Behandeln von Problemen mit der einmaligen Anmeldung bei der Einrichtung von Office 365, InTune oder Azure

Gilt für: Office-ProdukteCloud Services (Web roles/Worker roles)Azure Active Directory

EINFÜHRUNG


In diesem Artikel wird beschrieben, wie Sie Probleme bei der Einrichtung von SSO für einmaliges Anmelden in einem Microsoft-clouddienst wie Office 365, Microsoft InTune oder Microsoft Azure beheben. detaillierte Implementierungsanleitungen für Single Sign-on (SSO) finden Sie in der Hilfedokumentation zu Azure Active Directory (Azure AD). Wenn ein Problem auftritt, wenn Sie SSO mithilfe dieser Anleitung einrichten, können Sie auf diesen Artikel verweisen. Sie bietet eine Roadmap zur Behandlung häufig auftretender Probleme bei jedem Einrichtungs Schritt.

VERFAHREN


Problembehandlung beim SSO-Setup

Schritt 1: Vorbereiten von Active Directory

Einrichtungsanleitung
Besuchen Sie folgende Microsoft-Website:
Validierung für Schritt 1
Verwenden Sie den Assistenten zum Auswerten der Verzeichnis synchronisierungseinrichtung, um Active Directory nach Problemen zu durchsuchen, die zu Problemen bei der Verzeichnissynchronisierung führen können.
 
Behandeln von Problemen mit der Überprüfung für Schritt 1
 
  1. Hinweis Fehlerhafte Vorbereitung von Active Directory oder Fehler bei der Behebung von Problemen, die durch das Tool identifiziert werden, können zu Problemen bei der Verzeichnissynchronisierung führen. Befolgen Sie die Anleitungen zur Problembehandlung, die vom Assistenten zum Auswerten der Verzeichnis synchronisierungseinrichtung zur Behebung der Probleme angeboten werden, und stellen Sie sicher, dass der Diagnose-Assistent fehlerfrei ausgeführt wird. Dadurch wird verhindert, dass die folgenden Probleme später in der Implementierung auftreten:
    • 2392130  Behandeln von Problemen mit dem Benutzernamen, die bei Verbundbenutzern auftreten, wenn Sie sich bei Office 365, Azure oder InTune anmelden  
    • 2001616 Die e-Mail-Adresse eines Benutzers in Office 365 enthält unerwartet einen Unterstrich nach der Verzeichnissynchronisierung
    • 2643629 Ein oder mehrere Objekte synchronisieren nicht, wenn Azure Active Directory Sync-Tool verwendet wird
  2. Führen Sie den Diagnose-Assistenten erneut aus, um zu überprüfen, ob das Problem behoben ist.

Schritt 2: Architektur der Active Directory-Verbunddienste (AD FS)

Einrichtungs AnleitungWechseln Sie zu den folgenden Microsoft-Websites:Hinweis Der Microsoft-Support hilft Kunden bei der Ausführung der Einrichtungsanleitungen in diesen Links nicht.

Schritt 3: Azure Active Directory-Modul für Windows PowerShell für SSO

Einrichtungsanleitung
Besuchen Sie folgende Microsoft-Website:
Validierung für Schritt 3
Führen Sie die folgenden Schritte aus, um das Azure Active Directory-Modul für Windows PowerShell für SSO zu überprüfen:
  1. Führen Sie das Azure Active Directory-Modul für Windows PowerShell als Administrator aus.
  2. Geben Sie die folgenden Befehle ein, und stellen Sie sicher, dass Sie die EINGABETASTE drücken, nachdem Sie jeden Befehl eingegeben haben:
    1. $cred=Get-Credential 
      Hinweis Wenn Sie dazu aufgefordert werden, geben Sie Ihre Administratoranmeldeinformationen für den clouddienst ein.
    2. Connect-MsolService -Credential $cred 
      HinweisDieser Befehl verbindet Sie mit Azure AD. Sie müssen einen Kontext erstellen, der Sie mit Azure AD verbindet, bevor Sie eines der zusätzlichen Cmdlets ausführen, die vom Azure Active Directory-Modul für Windows PowerShell installiert werden.
    3. Set-MsolAdfscontext -Computer < AD FS 2.0 primary server > 
      Hinweise
      • Wenn Sie das Azure Active Directory-Modul für Windows PowerShell auf dem primären Active Directory Federation Services (AD FS)-Server installiert haben, müssen Sie dieses Cmdlet nicht ausführen.
      • In diesem Befehl stellt der Platzhalter <AD FS 2,0-primärer Server> den internen vollqualifizierten Domänennamen (Fully Qualified Domain Name, FQDN) des primären AD FS-Servers dar. Mit diesem Befehl wird ein Kontext erstellt, der Sie mit AD FS verbindet.
    4. Get-MSOLFederationProperty -DomainName < federated domain name > 
      Hinweis In diesem Befehl stellt der Platzhalter <Federated-Domänenname> den Domänennamen dar, der in den Setupschritten verbunden war.
  3. Vergleichen Sie die erste Hälfte (Quelle: AD FS-Server) und die letzte Hälfte (Quelle: Microsoft Office 365) der Ausgabe des Befehls " Get-MSOLFederationProperty ", den Sie in Schritt 2D ausgeführt haben. Alle Einträge mit Ausnahme von Quell -und FederationServiceDisplayName sollten übereinstimmen. Wenn Sie nicht übereinstimmen, verwenden Sie den Abschnitt "Lösung" des folgenden Microsoft Knowledge Base-Artikels, um die vertrauenswürdigen Daten der vertrauenden Seite zu aktualisieren:2647020 "Leider haben wir Probleme beim Anmelden bei" und "80041317" oder "80043431", wenn ein Verbundbenutzer versucht, sich bei Office 365, Azure oder InTune anzumelden 
Behandeln von Problemen mit der Überprüfung für Schritt 3Führen Sie die folgenden Schritte aus, um die Problembehandlung zu beheben:
  1. Behandeln Sie häufige Validierungsprobleme mithilfe der folgenden Microsoft Knowledge Base-Artikel, die für Ihre Situation geeignet sind:
    • 2461873  Sie können das Azure Active Directory-Modul für Windows PowerShell nicht öffnen. 
    • 2494043 Mithilfe des Azure Active Directory-Moduls für Windows PowerShell können Sie keine Verbindung herstellen
    • Fehlermeldung "die Verbindung mit <Servername> Active Directory Federation Services 2,0 Server fehlgeschlagen" bei Verwendung des Cmdlets "MsolADFSContext" 2587730
    • 2279117 Ein Administrator kann keine Domäne zu einem Office 365-Konto hinzufügen.
    • Fehler, wenn Sie das Cmdlet New-MsolFederatedDomain zum zweiten Mal ausführen, weil die Domänenüberprüfung fehlschlägt. Weitere Informationen zu diesem Szenario finden Sie im folgenden Knowledge Base-Artikel:
      2515404 Behandeln von Problemen mit der Domänenüberprüfung in Office 365
    • 2,0 2618887 . Fehler beim Einrichten einer anderen Föderationsdomäne in Office 365, Azure oder InTune, wenn Sie versuchen, eine andere Verbunddomäne in Office, Azure oder InTune zu verwenden. 
    • Zeit Probleme führen zu Problemen mit dem Cmdlet New-MSOLFederatedDomain oder dem Cmdlet Convert-MSOLDomainToFederated . Weitere Informationen zu diesem Szenario finden Sie im folgenden Knowledge Base-Artikel:
      2578667 "es tut uns leid, aber wir haben Probleme bei der Anmeldung bei" und "80045C06", wenn ein Verbundbenutzer versucht, sich bei Office 365, Azure oder InTune anzumelden
  2. Führen Sie die Überprüfungsschritte erneut aus, um zu überprüfen, ob das Problem behoben ist.

Schritt 4: Implementieren der Active Directory-Synchronisierung

Einrichtungsanleitung
Wechseln Sie zu den folgenden Microsoft-Websites:
Validierung für Schritt 4
Führen Sie die folgenden Schritte aus, um zu überprüfen:
  1. Führen Sie das Azure Active Directory-Modul für Windows PowerShell als Administrator aus.
  2. Geben Sie die folgenden Befehle ein. Stellen Sie sicher, dass Sie nach jedem eingegebenen Befehl die Eingabetaste drücken.
    1. $cred=Get-Credential 
      Hinweis Wenn Sie dazu aufgefordert werden, geben Sie Ihre Administratoranmeldeinformationen für den clouddienst ein.
    2. Connect-MsolService -Credential $cred 
      Hinweis Dieser Befehl verbindet Sie mit Azure AD. Sie müssen einen Kontext erstellen, der Sie mit Azure AD verbindet, bevor Sie eines der zusätzlichen Cmdlets ausführen, die vom Azure Active Directory-Modul für Windows PowerShell installiert werden.
    3. Get-MSOLCompanyInformation 
  3. Überprüfen Sie den LastDirSync-Zeitwert aus der Ausgabe der vorherigen Befehle, und stellen Sie sicher, dass nach dem Installieren des Azure Active Directory-Synchronisierungstools eine Synchronisierung angezeigt wird.Hinweis Der Datums-und Uhrzeitstempel für diesen Wert wird in Coordinated Universal Time (Greenwich Mean Time) angezeigt.
  4. Wenn LastDirSyncTime nicht aktualisiert wird, überwachen Sie das Anwendungsprotokoll des Servers, auf dem das Azure Active Directory-Synchronisierungs Tool für das folgende Ereignis installiert ist:
    • Quelle: Verzeichnissynchronisierung
    • Ereignis-ID: 4
    • Ebene: Informationen
    Dieses Ereignis zeigt an, dass die Verzeichnissynchronisierung auf dem Server ausgeführt wurde. Wenn dies der Fall ist, führen Sie die folgenden Schritte aus, um sicherzustellen, dass der LastDirSyncTime -Wert entsprechend aktualisiert wurde.
Behandeln von Problemen mit der Überprüfung für Schritt 4Behandeln Sie häufige Validierungsprobleme mithilfe der folgenden Microsoft Knowledge Base-Artikel, die für Ihre Situation geeignet sind:
  • 2386445   Fehler beim Ausführen des Azure Active Directory-Synchronisierungstools: "Ihre Version des Windows Azure Active Directory-Synchronisierungs Konfigurations-Assistenten ist veraltet" 
  • 2310320  Fehler beim Ausführen des Azure Active Directory-Synchronisierungs Tool-Konfigurations-Assistenten: "Ihre Anmeldeinformationen konnten nicht authentifiziert werden. Geben Sie Ihre Anmeldeinformationen erneut ein, und versuchen Sie es erneut. " 
  • 2508225 "LogonUser () fehlgeschlagen mit Fehlercode: 1789" Nachdem Sie die Anmeldeinformationen für den Unternehmensadministrator im Azure Active Directory-Synchronisierungstool-Konfigurations-Assistenten eingegeben haben
  • 2502710 "beim Ausführen des Azure Active Directory-Synchronisierungstools-Konfigurations-Assistenten ist ein unbekannter Fehler mit dem Microsoft Online Services-Anmelde Assistenten aufgetreten." 
  • Fehlermeldung "der Computer muss mit einer Domäne verbunden werden" bei dem Versuch, das Azure Active Directory-Synchronisierungs Tool zu installieren. 2419250 
  • 2643629 Ein oder mehrere Objekte synchronisieren nicht, wenn Azure Active Directory Sync-Tool verwendet wird
  • 2641663 So verwenden Sie den SMTP-Abgleich, um lokale Benutzerkonten mit Office 365-Benutzerkonten für die Verzeichnissynchronisierung zu vergleichen
  • 2492140 Sie können einem Benutzer im Office 365-Portal keine Verbunddomäne zuweisen.

Schritt 5: Bereitstellen von Office 365-Clients

Einrichtungsanleitung
  1. Überprüfen Sie die Client Voraussetzungen für Office 365. Weitere Informationen zu den Systemanforderungen für Office 365 finden Sie unter Office 365-Systemanforderungen.
  2. Führen Sie das Office 365-Desktop Setup auf allen Clientcomputern aus, die Rich-Client-Anwendungen verwenden. Zu den Rich-Client-Anwendungen gehören Microsoft Outlook, Microsoft lync 2010, Microsoft Office Professional Plus 2010, Azure Active Directory-Modul für Windows PowerShell. Office-Desktopanwendungen und Microsoft SharePoint-Integrations Anwendungen. Hinweis Office 365-Desktop-Setup steht unter http://g.microsoftonline.com/0BX10en/436?!Office365DesktopSetup.Applicationzur Verfügung.
  3. Wenn für Domänen-und Domänen verbundene Clientcomputer eine nahtlose, unaufgeforderte Benutzeroberfläche erwartet wird, fügen Sie die AD FS-Verbunddienst-URL zur Zone Lokales Intranet in Windows Internet Explorer hinzu. Gehen Sie beispielsweise wie folgt vor:
    1. Klicken Sie in Internet Explorer im Menü Extras auf Internetoptionen.
    2. Klicken Sie auf die Registerkarte Sicherheit , klicken Sie auf Lokales Intranet, klicken Sie auf Websites, und klicken Sie dann auf erweitert.
    3. Geben Sie https://STS.contoso.com in das Feld diese Website zur Zone hinzufügen ein, und klicken Sie dann auf Hinzufügen.Hinweis "STS.contoso.com" steht für den FQDN des AD FS-Verbunddiensts.
    Weitere Informationen zu dieser Konfiguration finden Sie im folgenden Microsoft Knowledge Base-Artikel:
    2535227  Ein Verbundbenutzer wird unerwartet dazu aufgefordert, die Anmeldeinformationen für Ihr Geschäfts-oder Schulkonto einzugeben.
  4. Wenn Domänen-und Domänen verbundene Clientcomputer auf Internetressourcen zugreifen, indem Sie einen Proxy Server verwenden, der Internetadressen mithilfe öffentlicher DNS-Abfragen (und nicht des internen, Split-Brain-DNS) auflöst, fügen Sie die URL des AD FS-Verbunddiensts zu der Liste hinzu, für die Internet Explorer die Proxy Filterung umgeht. Der folgende Code ist ein Beispiel für das Hinzufügen der URL zur Ausnahmenliste in Internet Explorer:
    1. Klicken Sie in Internet Explorer im Menü Extras auf Internetoptionen.
    2. Klicken Sie auf der Registerkarte Verbindungen auf LAN-Einstellungen, und klicken Sie dann auf erweitert.
    3. Geben Sie im Feld Ausnahmen den Wert mit dem vollqualifizierten DNS-Namen des AD FS-Dienstendpunkt namens ein. Geben Sie beispielsweise STS.contoso.comein.
Validierung für Schritt 5 Führen Sie die folgenden Schritte aus, um zu überprüfen:
  1. Stellen Sie sicher, dass der Dienst Microsoft Online Services-Anmelde-Assistent installiert ist und ausgeführt wird. Gehen Sie dazu wie folgt vor:
    1. Klicken Sie auf Start, klicken Sie auf Ausführen, geben Sie Services. mscein, und klicken Sie dann auf OK.
    2. Suchen Sie den Eintrag Microsoft Online Services-Anmelde-Assistent, und stellen Sie sicher, dass der Dienst ausgeführt wird.
    3. Wenn der Dienst nicht ausgeführt wird, klicken Sie mit der rechten Maustaste auf den Eintrag, und wählen Sie dann Startaus.
  2. Wechseln Sie zur AD FS MEX-Website, um sicherzustellen, dass der Endpunkt Teil der Sicherheitszone Internet Explorer Intranet ist. Gehen Sie dazu wie folgt vor:
    1. Starten Sie Internet Explorer, und wechseln Sie dann zur AD FS-Dienstendpunkt-Website. Der folgende Code ist ein Beispiel für eine Dienstendpunkt-Website:
      https://sts.contoso.com/federationmetadata/2007-06/federationmetadata.xml
    2. Überprüfen Sie die Statusleiste am unteren Rand des Fensters, um sicherzustellen, dass die für diese URL angegebene Sicherheitszone Lokales Intranetist.

Schritt 6: endgültige Überprüfung

Testen Sie auf einem konfigurierten Clientcomputer die erwartete SSO-Authentifizierungs Erfahrung. Authentifizieren Sie dazu mithilfe eines Federated-Benutzerkontos. In den folgenden Szenarien empfiehlt es sich, die Authentifizierung eines Verbundbenutzers zu testen:
  • Im lokalen Netzwerk und authentifiziert für das lokale Active Directory
  • Von einem Internet neutralen IP-Standort und nicht authentifiziert für das lokale Active Directory
Führen Sie die folgenden Schritte aus, um zu überprüfen:
  1. Testen Sie die Webauthentifizierung. Wenden Sie hierzu eine der folgenden Methoden an:
    • Melden Sie sich mit lokalen Active Directory-Anmeldeinformationen als Verbundbenutzer beim Cloud-Service-Portal an.
    • Melden Sie sich bei Outlook Web App als Verbundbenutzer (unter Verwendung lokaler Active Directory-Anmeldeinformationen) an, die über ein Exchange Online-Postfach verfügen. Melden Sie sich beispielsweise unter der folgenden URL bei Outlook Web App an:
      https://outlook.com/owa/contoso.com
      HinweisIn dieser URL steht "contoso.com" für den Federated-Domänennamen.
    • Melden Sie sich bei Microsoft SharePoint Online als Verbundbenutzer (unter Verwendung lokaler Active Directory-Anmeldeinformationen) an, der Zugriff auf die Team Websitesammlung hat. Sie können sich beispielsweise unter der folgenden URL bei SharePoint Online anmelden:
      http://contoso.sharepoint.com
      Hinweis In dieser URL steht "Contoso" für den Namen Ihrer Organisation.
  2. Testen der Rich-Client-oder Active Requestor-Authentifizierung Gehen Sie dazu wie folgt vor:
    1. Konfigurieren Sie ein Skype for Business Online-Clientprofil (ehemals lync Online) für ein Verbundbenutzer Konto, und melden Sie sich dann mit lokalen Active Directory-Anmeldeinformationen bei dem Konto an.
    2. Melden Sie sich beim Azure Active Directory-Modul für Windows PowerShell mithilfe eines Verbundbenutzerkontos an, das über das Cmdlet Connect-MSOLService globale Administratoranmeldeinformationen hat.
  3. Testen Sie die Exchange Online-Standardauthentifizierung mithilfe von Microsoft Remote Connectivity Analyzer. Weitere Informationen zur Verwendung von Remote Connectivity Analyzer finden Sie im folgenden Artikel der Microsoft Knowledge Base: 
    2650717   Verwenden der Remote Verbindungsanalyse zur Behandlung von Problemen mit der einmaligen Registrierung für Office 365, Azure oder InTune 
Weitere Hilfe erforderlich? Wechseln Sie zu Microsoft Community oder zur Azure Active Directory-Forums Website.