Käytetään kohteeseen
Office Products Cloud Services (Web roles/Worker roles) Azure Active Directory Microsoft Intune Azure Backup Identity Management

JOHDANTO

Tässä artikkelissa käsitellään kertakirjautumisen asennusongelmien vianmääritystä Microsoftin pilvipalvelussa, kuten Office 365, Microsoft Intune tai Microsoft Azuressa.Kertakirjautumisen yksityiskohtaiset käyttöönotto-ohjeet ovat käytettävissä Azure Active Directoryn (Azure AD) ohjeissa. Jos kohtaat ongelmia, kun määrität SSO:n näiden ohjeiden avulla, voit lukea tämän artikkelin. Se tarjoaa toteutussuunnitelman, joka auttaa kunkin määritysvaiheen yleisten ongelmien vianmäärityksessä.

MENETTELY

SSO-asennuksen vianmääritys

Vaihe 1: Active Directoryn valmisteleminen

Asennusohjeet

Siirry seuraavaan Microsoft-sivustoon:

Kertakirjautumisen valmisteleminen

Vaiheen 1 vahvistus

Hakemistosynkronoinnin määritysten vianmääritystoiminnon avulla voit tarkistaa Active Directoryn ongelmien varalta, jotka voivat aiheuttaa hakemistosynkronointiongelmia.

Vaiheen 1 vahvistukseen liittyvien ongelmien vianmääritys

  1. Huomautus Active Directoryn virheellinen valmistelu tai työkalun tunnistamien ongelmien ratkaisematta jättäminen voi aiheuttaa hakemistosynkronointiongelmia. Korjaa ongelmat noudattamalla vianmääritysohjeita, jotka ohjattu hakemistosynkronoinnin vianmääritystoiminnon arviointi tarjoaa, ja varmista, että ohjattu vianmääritystoiminto suoritetaan ilman virheitä. Tämä estää seuraavia ongelmia ilmenemästä myöhemmin toteutuksessa:

    • 2392130 Organisaation ulkopuolisten käyttäjien käyttäjänimiongelmien vianmääritys, kun he kirjautuvat Office 365, Azureen tai Intune

    • 2001616 Käyttäjän Office 365 sähköpostiosoite sisältää odottamatta alaviivan hakemistosynkronoinnin jälkeen

    • 2643629 Vähintään yksi objekti ei synkronoidu Käytettäessä Azure Active Directory -synkronointityökalua

  2. Suorita ohjattu vianmääritystoiminto uudelleen ja tarkista, onko ongelma ratkaistu.

Vaihe 2: Active Directory -liittoutumispalvelut (AD FS) -arkkitehtuuri

Asennusohjeet Siirry seuraaviin Microsoft-sivustoihin: Huomaa, että Microsoft-tuki ei auta asiakkaita näiden linkkien määritysohjeiden suorittamisessa.

Vaihe 3: Azure Active Directory -moduuli Windows PowerShell SSO:lle

Asennusohjeet

Siirry seuraavaan Microsoft-sivustoon:

Kertakirjautumisen Windows PowerShell asentaminen AD FS:n avulla

Vaiheen 3 vahvistus

Voit tarkistaa Azure Active Directory -moduulin Windows PowerShell SSO:lle seuraavasti:

  1. Suorita Windows PowerShell Azure Active Directory -moduuli järjestelmänvalvojana.

  2. Kirjoita seuraavat komennot ja varmista, että painat Enter-näppäintä jokaisen komennon kirjoittamisen jälkeen:

    1. $cred=Get-Credential Huomautus Kun sinua pyydetään, kirjoita pilvipalvelun järjestelmänvalvojan tunnistetiedot.

    2. Connect-MsolService -Credential $cred

      Huomautus Tämä komento yhdistää sinut Azure AD. Sinun on luotava konteksti, joka yhdistää sinut Azure AD, ennen kuin suoritat muita cmdlet-komentoja, jotka Azure Active Directory -moduuli asentaa Windows PowerShell.

    3. Set-MsolAdfscontext -Computer < AD FS 2.0 primary server >

      Muistiinpanoja

      • Jos asensit Windows PowerShell Azure Active Directory -moduulin ensisijaiseen Active Directory -liittoutumispalvelut (AD FS) -palvelimeen, sinun ei tarvitse suorittaa tätä cmdlet-komentoa.

      • Tässä komennossa AD FS 2.0 :n ensisijaisen palvelimen <paikkamerkki> edustaa ensisijaisen AD FS -palvelimen sisäistä täydellinen toimialuenimi (FQDN). Tämä komento luo kontekstin, joka yhdistää sinut AD FS:hen.

    4. Get-MSOLFederationProperty -DomainName < federated domain name >

      Huomautus Tässä komennossa paikkamerkki <liitetty toimialuenimi> edustaa toimialuenimeä, joka liitettiin määritysvaiheissa.

  3. Vertaa vaiheessa 2D suoritettavan Get-MSOLFederationProperty komennon tulosteen ensimmäistä puoliskoa (Lähde: FS Server) ja viimeistä puoliskoa (Lähde: Microsoft Office 365). Kaikkien merkintöjen Lähde- ja LiittoutumispalveluDisplayName-merkintöjä lukuun ottamatta pitäisi täsmätä. Jos ne eivät täsmää, päivitä luottavan osapuolen luottamustiedot seuraavan Microsoft Knowledge Base -artikkelin Ratkaisu-osion avulla:2647020 "Valitettavasti sisäänkirjautumisessa on ongelmia" ja "80041317" tai "80043431" -virhe, kun liitetty käyttäjä yrittää kirjautua Office 365, Azureen tai Intune

Vaiheen 3 vahvistukseen liittyvien ongelmien vianmääritys Voit tehdä vianmäärityksen seuraavasti:

  1. Yleisten kelpoisuustarkistusongelmien vianmääritys seuraavien Microsoft Knowledge Base -artikkeleiden avulla tilanteen mukaan:

    • 2461873 Azure Active Directory -moduulia ei voi avata Windows PowerShell

    • 2494043Yhteyden muodostaminen ei onnistu Windows PowerShell Azure Active Directory -moduulin avulla

    • 2587730 "Yhteys <ServerName> Active Directory -liittoutumispalvelut 2.0 -palvelimeen epäonnistui" -virhe käytettäessä Set-MsolADFSContext cmdlet-komentoa

    • 2279117 Järjestelmänvalvoja ei voi lisätä toimialuetta Office 365-tiliin

    • Virhe, kun suoritat New-MsolFederatedDomain cmdlet-komennon toisen kerran, koska toimialueen tarkistaminen epäonnistuu. Lisätietoja tästä skenaariosta on seuraavassa Knowledge Base -artikkelissa:

      2515404 toimialueen vahvistusongelmien vianmääritys Office 365

    • 2618887 AD FS 2.0 -palvelimessa määritetty liittoutumispalvelun tunnus on jo käytössä-virhe, kun yrität määrittää toisen liittoutuneen toimialueen Office 365, Azureen tai Intune

    • Aikaongelmat aiheuttavat ongelmia New-MSOLFederatedDomain cmdlet-komennon tai Convert-MSOLDomainToFederated cmdlet-komennon kanssa.

  2. Suorita vahvistusvaiheet uudelleen ja tarkista, onko ongelma ratkaistu.

Vaihe 4: Active Directory -synkronoinnin käyttöönotto

Asennusohjeet

Siirry seuraaviin Microsoft-sivustoihin:

Vaiheen 4 vahvistus

Vahvista toimimalla seuraavasti:

  1. Suorita Windows PowerShell Azure Active Directory -moduuli järjestelmänvalvojana.

  2. Kirjoita seuraavat komennot. Varmista, että painat Enter-näppäintä kunkin komennon kirjoittamisen jälkeen.

    1. $cred=Get-Credential Huomautus Kun sinua pyydetään, kirjoita pilvipalvelun järjestelmänvalvojan tunnistetiedot.

    2. Connect-MsolService -Credential $cred Huomautus Tämä komento yhdistää sinut Azure AD. Sinun on luotava konteksti, joka yhdistää sinut Azure AD, ennen kuin suoritat muita cmdlet-komentoja, jotka Azure Active Directory -moduuli asentaa Windows PowerShell.

    3. Get-MSOLCompanyInformation

  3. Tarkista LastDirSyncTime-arvo edellisten komentojen tuotosta ja varmista, että se näyttää synkronoinnin Azure Active Directory -synkronointityökalun asentamisen jälkeen.Huomautus Tämän arvon päivämäärä- ja aikaleima näkyy järjestyksessä Coordinated Universal Time (Greenwichin keskiaika).

  4. Jos LastDirSyncTimeä ei päivitetä, valvo sen palvelimen sovelluslokia, johon Azure Active Directory -synkronointityökalu on asennettu, seuraavaa tapahtumaa varten:

    • Lähde: Hakemistosynkronointi

    • Tapahtumatunnus: 4

    • Taso: Tiedot

    Tämä tapahtuma ilmaisee, että hakemistosynkronointi on päättynyt palvelimessa. Kun näin tapahtuu, suorita nämä vaiheet uudelleen varmistaaksesi, että LastDirSyncTime-arvo on päivitetty oikein.

Vaiheen 4 kelpoisuuden tarkistamiseen liittyvien ongelmien vianmääritys Yleisten kelpoisuustarkistusongelmien vianmääritys seuraavien Microsoft Knowledge Base -artikkeleiden avulla tilanteen mukaan:

  • 2508225 "LogonUser() Failed with error code: 1789" sen jälkeen, kun olet antanut yrityksen järjestelmänvalvojan tunnistetiedot ohjatussa Azure Active Directory -synkronointityökalun määritystoiminnossa

  • 2502710 "Tuntematon virhe Microsoft Online Services -palveluiden kirjautumisavustajan kanssa" -virhe, kun suoritat ohjatun Azure Active Directory -synkronointityökalun määritystoiminnon

  • 2419250 "Tietokone on liityttävä toimialueeseen" -virhe, kun yrität asentaa Azure Active Directory -synkronointityökalua

  • 2643629 Vähintään yksi objekti ei synkronoidu Käytettäessä Azure Active Directory -synkronointityökalua

  • 2641663 SmTP-vastaavuuden käyttäminen paikallisten käyttäjätilien täsmäytykseen Office 365 käyttäjätilien kanssa hakemistosynkronointia varten

  • 2492140 Et voi määrittää liitettyä toimialuetta käyttäjälle Office 365-portaalissa

Vaihe 5: Office 365 asiakasvalmius

Asennusohjeet

  1. Tarkista Office 365 asiakkaan edellytykset. Lisätietoja Office 365 järjestelmävaatimuksista on Office 365 järjestelmävaatimuksissa.

  2. Suorita Office 365 Työpöytäasetukset kaikissa asiakastietokoneissa, joissa käytetään monipuolisia asiakassovelluksia. Monipuolisia asiakassovelluksia ovat Microsoft Outlook, Microsoft Lync 2010, Microsoft Office Professional Plus 2010, Azure Active Directory -moduuli Windows PowerShell. Office-työpöytäsovellukset ja Microsoft SharePoint -integrointisovellukset.

  3. Jos toimialueeseen liitetyissä ja toimialueeseen yhdistetyissä asiakastietokoneissa on odotettavissa saumaton ja nopea käyttökokemus, lisää AD FS -liittoutumispalvelun URL-osoite Paikalliseen Intranet-vyöhykkeeseen Windows Internet Explorerissa. Toimi esimerkiksi seuraavasti:

    1. Valitse Internet Explorerin Työkalut-valikossa Internet-asetukset.

    2. Napsauta Suojaus-välilehteä, valitse Paikallinen intranet, valitse Sivustot ja valitse sitten Lisäasetukset.

    3. Kirjoita https://sts.contoso.com Lisää tämä sivusto vyöhykkeeseen -ruutuun ja valitse sitten Lisää.Huomautus "sts.contoso.com" edustaa AD FS -liittoutumispalvelun täydellinen toimialuenunni.

    Lisätietoja tästä määrityksestä on seuraavassa Microsoft Knowledge Base -artikkelissa:

    2535227 Liitettyä käyttäjää pyydetään odottamatta antamaan työpaikan tai oppilaitoksen tilin tunnistetiedot

  4. Jos toimialueeseen liitetyt ja toimialueeseen yhdistetyt asiakastietokoneet käyttävät Internet-resursseja välityspalvelimella, joka ratkaisee Internet-osoitteet julkisilla DNS-kyselyillä (ei sisäisillä, jaettujen aivojen DNS-tietueilla), lisää AD FS -liittoutumispalvelun URL-osoite luetteloon, jonka välityspalvelimen suodatuksen Internet Explorer ohittaa. Seuraavassa on esimerkki URL-osoitteen lisäämisestä Internet Explorerin poikkeusluetteloon:

    1. Valitse Internet Explorerin Työkalut-valikossa Internet-asetukset.

    2. Valitse Yhteydet-välilehdessä Lähiverkon asetukset ja valitse sitten Lisäasetukset.

    3. Kirjoita arvo Poikkeukset-ruutuun AD FS -palvelun päätepisteen nimen täydellisellä DNS-nimellä. Kirjoita esimerkiksi sts.contoso.com.

Vaiheen 5 vahvistus Vahvista toimimalla seuraavasti:

  1. Varmista, että Microsoft Online Services -palveluiden kirjautumisavustajapalvelu on asennettu ja käynnissä. Voit tehdä tämän seuraavasti:

    1. Valitse Käynnistä, valitse Suorita, kirjoita Services.msc ja valitse sitten OK.

    2. Etsi Microsoft Online Services -palveluiden kirjautumisavustajan merkintä ja varmista, että palvelu on käynnissä.

    3. Jos palvelu ei ole käynnissä, napsauta merkintää hiiren kakkospainikkeella ja valitse sitten Käynnistä.

  2. Siirry AD FS MEX -sivustoon ja varmista, että päätepiste kuuluu Internet Explorerin intranet-suojausvyöhykkeeseen. Voit tehdä tämän seuraavasti:

    1. Käynnistä Internet Explorer ja siirry sitten AD FS -palvelun päätepistesivustoon. Seuraavassa on esimerkki palvelun päätepistesivustosta:

      https://sts.contoso.com/federationmetadata/2007-06/federationmetadata.xml

    2. Tarkista ikkunan alareunassa olevasta tilarivistä, että tälle URL-osoitteelle ilmoitettu suojausvyöhyke on Paikallinen intranet.

Vaihe 6: Lopullinen vahvistus

Testaa määritetyssä asiakastietokoneessa odotettu SSO-todennuskokemus. Voit tehdä tämän todentamalla käyttämällä liitettyä käyttäjätiliä. Haluat ehkä testata liittoutuneen käyttäjän todennuksen seuraavissa tilanteissa:

  • Paikallisessa verkossa ja todennettu paikallinen Active Directory

  • Internet-neutraalista IP-sijainnista, jota ei ole todennettu paikallinen Active Directory

Vahvista toimimalla seuraavasti:

  1. Testaa verkkotodennus. Voit tehdä tämän jollakin seuraavista tavoista:

    • Kirjaudu pilvipalveluportaaliin liitettynä käyttäjänä paikallisten Active Directory -tunnistetietojen avulla.

    • Kirjaudu sisään Outlook Web App liitettynä käyttäjänä (paikallisilla Active Directory -tunnistetiedoilla), jolla on Exchange Online postilaatikko. Kirjaudu esimerkiksi sisään Outlook Web App seuraavalla URL-osoitteella:

      https://outlook.com/owa/contoso.comNote Tässä URL-osoitteessa contoso.com edustaa liitettyä toimialuenimeä.

    • Kirjaudu sisään Microsoft Office SharePoint Online liitettynä käyttäjänä (käyttämällä paikallisia Active Directory -tunnistetietoja), jolla on ryhmäsivustokokoelman käyttöoikeus. Kirjaudu esimerkiksi SharePoint Onlineen seuraavalla URL-osoitteella:

      http://contoso.sharepoint.comNote Tässä URL-osoitteessa contoso edustaa organisaatiosi nimeä.

  2. Testaa rich client tai active requestor authentication. Voit tehdä tämän seuraavasti:

    1. Määritä Skype for Business Online (aiemmin Lync Online) -asiakasprofiili liitetylle käyttäjätilille ja kirjaudu sitten tilille paikallisten Active Directory -tunnistetietojen avulla.

    2. Kirjaudu azure Active Directory -moduuliin Windows PowerShell käyttämällä liitettyä käyttäjätiliä, jolla on yleisen järjestelmänvalvojan tunnistetiedot connect-MSOLService-cmdlet-komennolla.

  3. Testaa Exchange Online perustodennus Microsoft Remote Connectivity Analyzerin avulla. Lisätietoja Etäyhteyksien analysointitoiminnon käyttämisestä on seuraavassa Microsoft Knowledge Base -tietokannan artikkelissa:

    2650717  Office 365, Azuren tai Intune kertakirjautumisongelmien vianmääritys etäyhteyksien analysointitoiminnon avulla

Tarvitsetko lisää ohjeita? Siirry Microsoft Community - tai Azure Active Directory -keskustelupalstasivustoon .

Facebook LinkedIn Sähköposti
TILAA RSS-SYÖTTEET

Tarvitsetko lisäohjeita?

Haluatko lisää vaihtoehtoja?

Tutustu tilausetuihin, selaa harjoituskursseja, opi suojaamaan laitteesi ja paljon muuta.

Microsoft 365 -tilaukseen kuuluvat edut

Microsoft 365 -koulutus

Microsoftin suojaus

Helppokäyttökeskus