Iniciar sesión con Microsoft
Iniciar sesión o crear una cuenta
Hola:
Seleccione una cuenta diferente.
Tiene varias cuentas
Elija la cuenta con la que desea iniciar sesión.

INTRODUCCIÓN

En este artículo se explica cómo solucionar problemas de configuración de inicio de sesión único en un servicio en la nube de Microsoft, como Office 365, Microsoft Intune o Microsoft Azure.

La guía de implementación detallada para el inicio de sesión único (SSO) está disponible en la documentación de ayuda de Azure Active Directory (Azure AD). Si se produce un problema al configurar SSO mediante estas instrucciones, puede consultar este artículo. Proporciona una hoja de ruta para ayudar a solucionar problemas comunes con cada paso de configuración.

PROCEDIMIENTO

Cómo solucionar problemas de configuración de SSO

Paso 1: Preparar Active Directory

Instrucciones de configuración

Ve al siguiente sitio web de Microsoft:

Prepararse para el inicio de sesión único

Validación del paso 1

Use el Asistente para evaluar la configuración de sincronización de directorios para examinar Active Directory en busca de problemas que puedan causar problemas de sincronización de directorios.

Solucionar problemas con la validación del paso 1

  1. Nota Preparación incorrecta de Active Directory o error para resolver problemas que la herramienta identifica puede dar lugar a problemas de sincronización de directorios. Siga las instrucciones de solución de problemas que ofrece el Asistente para evaluar el diagnóstico de la configuración de sincronización de directorios para corregir los problemas y asegúrese de que el Asistente para diagnósticos se ejecuta sin errores. Esto evita que los siguientes problemas se produzcan más adelante en la implementación:

    • 2392130 Solucionar problemas de nombres de usuario que se producen para los usuarios federados al iniciar sesión en Office 365, Azure o Intune

    • 2001616 La dirección de correo electrónico Office 365 de un usuario contiene inesperadamente un carácter de subrayado tras la sincronización de directorios

    • 2643629 Uno o más objetos no se sincronizan al usar la herramienta de sincronización de Azure Active Directory

  2. Vuelva a ejecutar el Asistente para diagnósticos para comprobar si se ha resuelto el problema.

Paso 2: arquitectura de Servicios de federación de Active Directory (AD FS) (AD FS)



Instrucciones de configuración Ve a los siguientes sitios web de Microsoft:

Tenga en cuenta Soporte técnico de Microsoft no ayudará a los clientes con la ejecución de las instrucciones de configuración en estos vínculos.

Paso 3: Módulo Azure Active Directory para Windows PowerShell para SSO

Instrucciones de configuración

Ve al siguiente sitio web de Microsoft:

Instalar Windows PowerShell para el inicio de sesión único con AD FS

Validación del paso 3

Para validar el Módulo Azure Active Directory para Windows PowerShell para SSO, siga estos pasos:

  1. Ejecute el Módulo Azure Active Directory para Windows PowerShell como administrador.

  2. Escriba los siguientes comandos y asegúrese de presionar Entrar después de escribir cada comando:

    1. $cred=Get-Credential
      Nota Cuando se le solicite, escriba sus credenciales de administrador del servicio en la nube.

    2. Connect-MsolService -Credential $cred


      Nota Este comando le conecta con Azure AD. Debe crear un contexto que le conecte a Azure AD antes de ejecutar cualquiera de los cmdlets adicionales instalados por el Módulo Azure Active Directory para Windows PowerShell.

    3. Set-MsolAdfscontext -Computer < AD FS 2.0 primary server >



      Notas

      • Si instaló el Módulo Azure Active Directory para Windows PowerShell en el servidor de Servicios de federación de Active Directory (AD FS) principal (AD FS), no es necesario que ejecute este cmdlet.

      • En este comando, el marcador de posición <servidor principal de AD FS 2.0> representa el nombre de dominio interno completo (FQDN) del servidor de AD FS principal. Este comando crea un contexto que le conecta con AD FS.

    4. Get-MSOLFederationProperty -DomainName < federated domain name >


      Nota En este comando, el marcador de posición <nombre de dominio federado> representa el nombre de dominio federado en los pasos de configuración.

  3. Compare la primera mitad (fuente: servidor AD FS) y la última mitad (origen: Microsoft Office 365) de la salida del comando Get-MSOLFederationProperty que ejecutó en el paso 2D. Todas las entradas excepto Source y FederationServiceDisplayName deben coincidir. Si no coinciden, use la sección "Resolución" del siguiente artículo de Microsoft Knowledge Base para actualizar los datos de confianza del usuario de confianza:

    2647020 error "Lo sentimos, pero tenemos problemas para iniciar sesión" y "80041317" o "80043431" cuando un usuario federado intenta iniciar sesión en Office 365, Azure o Intune

Solucionar problemas con la validación del paso 3

Para solucionar problemas, sigue estos pasos:

  1. Para solucionar problemas comunes de validación, use los siguientes artículos de Microsoft Knowledge Base, según corresponda para su situación:

    • 2461873 No puede abrir el Módulo Azure Active Directory para Windows PowerShell

    • 2494043No puede conectarse mediante el Módulo Azure Active Directory para Windows PowerShell

    • 2587730 error "Error en la conexión a <servidor ServerName> Servicios de federación de Active Directory (AD FS) 2.0" al usar el cmdlet Set-MsolADFSContext

    • 2279117 Un administrador no puede agregar un dominio a una cuenta de Office 365

    • Error al ejecutar el cmdlet de New-MsolFederatedDomain por segunda vez porque se produce un error en la verificación del dominio. Para obtener más información sobre este escenario, consulte el siguiente artículo de Knowledge Base:

      2515404 Solucionar problemas de comprobación de dominio en Office 365

    • 2618887 error "Identificador de servicio de federación especificado en el servidor de AD FS 2.0". Al intentar configurar otro dominio federado en Office 365, Azure o Intune

    • Los problemas de tiempo provocan problemas con el cmdlet de New-MSOLFederatedDomain o el cmdlet de Convert-MSOLDomainToFederated.

  2. Vuelva a ejecutar los pasos de validación para comprobar si se ha resuelto el problema.

Paso 4: Implementar la sincronización de Active Directory

Instrucciones de configuración

Ve a los siguientes sitios web de Microsoft:

Validación del paso 4

Para validarlo, sigue estos pasos:

  1. Ejecute el Módulo Azure Active Directory para Windows PowerShell como administrador.

  2. Escriba los siguientes comandos. Asegúrese de presionar Entrar después de escribir cada comando.

    1. $cred=Get-Credential

      Nota Cuando se le solicite, escriba sus credenciales de administrador del servicio en la nube.

    2. Connect-MsolService -Credential $cred

      Nota Este comando le conecta con Azure AD. Debe crear un contexto que le conecte a Azure AD antes de ejecutar cualquiera de los cmdlets adicionales instalados por el Módulo Azure Active Directory para Windows PowerShell.

    3. Get-MSOLCompanyInformation

  3. Compruebe el valor LastDirSyncTime de la salida de los comandos anteriores y asegúrese de que muestra una sincronización después de instalar la herramienta de sincronización de Azure Active Directory.

    Nota La marca de fecha y hora de este valor se muestra en hora universal coordinada (hora media de Greenwich).

  4. Si LastDirSyncTime no se actualiza, supervise el registro de aplicaciones del servidor en el que está instalada la herramienta de sincronización de Azure Active Directory para el evento siguiente:

    • Origen: Sincronización de directorios

    • Id. de evento: 4

    • Nivel: información

    Este evento indica que la sincronización de directorios finalizó en el servidor. Cuando esto suceda, vuelva a ejecutar estos pasos para asegurarse de que el valor de LastDirSyncTime se ha actualizado correctamente.

Solucionar problemas con la validación del paso 4

Para solucionar problemas comunes de validación, use los siguientes artículos de Microsoft Knowledge Base, según corresponda para su situación:

  • 2508225 "LogonUser() Error con el código de error: 1789" después de escribir las credenciales de administrador de empresa en el Asistente para la configuración de la herramienta de sincronización de Azure Active Directory

  • 2502710 error "Se produjo un error desconocido con el Asistente para el inicio de sesión de Microsoft Online Services" al ejecutar el Asistente para la configuración de la herramienta de sincronización de Azure Active Directory

  • 2419250 error "El equipo debe estar unido a un dominio" al intentar instalar la herramienta de sincronización de Azure Active Directory

  • 2643629 Uno o más objetos no se sincronizan al usar la herramienta de sincronización de Azure Active Directory

  • 2641663 Cómo usar la coincidencia SMTP para hacer coincidir cuentas de usuario locales con cuentas de usuario Office 365 para la sincronización de directorios

  • 2492140 No puede asignar un dominio federado a un usuario en el portal de Office 365

Paso 5: preparación Office 365 cliente

Instrucciones de configuración

  1. Comprueba los requisitos previos del cliente para Office 365. Para obtener más información sobre los requisitos del sistema para Office 365, vaya a Office 365 requisitos del sistema.

  2. Ejecute Office 365 configuración de escritorio en todos los equipos cliente que usen aplicaciones cliente enriquecidas. Las aplicaciones cliente enriquecidas incluyen Microsoft Outlook, Microsoft Lync 2010, Microsoft Office Professional Plus 2010, Azure Active Directory Module para Windows PowerShell. Aplicaciones de escritorio de Office y aplicaciones de integración de Microsoft SharePoint.

  3. Si se espera una experiencia sin problemas y sin solicitudes para equipos cliente conectados a dominios y unidos a dominios, agregue la dirección URL del Servicio de federación de AD FS a la zona de intranet local en Windows Internet Explorer. Por ejemplo, haga lo siguiente:

    1. En Internet Explorer, en el menú Herramientas , haga clic en Opciones de Internet.

    2. Haz clic en la pestaña Seguridad , en Intranet local, en Sitios y, a continuación, en Avanzadas.

    3. Escriba https://sts.contoso.com en el cuadro Agregar este sitio web a la zona y, a continuación, haga clic en Agregar.

      Nota: "sts.contoso.com" representa el FQDN del servicio de federación de AD FS.

    Para obtener más información sobre esta configuración, consulte el siguiente artículo de Microsoft Knowledge Base:

    2535227 A un usuario federado se le pide inesperadamente que introduzca sus credenciales de cuenta profesional o educativa

  4. Si los equipos cliente conectados a un dominio y unidos a un dominio obtienen acceso a los recursos de Internet mediante un servidor proxy que resuelve las direcciones de Internet mediante consultas DNS públicas (y no dns interno dividido), agregue la dirección URL del servicio de federación de AD FS a la lista para la que Internet Explorer omitirá el filtrado de proxy. El siguiente es un ejemplo de cómo agregar la dirección URL a la lista de excepciones de Internet Explorer:

    1. En Internet Explorer, en el menú Herramientas , haga clic en Opciones de Internet.

    2. En la pestaña Conexiones , haga clic en Configuración de LAN y, a continuación, haga clic en Avanzadas.

    3. En el cuadro Excepciones , escriba el valor usando el nombre DNS completo del nombre del punto de conexión del servicio de AD FS. Por ejemplo, escriba sts.contoso.com.

Validación del paso 5

Para validarlo, sigue estos pasos:

  1. Asegúrese de que el servicio Asistente de inicio de sesión de Microsoft Online Services esté instalado y en ejecución. Para ello, siga estos pasos:

    1. Haga clic en Inicio, haga clic en Ejecutar, escriba Services.msc y, a continuación, haga clic en Aceptar.

    2. Busque la entrada Del Asistente para el inicio de sesión de Microsoft Online Services y, a continuación, asegúrese de que el servicio se está ejecutando.

    3. Si el servicio no se está ejecutando, haga clic con el botón derecho en la entrada y, a continuación, seleccione Inicio.

  2. Vaya al sitio web de AD FS MEX para asegurarse de que el punto de conexión forma parte de la zona de seguridad de la intranet de Internet Explorer. Para ello, siga estos pasos:

    1. Inicie Internet Explorer y, después, vaya al sitio web del punto de conexión del servicio de AD FS. El siguiente es un ejemplo de un sitio web de punto de conexión de servicio:

      https://sts.contoso.com/federationmetadata/2007-06/federationmetadata.xml

    2. Compruebe la barra de estado en la parte inferior de la ventana para asegurarse de que la zona de seguridad indicada para esta dirección URL es Intranet local.

Paso 6: Validación final

En un equipo cliente configurado, pruebe la experiencia de autenticación SSO esperada. Para ello, autentique con una cuenta de usuario federado. Es posible que desee probar la autenticación de un usuario federado en los siguientes escenarios:

  • En la red local y autenticada a la Active Directory local

  • Desde una ubicación IP neutral de Internet y no autenticada al Active Directory local

Para validarlo, sigue estos pasos:

  1. Pruebe la autenticación web. Para ello, utilice uno de los métodos siguientes:

    • Inicie sesión en el portal de servicios en la nube como usuario federado con credenciales locales de Active Directory.

    • Inicie sesión en Outlook Web App como usuario federado (con credenciales locales de Active Directory) que tenga un buzón de Exchange Online. Por ejemplo, inicie sesión en Outlook Web App en la siguiente dirección URL:

      https://outlook.com/owa/contoso.comNote En esta dirección URL, "contoso.com" representa el nombre de dominio federado.

    • Inicie sesión en Microsoft Office SharePoint Online como usuario federado (con credenciales locales de Active Directory) que tenga acceso a la colección de sitios de grupo. Por ejemplo, inicie sesión en SharePoint Online con la siguiente dirección URL:

      http://contoso.sharepoint.comNote En esta dirección URL, "contoso" representa el nombre de la organización.

  2. Pruebe la autenticación de cliente enriquecido o solicitante activo. Para ello, siga estos pasos:

    1. Configure un perfil de cliente de Skype Empresarial Online (anteriormente Lync Online) para una cuenta de usuario federado y, a continuación, inicie sesión en la cuenta con credenciales locales de Active Directory.

    2. Inicie sesión en el Módulo Azure Active Directory para Windows PowerShell con una cuenta de usuario federado que tenga credenciales de administrador global a través del cmdlet connect-MSOLService.

  3. Pruebe Exchange Online autenticación básica con el Analizador de conectividad remota de Microsoft. Para obtener más información sobre cómo usar el Analizador de conectividad remota, vea el siguiente artículo en Microsoft Knowledge Base:

    2650717  Cómo usar el Analizador de conectividad remota para solucionar problemas de inicio de sesión único en Office 365, Azure o Intune

¿Aún necesita ayuda? Ve a Microsoft Community o al sitio web de foros de Azure Active Directory .

SUSCRIBIRSE A FUENTES RSS

¿Necesita más ayuda?

¿Quiere más opciones?

Descubrir Comunidad

Explore las ventajas de las suscripciones, examine los cursos de aprendizaje, aprenda a proteger su dispositivo y mucho más.

Ventajas de la suscripción a Microsoft 365

Aprendizaje de Microsoft 365

Seguridad de Microsoft

Centro de accesibilidad

Las comunidades le ayudan a formular y responder preguntas, enviar comentarios y leer a expertos con conocimientos extensos.

Pregunte en Microsoft Community

Microsoft Tech Community

Windows Insiders

Microsoft 365 Insiders

¿Le ha sido útil esta información?

¿Cuál es tu grado de satisfacción con la calidad del lenguaje?
¿Qué ha afectado a su experiencia?
Si presiona Enviar, sus comentarios se usarán para mejorar los productos y servicios de Microsoft. El administrador de TI podrá recopilar estos datos. Declaración de privacidad.

¡Gracias por sus comentarios!

×