Applies ToIdentity Management Cloud Services (Web roles/Worker roles) Azure Active Directory Microsoft Intune Azure Backup

ONGELMA

Uusi liitetty käyttäjä ei voi kirjautua Microsoftin pilvipalveluun, kuten Office 365, Microsoft Azureen tai Microsoft Intune. Käyttäjällä on jokin seuraavista oireista:

  • Kun käyttäjä on antanut käyttäjätunnuksensa login.microsoftonline.com-verkkosivulle, käyttäjätunnusta ei voida tunnistaa ulkopuoliseksi käyttäjäksi kotiympäristön etsinnän perusteella eikä käyttäjää ohjata automaattisesti kirjautumaan sisään kertakirjautumisen kautta.

  • todennus Active Directory -liittoutumispalvelut (AD FS) epäonnistuu, ja käyttäjä saa seuraavan lomakepohjaisen todennusvirhesanoman:

    Käyttäjänimi tai salasana on virheellinen

    vaihtoehtoinen teksti

  • Käyttäjä saa seuraavan virhesanoman login.microsoftonline.com verkkosivulla:

    Anteeksi, mutta meillä on ongelmia uloskirjaamisessa

AIHEUTTAA

Nämä oireet voivat ilmetä huonosti pilotoitujen SSO-tunnistusta käyttävien käyttäjätunnusten vuoksi. SSO-yhteensopivan käyttäjätunnuksen pilotointiin liittyvät yleiset vaatimukset ovat seuraavat:

  • paikallinen Active Directory-käyttäjätilin tulisi käyttää liitettyä toimialuenimeä käyttäjän päänimi (UPN) -jälkiliitteenä.

  • Käyttäjätunnuksella ja siihen liittyvän Microsoft Exchange Online postilaatikon ensisijaisella sähköpostiosoitteella ei ole samaa toimialueen jälkiliitettä.

  • Azure Active Directory -synkronointityökalun on synkronoitava paikallinen Active Directory käyttäjätili pilvipohjaiseen käyttäjätunnukseen.

  • paikallinen Active Directory käyttäjätilin ja pilvipohjaisen käyttäjätunnuksen on vastattava toisiaan.

Ennen kuin oletat, että ongelman syynä on huonosti pilotoitu SSO-yhteensopiva käyttäjätunnus, varmista, että seuraavat ehdot täyttyvät:

  • Käyttäjällä ei ole yleistä kirjautumisongelmaa. Lisätietoja yleisten kirjautumisongelmien vianmäärityksestä on seuraavassa Microsoft Knowledge Base -artikkelissa:

    2412085 Et voi kirjautua organisaatiotiliisi, kuten Office 365, Azureen tai Intune

  • Liitetty toimialue on valmis tukemaan SSO:a oikein seuraavasti:

RATKAISU

Voit ratkaista tämän ongelman varmistamalla, että käyttäjätiliä on pilotoitu oikein SSO-yhteensopivana käyttäjätunnuksena. Voit tehdä tämän käyttämällä yhtä tai useampaa seuraavista tavoista:

Menetelmä 1: Katso Knowledge Base -artikkeli 2615736, jos käyttäjät saavat virhesanoman "Pahoittelut, mutta sisäänkirjautumisessa on ongelmia".

Jos käyttäjä saa virhesanoman "Anteeksi, mutta sisäänkirjautumisessa on ongelmia", käytä seuraavaa Microsoft Knowledge Base -artikkelia ongelman vianmääritykseen:

2615736 "Valitettavasti sisäänkirjautumisessa on ongelmia" -virhe, kun käyttäjä yrittää kirjautua sisään Office 365, Azureen tai Intune

Menetelmä 2: Päivitä paikallisen käyttäjätilin käyttäjätunnus käyttämään liitettyä toimialuetta sen jälkiliitteenä

Varoitus Active Directory -käyttäjätilin upn-tunnuksen muuttamisella voi olla merkittävä vaikutus käyttäjän paikallinen Active Directory toimintoihin. Suosittelemme, että käytät varovaisuutta ja pohdit UPN-muutoksia.Vaikutus voi sisältää seuraavat:

  • Paikallisten resurssien etäkäyttö verkkovierailukäyttäjillä, jotka kirjautuvat käyttöjärjestelmään välimuistissa olevien tunnistetietojen avulla

  • Etäkäytön todennustekniikat käyttäjävarmenteiden avulla

  • Käyttäjävarmenteisiin perustuvat salaustekniikat, kuten SMIME (Secure MIME), sisältöoikeuksien hallintatekniikat ja NTFS:n Encrypting File System (EFS) -ominaisuus

  • Älykorttitoiminto

Suosittelemme, että kokeilet yhtä käyttäjätiliä, jotta ymmärrät paremmin, miten UPN:n päivittäminen vaikuttaa käyttäjien käyttöön. Tiedoista on hyötyä varmenteiden uudelleenjulkaistumisen, tietojen palauttamisen ja muiden korjauksen suunnittelussa etukäteen tai vähemmän, jotta tietojen helppokäyttötoiminnot voidaan säilyttää näiden tekniikoiden avulla.Sinun on päivitettävä käyttäjätili upn niin, että se vastaa liitettyä toimialueen jälkiliitettä sekä paikallinen Active Directory-ympäristössä että Azure AD. Voit tehdä tämän seuraavasti:

  1. Varmista, että liitetty toimialue on lisätty UPN-jälkiliitteeksi:

    1. Valitse paikallinen Active Directory toimialueen ohjauskoneessa Käynnistä, valitse Kaikki ohjelmat, valitse Hallintatyökalut ja valitse sitten Active Directory -toimialueet ja -luottamussuhteet.

    2. Napsauta Active Directory -toimialueiden ja luottamushenkilöiden pääsolmua hiiren kakkospainikkeella, valitse Ominaisuudet ja varmista sitten, että SSO:ssa käytetty toimialuenimi on olemassa.

    Huomautus Ei-reititettävä toimialueen jälkiliite, kuten domain.internal tai domain.microsoftonline.com toimialue, ei voi hyödyntää SSO-toimintoja tai liitettyjä palveluja. Tässä vaiheessa ei saa käyttää reititettävää toimialueen jälkiliitettä.

  2. Päivitä ongelmakäyttäjätilin UPN-jälkiliite manuaalisesti:

    1. Valitse paikallinen Active Directory toimialueen ohjauskoneessa Käynnistä, valitse Kaikki ohjelmat, valitse Hallintatyökalut ja valitse sitten Active Directoryn käyttäjät ja tietokoneet.

    2. Etsi ongelmakäyttäjätili, napsauta tiliä hiiren kakkospainikkeella ja valitse sitten Ominaisuudet.

    3. Vaihda UPN-jälkiliite mukautettuun toimialueeseen Käyttämällä Tili-välilehden vasemmassa yläkulmassa olevaa avattavaa luetteloa ja valitse sitten OK.

Menetelmä 3: Varmista, että Exchange Online-postilaatikon käyttäjätunnuksella ja ensisijaisella Simple Mail Transfer Protocol (SMTP) -osoitteella on sama toimialue

Paikallisten Exchange-hallintatyökalujen avulla voit määrittää paikallisen käyttäjän ensisijaisen SMTP-osoitteen samalle UPN-määritteen toimialueelle, joka on kuvattu menetelmässä 2. Lisätietoja on seuraavissa Microsoft TechNet -sivustoissa:

Sähköpostiosoitekäytännön muokkaaminen Käyttäjän ja resurssin postilaatikon ominaisuuksien määrittäminen Jos Exchangea ei ole asennettu paikalliseen ympäristöön, voit hallita SMTP-osoitearvoa Active Directoryn käyttäjät ja tietokoneet. Voit tehdä tämän seuraavasti:

  1. Napsauta Active Directoryn käyttäjät ja tietokoneet hiiren kakkospainikkeella käyttäjäobjektia ja valitse sitten Ominaisuudet.

  2. Päivitä Yleiset-välilehden Sähköposti-kenttä ja valitse sitten OK.

Menetelmä 4: Active Directory -synkronoinnin määrittäminen käyttäjätilille UPN

Jotta SSO toimisi oikein, sinun on määritettävä Active Directory -synkronointisovellus. Lisätietoja Active Directory -synkronoinnin määrittämisestä on seuraavassa Microsoftin sivustossa:

Active Directory -synkronointi: toteutussuunnitelmaLisätietoja synkronoinnin pakottamisesta ja tarkistamisesta on seuraavissa Microsoftin sivustoissa:

Menetelmä 5: Tietyn käyttäjätilin UPN-päivitysongelmien vianmääritys

Jos synkronointi voidaan tarkistaa, mutta pilotoitua käyttäjätunnusta ei edelleenkään päivitetä, synkronointiongelma saattaa ilmetä tietylle käyttäjälle.Lisätietoja tietyn Active Directory -objektin synkronointiin liittyvien mahdollisten ongelmien vianmäärityksestä on seuraavassa Microsoft Knowledge Base -tietokannan artikkelissa:

2643629 Vähintään yksi objekti ei synkronoidu Käytettäessä Azure Active Directory -synkronointityökalua

Tarvitsetko lisää ohjeita? Siirry Microsoft Community - tai Azure Active Directory -keskustelupalstasivustoon .

Facebook LinkedIn Sähköposti
TILAA RSS-SYÖTTEET

Tarvitsetko lisäohjeita?

Haluatko lisää vaihtoehtoja?

Tutustu Yhteisö

Tutustu tilausetuihin, selaa harjoituskursseja, opi suojaamaan laitteesi ja paljon muuta.

Microsoft 365 -tilaukseen kuuluvat edut

Microsoft 365 -koulutus

Microsoftin suojaus

Helppokäyttökeskus

Osallistumalla yhteisöihin voit kysyä kysymyksiä ja vastata niihin, antaa palautetta sekä kuulla lisää asiantuntijoilta, joilla on runsaasti tietoa.

Kysy Microsoftin yhteisöltä

Microsoft Tech Community -verkosto

Windows Insider -käyttäjät

Microsoft 365 Insider -jäsenet