Solucionar problemas de instalación de inicio de sesión único en Office 365, Intune o Azure

Se aplica a: Productos OfficeCloud Services (Web roles/Worker roles)Azure Active Directory

INTRODUCCIÓN


En este artículo se describe cómo solucionar problemas de instalación de inicio de sesión único en un servicio en la nube de Microsoft como Office 365, Microsoft Intune o Microsoft Azure. la guía de implementación de inicio de sesión único (SSO) está disponible en la documentación de ayuda de Azure Active Directory (Azure AD). Si se produce un problema al configurar el SSO con esa guía, puede consultar este artículo. Proporciona un plan para ayudar a solucionar problemas comunes con cada paso de configuración.

PROCEDIMIENTO


Cómo solucionar problemas de configuración de SSO

Paso 1: preparar Active Directory

Guía de configuración
Vaya al siguiente sitio web de Microsoft:
Validación para el paso 1
Use el Asistente de diagnóstico de configuración de sincronización de directorios para examinar Active Directory en busca de problemas que puedan causar problemas de sincronización de directorios.
 
Solución de problemas de validación para el paso 1
 
  1. Nota La preparación incorrecta de Active Directory o la incapacidad de resolver los problemas que identifica la herramienta pueden provocar problemas de sincronización de directorios. Siga las instrucciones para la solución de problemas que ofrece el asistente evaluando diagnósticos de configuración de sincronización de directorios para corregir los problemas y asegúrese de que el Asistente para diagnóstico se ejecuta sin errores. Esto evita que los siguientes problemas se produzcan más adelante en la implementación:
    • 2392130  Solucionar problemas de nombre de usuario que se producen para usuarios federados cuando inician sesión en Office 365, Azure o Intune  
    • 2001616 La dirección de correo electrónico de Office 365 de un usuario contiene de forma inesperada un carácter de subrayado después de la sincronización de directorios
    • 2643629  Uno o más objetos no se sincronizan al usar la herramienta de sincronización de Azure Active Directory
  2. Vuelva a ejecutar el Asistente para diagnóstico para comprobar si el problema se ha resuelto.

Paso 2: arquitectura de servicios de Federación de Active Directory (AD FS)

Guía de configuraciónVaya a los siguientes sitios web de Microsoft:Nota: El soporte técnico de Microsoft no ayudará a los clientes con la ejecución de las instrucciones de configuración de estos vínculos.

Paso 3: módulo Azure Active Directory para Windows PowerShell para SSO

Guía de configuración
Vaya al siguiente sitio web de Microsoft:
Validación para el paso 3
Para validar el módulo Azure Active Directory para Windows PowerShell para SSO, siga estos pasos:
  1. Ejecute el módulo Azure Active Directory para Windows PowerShell como administrador.
  2. Escriba los comandos siguientes y asegúrese de presionar entrar después de escribir cada comando:
    1. $cred=Get-Credential 
      Nota: Cuando se le solicite, escriba sus credenciales de administrador de servicio en la nube.
    2. Connect-MsolService -Credential $cred 
      Nota: Este comando te conecta con Azure AD. Debe crear un contexto que le conecte a Azure AD antes de ejecutar cualquiera de los cmdlets adicionales que haya instalado el módulo Azure Active Directory para Windows PowerShell.
    3. Set-MsolAdfscontext -Computer < AD FS 2.0 primary server > 
      Notas
      • Si ha instalado el módulo Azure Active Directory para Windows PowerShell en el servidor de servicios de Federación de Active Directory (AD FS) principal, no tiene que ejecutar este cmdlet.
      • En este comando, el marcador de posición <servidor principal de ad fs 2,0> representa el nombre de dominio completo interno (FQDN) del servidor de AD FS principal. Este comando crea un contexto que le conecta con AD FS.
    4. Get-MSOLFederationProperty -DomainName < federated domain name > 
      Nota En este comando, el marcador de posición <nombre de dominio federado> representa el nombre de dominio que se ha federado en los pasos de configuración.
  3. Compare la primera mitad (origen: servidor AD FS) y la última mitad (origen: Microsoft Office 365) de los resultados del comando Get-MSOLFederationProperty que ejecutó en el paso 2D. Todas las entradas excepto source y FederationServiceDisplayName deben coincidir. Si no coinciden, use la sección "resolución" del siguiente artículo de Microsoft Knowledge base para actualizar los datos de la relación de confianza para usuario autenticado:2647020 "lo sentimos, pero estamos teniendo problemas para iniciar sesión con usted" y "80041317" o "80043431" cuando un usuario federado intenta iniciar sesión en Office 365, Azure o Intune 
Solución de problemas de validación para el paso 3Para solucionar el problema, siga estos pasos:
  1. Solucione problemas comunes de validación con los siguientes artículos de Microsoft Knowledge base, según su situación:
    • 2461873  No puede abrir el módulo Azure Active Directory para Windows PowerShell 
    • 2494043 No se puede conectar mediante el módulo Azure Active Directory para Windows PowerShell
    • 2587730 "error en la conexión a <ServerName> los servicios de Federación de Active Directory 2,0 servidor" al usar el cmdlet Set-MsolADFSContext
    • 2279117 Un administrador no puede Agregar un dominio a una cuenta de Office 365
    • Error al ejecutar el cmdlet New-MsolFederatedDomain por segunda vez porque se produce un error en la verificación de dominio. Para obtener más información sobre este escenario, consulte el siguiente artículo de Knowledge Base:
      2515404 Solucionar problemas de comprobación del dominio en Office 365
    • 2618887 "el identificador del servicio de Federación especificado en el servidor de AD FS 2,0 ya está en uso". error al intentar configurar otro dominio federado en Office 365, Azure o Intune 
    • Los problemas de tiempo causan problemas con el cmdlet New-MSOLFederatedDomain o el cmdlet Convert-MSOLDomainToFederated . Para obtener más información sobre este escenario, consulte el siguiente artículo de Knowledge Base:
      2578667 "lo sentimos, pero estamos teniendo problemas para iniciar sesión" y "80045C06" cuando un usuario federado intenta iniciar sesión en Office 365, en Azure o en Intune
  2. Vuelva a ejecutar los pasos de validación para comprobar si el problema se ha resuelto.

Paso 4: implementar la sincronización de Active Directory

Guía de configuración
Vaya a los siguientes sitios web de Microsoft:
Validación para el paso 4
Para validar, siga estos pasos:
  1. Ejecute el módulo Azure Active Directory para Windows PowerShell como administrador.
  2. Escriba los comandos siguientes. Asegúrese de presionar entrar después de escribir cada comando.
    1. $cred=Get-Credential 
      Nota: Cuando se le solicite, escriba sus credenciales de administrador de servicio en la nube.
    2. Connect-MsolService -Credential $cred 
      Nota: Este comando te conecta con Azure AD. Debe crear un contexto que le conecte a Azure AD antes de ejecutar cualquiera de los cmdlets adicionales que haya instalado el módulo Azure Active Directory para Windows PowerShell.
    3. Get-MSOLCompanyInformation 
  3. Compruebe el valor dehora LastDirSyncdesde la salida de los comandos anteriores y asegúrese de que muestra una sincronización después de instalar la herramienta de sincronización de Azure Active Directory.Nota La marca de fecha y hora de este valor se muestra en hora universal coordinada (hora del meridiano de Greenwich).
  4. Si LastDirSyncTime no se actualiza, supervise el registro de aplicación del servidor en el que está instalada la herramienta de sincronización de Azure Active Directory para el siguiente evento:
    • Origen: sincronización de directorios
    • Identificador de evento: 4
    • Nivel: información
    Este evento indica que la sincronización de directorios ha finalizado en el servidor. Cuando esto suceda, vuelva a ejecutar estos pasos para asegurarse de que el valor de LastDirSyncTime se ha actualizado correctamente.
Solución de problemas de validación para el paso 4Solucione problemas comunes de validación con los siguientes artículos de Microsoft Knowledge base, según su situación:
  • 2386445   Error al ejecutar la herramienta de sincronización de Azure Active Directory: "su versión del asistente de configuración de sincronización de Active Directory de Windows Azure está obsoleta" 
  • 2310320  Error al intentar ejecutar el Asistente para la configuración de la herramienta de sincronización de Azure Active Directory: "no se pudieron autenticar sus credenciales. Vuelva a escribir las credenciales e inténtelo de nuevo 
  • 2508225 "LogonUser () falló con el código de error: 1789" después de escribir las credenciales de administrador de la empresa en el Asistente para la configuración de la herramienta de sincronización de Azure Active Directory
  • 2502710 se produjo un error desconocido con el ayudante para el inicio de sesión de Microsoft Online Services "al ejecutar el Asistente para la configuración de la herramienta de sincronización de Azure Active Directory 
  • 2419250 el error "el equipo debe estar unido a un dominio" al intentar instalar la herramienta de sincronización de Azure Active Directory 
  • 2643629  Uno o más objetos no se sincronizan al usar la herramienta de sincronización de Azure Active Directory
  • 2641663 Cómo usar la coincidencia de SMTP para hacer coincidir las cuentas de usuario locales con las cuentas de usuario de Office 365 para la sincronización de directorios
  • 2492140 No puede asignar un dominio federado a un usuario en el portal de Office 365

Paso 5: preparación del cliente de Office 365

Guía de configuración
  1. Comprobar los requisitos previos del cliente para Office 365. Para obtener más información sobre los requisitos del sistema para Office 365, vaya a requisitos del sistema de office 365.
  2. Ejecute la configuración de escritorio de Office 365 en todos los equipos cliente que usen aplicaciones cliente enriquecidas. Entre las aplicaciones cliente enriquecidas se incluyen Microsoft Outlook, Microsoft Lync 2010, Microsoft Office Professional Plus 2010, el módulo Azure Active Directory para Windows PowerShell. Aplicaciones de escritorio de Office y aplicaciones de integración de Microsoft SharePoint. Nota La configuración de escritorio de Office 365 está disponible en http://g.microsoftonline.com/0BX10en/436?!Office365DesktopSetup.Application.
  3. Si se espera una experiencia sin un mensaje eficaz para los equipos cliente que se unen al dominio y que están conectados al dominio, agregue la dirección URL del servicio de Federación de AD FS a la zona de Intranet local en Windows Internet Explorer. Por ejemplo, haga lo siguiente:
    1. En Internet Explorer, en el menú herramientas , haga clic en Opciones de Internet.
    2. Haga clic en la pestaña seguridad , en Intranet local, en sitiosy, a continuación, en Opciones avanzadas.
    3. Escriba https://STS.contoso.com en el cuadro Agregar este sitio web a la zona y, a continuación, haga clic en Agregar.Nota: "sts.contoso.com" representa el FQDN del servicio de Federación de AD FS.
    Para obtener más información sobre esta configuración, consulte el siguiente artículo de Microsoft Knowledge Base:
    2535227  Se pide a un usuario federado de forma inesperada que escriba sus credenciales de cuenta profesional o educativa.
  4. Si los equipos cliente con dominio y la conexión de dominio tienen acceso a los recursos de Internet mediante un servidor proxy que resuelve las direcciones de Internet con consultas DNS públicas (y no con DNS de horizonte dividido), agregue la dirección URL del servicio de Federación de AD FS a la lista para la cual Internet Explorer no podrá usar el filtrado de proxy. A continuación se muestra un ejemplo de cómo agregar la dirección URL a la lista de excepciones de Internet Explorer:
    1. En Internet Explorer, en el menú herramientas , haga clic en Opciones de Internet.
    2. En la pestaña conexiones , haga clic en configuración de LANy, a continuación, haga clic en Opciones avanzadas.
    3. En el cuadro excepciones , escriba el valor usando el nombre DNS completo del nombre de punto de conexión de servicio de AD FS. Por ejemplo, escriba STS.contoso.com.
Validación para el paso 5 Para validar, siga estos pasos:
  1. Asegúrese de que el servicio Asistente de inicio de sesión de Microsoft Online Services está instalado y ejecutándose. Para ello, siga estos pasos:
    1. Haga clic en Inicio y en Ejecutar, escriba Services.msc y haga clic en Aceptar.
    2. Busque la entrada del ayudante para el inicio de sesión de Microsoft Online Services y asegúrese de que el servicio se esté ejecutando.
    3. Si el servicio no se está ejecutando, haga clic con el botón derecho en la entrada y, a continuación, seleccione iniciar.
  2. Vaya al sitio web de AD FS MEX para asegurarse de que el punto de conexión es parte de la zona de seguridad de intranet de Internet Explorer. Para ello, siga estos pasos:
    1. Inicie Internet Explorer y, a continuación, vaya al sitio web del punto de conexión de servicio de AD FS. A continuación se encuentra un ejemplo de un sitio web de extremo de servicio:
      https://sts.contoso.com/federationmetadata/2007-06/federationmetadata.xml
    2. Compruebe la barra de estado en la parte inferior de la ventana para asegurarse de que la zona de seguridad indicada para esta URL es Intranet local.

Paso 6: validación final

En un equipo cliente configurado, pruebe la experiencia de autenticación de SSO esperada. Para ello, realice la autenticación mediante una cuenta de usuario federado. Es posible que desee probar la autenticación de un usuario federado en los siguientes escenarios:
  • En la red local y autenticados en Active Directory local
  • Desde una ubicación IP neutra de Internet y no se ha autenticado con Active Directory local
Para validar, siga estos pasos:
  1. Pruebe la autenticación Web. Para ello, utilice uno de los métodos siguientes:
    • Inicie sesión en el portal de servicio en la nube como usuario federado con las credenciales de Active Directory local.
    • Inicie sesión en Outlook Web App como usuario federado (mediante el uso de credenciales de Active Directory local) que tenga un buzón de correo de Exchange Online. Por ejemplo, inicie sesión en Outlook Web App en la siguiente dirección URL:
      https://outlook.com/owa/contoso.com
      Nota: En esta dirección URL, "contoso.com" representa el nombre de dominio federado.
    • Inicie sesión en Microsoft SharePoint Online como usuario federado (mediante el uso de credenciales de Active Directory local) que tenga acceso a la colección de sitios de grupo. Por ejemplo, inicie sesión en SharePoint Online en la siguiente dirección URL:
      http://contoso.sharepoint.com
      Nota En esta URL, "Contoso" representa el nombre de su organización.
  2. Probar la autenticación de un solicitante activo o de un cliente enriquecido. Para ello, siga estos pasos:
    1. Configure un perfil de cliente de Skype empresarial online (anteriormente Lync Online) para una cuenta de usuario federado y, a continuación, inicie sesión en la cuenta con las credenciales locales de Active Directory.
    2. Inicie sesión en el módulo Azure Active Directory para Windows PowerShell con una cuenta de usuario federada que tiene credenciales de administrador global mediante el cmdlet Connect-MSOLService .
  3. Pruebe la autenticación básica de Exchange online mediante el analizador de conectividad remota de Microsoft. Para obtener más información sobre cómo usar el analizador de conectividad remota, consulte el siguiente artículo en Microsoft Knowledge Base: 
    2650717   Cómo usar el analizador de conectividad remota para solucionar problemas de inicio de sesión único para Office 365, Azure o Intune 
¿Aún necesita ayuda? Vaya a la comunidad de Microsoft o al sitio web de foros de Azure Active Directory .