolAdfscontext -Computer < AD FS 2.0 primary server > 

      Poznámky

      • Pokud jste nainstalovali modul Azure Active Directory pro Windows PowerShell do primárního serveru AD FS (Active Directory Federation Services), nemusíte tuto rutinu spouštět.

      • V tomto příkazu zástupný symbol <AD fs 2,0 primary server> představuje vnitřní plně kvalifikovaný název domény (FQDN) primárního serveru AD FS. Tento příkaz vytvoří kontext, který vás připojí ke službě AD FS.

    4. Get-MSOLFederationProperty -DomainName < federated domain name > 

      Poznámka V tomto příkazu zástupný symbol <název federované domény> představuje název domény, který byl federované v krocích nastavení.

  3. Porovnejte první polovinu (Zdroj: Server AD FS) a poslední polovina (Source: Microsoft Office 365) výstupem příkazu Get-MsolFederationProperty , který jste spustili v kroku 2D. Všechny položky, kromě FederationServiceDisplayName , by se měly shodovat. Pokud se neshodují, použijte oddíl řešení v následujícím článku znalostní báze Microsoft Knowledge Base k aktualizaci dat vztahu důvěryhodnosti předávající strany:2647020 "je bohužel líto, ale při pokusu o přihlášení k Office 365, Azure nebo Intune se nedají problémy s přihlášením 80041317 a chybami" nebo "80043431".

Poradce při potížích s ověřením v kroku 3Při řešení potíží postupujte takto:

  1. Řešení běžných problémů s ověřováním pomocí následujících článků znalostní báze Microsoft Knowledge Base podle situace:

    • 2461873 Modul Azure Active Directory pro Windows PowerShellu nejde otevřít

    • 2494043Nelze se připojit pomocí modulu Azure Active Directory pro Windows PowerShell

    • 2587730 "při použití rutiny Set-MsolADFSContext se nezdařila Chyba připojení k <název_serveru> serveru ad FS 2,0 služby Active Directory

    • 2279117 Správce nemůže přidat doménu do účtu Office 365

    • Chyba při druhém spuštění rutiny MSOLFederatedDomain , protože ověření domény se nezdařilo. Další informace o tomto scénáři najdete v následujícím článku znalostní báze Knowledge Base:

      2515404 Poradce při potížích s ověřováním domény v Office 365

    • 2618887 : identifikátor služby FS zadaný na serveru AD FS 2,0 se už používá. Chyba při pokusu o nastavení jiné federované domény v Office 365, Azure nebo Intune

    • Problémy s časem způsobují problémy s rutinou New-MsolFederatedDomain nebo rutinou Convert-MsolDomainToFederated . Další informace o tomto scénáři najdete v následujícím článku znalostní báze Knowledge Base:

      2578667 "je nám líto, ale máme potíže s přihlášením a" 80045C06 ", když se Federovaný uživatel pokusí přihlásit k Office 365, Azure nebo Intune.

  2. Opakujte kroky ověření a zkontrolujte, jestli se problém vyřešil.

Krok 4: Implementace synchronizace služby Active Directory

Pokyny k nastavení

Přejděte na následující weby Microsoftu:

Ověření v kroku 4

Pokud chcete ověřit, postupujte takto:

  1. Spusťte modul Azure Active Directory pro Windows PowerShell jako správce.

  2. Zadejte následující příkazy. Nezapomeňte po každém zadaném příkazu stisknout klávesu Enter.

    1. $cred=Get-Credential Poznámka: Až budete vyzváni, zadejte přihlašovací údaje správce cloudové služby.

    2. Connect-MsolService -Credential $cred Poznámka: Tento příkaz vás spojí s Azure AD. Před spuštěním dalších rutin nainstalovaných modulem Azure Active Directory pro Windows PowerShell musíte vytvořit kontext, který vás připojí k Azure AD.

    3. Get-MSOLCompanyInformation

  3. Zkontrolujte hodnotu LastDirSyncTime LastDirSync ve výstupu předchozích příkazů a ujistěte se, že zobrazuje synchronizaci po instalaci synchronizačního nástroje Azure Active Directory.Poznámka Datum a časové razítko pro tuto hodnotu se zobrazuje v koordinovaném světový čas (střední střední čas).

  4. Pokud se LastDirSyncTime neaktualizuje, Sledujte protokol aplikací serveru, na kterém je nainstalovaný nástroj Azure Active Directory Sync, pro následující událost:

    • Zdroj: synchronizace adresářů

    • ID události: 4

    • Úroveň: informace

    Tato událost označuje, že synchronizace adresářů na serveru je dokončena. Když se to stane, provedete tyto kroky znovu, abyste se ujistili, že hodnota LastDirSyncTime byla správně aktualizována.

Poradce při potížích s ověřením v kroku 4Řešení běžných problémů s ověřováním pomocí následujících článků znalostní báze Microsoft Knowledge Base podle situace:

  • 2386445  Chyba při spuštění nástroje Azure Active Directory Sync: "vaše verze Průvodce konfigurací synchronizace služby Windows Azure Active Directory je zastaralá"

  • 2310320 Chyba při pokusu o spuštění Průvodce konfigurací nástroje Azure Active Directory Sync: "vaše přihlašovací údaje nejdou ověřit. Zadejte znovu svoje přihlašovací údaje a zkuste to znovu.

  • 2508225 "LogonUser () se nezdařila. kód chyby: 1789" po zadání přihlašovacích údajů správce služby Azure Active Directory do Průvodce konfigurací

  • 2502710 "při spuštění Průvodce konfigurací nástroje Azure Active Directory došlo k chybě v Pomocníkovi pro přihlášení ke službám Microsoft Online Services"

  • 2419250 "když se pokusíte nainstalovat nástroj synchronizace služby Azure Active Directory, musí být počítač připojený k doméně"

  • 2643629 Při použití nástroje Azure Active Directory Sync se nesynchronizují některé objekty.

  • 2641663 Použití párování protokolu SMTP k párování místních uživatelských účtů s uživatelskými účty Office 365 pro synchronizaci adresářů

  • 2492140 Nelze přiřadit federované doménu k uživateli na portálu Office 365.

Krok 5: připravenosti klienta Office 365

Pokyny k nastavení
  1. Zkontrolujte předpoklady klienta pro Office 365. Další informace o požadavcích na systém pro Office 365 najdete v článku požadavky na systém pro office 365.

  2. Spusťte desktopovou instalaci Office 365 ve všech klientských počítačích, které používají bohatých klientských aplikací. Bohatě klientské aplikace zahrnují Microsoft Outlook, Microsoft Lync 2010, Microsoft Office Professional Plus 2010, modul Azure Active Directory pro Windows PowerShell. Desktopové aplikace Office a integrační aplikace Microsoft SharePoint Poznámka Desktopové nastavení Office 365 je k dispozici na adrese http://g.microsoftonline.com/0BX10en/436?!Office365DesktopSetup.Application.

  3. Pokud pro klientské počítače spojené s doménou a klienty připojené k doméně neočekáváte bezproblémové možnosti bez výzvy, přidejte adresu URL služby AD FS Federation Service do zóny Místní intranet v aplikaci Windows Internet Explorer. Postupujte například takto:

    1. V Internet Exploreru klikněte v nabídce nástroje na Možnosti Internetu.

    2. Klikněte na kartu zabezpečení , klikněte na místní intranet, webya potom na Upřesnit.

    3. Do pole Přidat tento web do zóny zadejte https://STS.contoso.com a klikněte na Přidat.Poznámka: "sts.contoso.com" představuje plně kvalifikovaný název domény služby AD FS Federation.

    Další informace o této konfiguraci najdete v následujícím článku znalostní báze Microsoft Knowledge Base:

    2535227 Federovanému uživateli se nečekaně zobrazuje přihlašovací údaje k pracovnímu nebo školnímu účtu

  4. Pokud počítač připojený k doméně a klientské počítače připojené k doméně přistupují k internetovým prostředkům pomocí proxy serveru, který překládá internetové adresy pomocí veřejných dotazů DNS (a nikoli interního, Split-mozek DNS), přidejte adresu URL služby AD FS Federation Service do seznamu, pro který bude Internet Explorer používat filtrování proxy. Tady je příklad, jak přidat adresu URL do seznamu výjimek v Internet Exploreru:

    1. V Internet Exploreru klikněte v nabídce nástroje na Možnosti Internetu.

    2. Na kartě připojení klikněte na Nastavení místní sítěa potom na Upřesnit.

    3. Do pole výjimky zadejte hodnotu pomocí plně kvalifikovaného názvu DNS názvu koncového bodu služby AD FS. Zadejte například STS.contoso.com.

Ověření v kroku 5 Pokud chcete ověřit, postupujte takto:

  1. Zkontrolujte, jestli je nainstalovaná a běží služba Pomocník pro přihlášení ke službám Microsoft Online Services. Postupujte takto:

    1. Klikněte na tlačítko Start, na příkaz Spustit, zadejte Services. msca klikněte na tlačítko OK.

    2. Vyhledejte položku Pomocník pro přihlášení ke službám Microsoft Online Services a zkontrolujte, jestli služba běží.

    3. Pokud služba není spuštěná, klikněte na ni pravým tlačítkem a vyberte Spustit.

  2. Přejděte na web AD FS MEX, abyste měli jistotu, že je koncový bod součástí zóny zabezpečení intranetu v Internet Exploreru. Postupujte takto:

    1. Spusťte Internet Explorer a přejděte na web koncového bodu služby AD FS. Zde je příklad webu koncového bodu služeb:

      https://sts.contoso.com/federationmetadata/2007-06/federationmetadata.xml

    2. Zkontrolujte stavový řádek v dolní části okna a ujistěte se, že zóna zabezpečení označená pro tuto adresu URL je místní intranet.

Krok 6: konečné ověření

Na konfigurovaném klientském počítači otestujte očekávané možnosti ověřování jednotného přihlašování. Proveďte ověření pomocí federovaného uživatelského účtu. Ověření federovaného uživatele můžete ověřit v následujících situacích:

  • V místní síti a ověřená místní službou Active Directory

  • Z internetového umístění s neutrální sítí a neověřené pro místní službu Active Directory

Pokud chcete ověřit, postupujte takto:

  1. Testování webového ověřování Použijte některý z následujících postupů:

    • Přihlaste se k portálu cloudové služby jako federovanému uživateli pomocí místních přihlašovacích údajů Active Directory.

    • Přihlaste se k Outlook Web Appu jako federovaný uživatel (pomocí místních přihlašovacích údajů Active Directory), který má poštovní schránku Exchange Online. Přihlaste se k Outlook Web Appu na následující adrese URL:

      https://outlook.com/owa/contoso.comPoznámkaV této adrese URL představuje "contoso.com" název federované domény.

    • Přihlaste se k SharePointu Online jako federovaný uživatel (pomocí místních přihlašovacích údajů Active Directory), který má přístup ke kolekci týmových webů. Přihlaste se k SharePointu Online na následující adrese URL:

      http://contoso.sharepoint.comPoznámka V této adrese URL představuje "contoso" název vaší organizace.

  2. Otestujte bohaté ověřování klienta nebo aktivního žadatele. Postupujte takto:

    1. Nakonfigurujte Online Skype pro firmy (dříve Lync Online) pro federovaný uživatelský účet a přihlaste se k účtu pomocí místních přihlašovacích údajů služby Active Directory.

    2. Přihlaste se k modulu Azure Active Directory pro Windows PowerShell pomocí federovaného uživatelského účtu, který má přihlašovací údaje globálního správce prostřednictvím rutiny Connect-MsolService .

  3. Otestujte základní ověřování Exchange Online pomocí nástroje Microsoft Remote Connectivity Analyzer. Další informace o používání analyzátoru vzdáleného připojení najdete v následujícím článku znalostní báze Microsoft Knowledge Base:

    2650717  Jak pomocí analyzátoru vzdáleného připojení řešit problémy s jedním přihlašováním pro Office 365, Azure nebo Intune

Stále potřebujete pomoc? Přejděte na web komunity Microsoftu nebo na webu služby Azure Active Directory .

Potřebujete další pomoc?

Rozšiřte své znalosti a dovednosti
Projít školení
Získejte nové funkce jako první
Připojit se k programu Microsoft Insider

Byly tyto informace užitečné?

Jak jste spokojeni s kvalitou jazyka?
Co ovlivnilo váš názor?

Děkujeme vám za zpětnou vazbu.

×