היכנס דרך Microsoft
היכנס או צור חשבון.
שלום,
בחר חשבון אחר.
יש לך חשבונות מרובים
בחר את החשבון שברצונך להיכנס באמצעותו.

מבוא

מאמר זה מסביר כיצד לפתור בעיות בהגדרת כניסה יחידה בשירות ענן של Microsoft, כגון Office 365, Microsoft Intune או Microsoft Azure.

הדרכה מפורטת להטמעה עבור כניסה יחידה (SSO) זמינה בתיעוד העזרה של Azure Active Directory (Azure AD). אם אתה נתקל בבעיה בעת הגדרת SSO באמצעות הדרכה זו, באפשרותך לעיין במאמר זה. הוא מספק מפת דרכים כדי לעזור בפתרון בעיות נפוצות בכל שלב בהגדרה.

הליך

כיצד לפתור בעיות בהגדרת SSO

שלב 1: הכנת Active Directory

הדרכה בנושא הגדרה

עבור אל אתר האינטרנט הבא של Microsoft:

הכנה לכניסה יחידה

אימות עבור שלב 1

השתמש באשף האבחון של הערכת הגדרות סינכרון מדריכי כתובות כדי לסרוק את Active Directory כדי לאתר בעיות שעלולות לגרום לבעיות בסינכרון מדריכי כתובות.

פתרון בעיות באימות עבור שלב 1

  1. הערה הכנה שגויה של Active Directory או כשל בפתרון בעיות שה כלי מזהה עלול לגרום לבעיות סינכרון מדריכי כתובות. בצע את ההנחיות לפתרון בעיות המוצעות על-ידי אשף האבחון של הערכת הגדרות סינכרון מדריכי כתובות כדי לפתור את הבעיות, וודא כי אשף האבחון פועל ללא שגיאות. פעולה זו מונעת את התרחשות הבעיות הבאות בהמשך היישום:

    • 2392130 פתרון בעיות בשם משתמש המתרחשות עבור משתמשים מאוחדים כאשר הם Office 365, Azure או Intune

    • 2001616 כתובת דואר אלקטרוני של Office 365 מכילה באופן בלתי צפוי תו מקף תחתון לאחר סינכרון מדריכי כתובות

    • 2643629 אובייקט אחד או יותר אינו מסתנכרן בעת שימוש בכלי הסינכרון של Azure Active Directory

  2. הפעל מחדש את אשף האבחון כדי לבדוק אם הבעיה נפתרה.

שלב 2: Active Directory Federation Services (AD FS)

הדרכה בנושא הגדרה

עבור אל אתרי האינטרנט הבאים של Microsoft:

הערה התמיכה של Microsoft לא תעזור ללקוחות בביצוע הנחיות ההגדרה בקישורים אלה.

שלב 3: מודול Azure Active Directory Windows PowerShell עבור SSO

הדרכה בנושא הגדרה

עבור אל אתר האינטרנט הבא של Microsoft:

התקנת Windows PowerShell עבור כניסה יחידה עם AD FS

אימות עבור שלב 3

כדי לאמת את מודול Azure Active Directory עבור Windows PowerShell SSO, בצע את הפעולות הבאות:

  1. הפעל את מודול Azure Active Directory Windows PowerShell כמנהל מערכת.

  2. הקלד את הפקודות הבאות וודא שאתה מקליד Enter לאחר כל פקודה:

    1. $cred=Get-Credential
      הערה כשתתבקש, הקלד את אישורי מנהל שירות הענן שלך.

    2. Connect-MsolService -Credential $cred


      הערה פקודה זו מחברת אותך Azure AD. עליך ליצור הקשר שמחבר אותך ל- Azure AD לפני שתפעיל רכיבי cmdlet נוספים המותקנים על-ידי מודול Azure Active Directory עבור Windows PowerShell.

    3. Set-MsolAdfscontext -Computer < AD FS 2.0 primary server >



      הערות

      • אם התקנת את מודול Azure Active Directory עבור Windows PowerShell בשרת הראשי של Active Directory Federation Services (AD FS), אינך צריך להפעיל cmdlet זה.

      • בפקודה זו, מציין המיקום <AD FS 2.0> את שם התחום המלא (FQDN) הפנימי של שרת AD FS הראשי. פקודה זו יוצרת הקשר שמחבר אותך ל- AD FS.

    4. Get-MSOLFederationProperty -DomainName < federated domain name >


      הערה בפקודה זו, מציין המיקום <שם התחום המאוחד> את שם התחום שהיה מאוחד בשלבי ההגדרה.

  3. השווה בין המחצית הראשונה (מקור: AD FS Server) לבין המחצית האחרונה (מקור: Microsoft Office 365) של פלט פקודת Get-MSOLFederationProperty שהרץ בשלב 2D. כל הערכים למעט Source ו- FederationServiceDisplayName צריכים להיות תואמים. אם הם אינם תואמים, השתמש במקטע "פתרון" במאמר הבא מתוך מאגר הידע Microsoft Knowledge Base כדי לעדכן את נתוני האמון של Relying Party:

    2647020 "מצטערים, אבל אנחנו נתקלים בבעיות בכניסה" ו- "80041317" או "80043431" כאשר משתמש מאוחד מנסה להיכנס ל- Office 365, Azure או Intune

פתרון בעיות באימות עבור שלב 3

כדי לפתור בעיות, בצע את השלבים הבאים:

  1. פתור בעיות אימות נפוצות באמצעות מאמרי מאגר הידע הבאים של Microsoft, בהתאם למצבך:

    • 2461873 לא ניתן לפתוח את מודול Azure Active Directory עבור Windows PowerShell

    • 2494043לא ניתן להתחבר באמצעות מודול Azure Active Directory עבור Windows PowerShell

    • 2587730 השגיאה "החיבור <ServerName> Active Directory Federation Services 2.0 נכשל" בעת שימוש ב- cmdlet של Set-MsolADFSContext ServerName

    • 2279117 למנהל מערכת אין אפשרות להוסיף תחום לחשבון Office 365 אחר

    • שגיאה בעת הפעלת ה- cmdlet New-MsolFederatedDomain ה- cmdlet בפעם השניה מאחר שהאימות של התחום נכשל. לקבלת מידע נוסף אודות תרחיש זה, עיין במאמר הבא במאגר הידע:

      2515404 פתרון בעיות אימות תחום ב- Office 365

    • 2618887 השגיאה "מזהה שירות האיחוד שצוין בשרת AD FS 2.0 כבר נמצא בשימוש". בעת ניסיון להגדיר תחום מאוחד אחר ב- Office 365, Azure או Intune

    • בעיות זמן עשויות לגרום לבעיות ב- cmdlet New-MSOLFederatedDomain cmdlet או ב- cmdlet Convert-MSOLDomainToFederated שלך.

  2. הפעל מחדש את שלבי האימות כדי לבדוק אם הבעיה נפתרה.

שלב 4: יישום סינכרון Active Directory

הדרכה בנושא הגדרה

עבור אל אתרי האינטרנט הבאים של Microsoft:

אימות עבור שלב 4

כדי לאמת, בצע את השלבים הבאים:

  1. הפעל את מודול Azure Active Directory Windows PowerShell כמנהל מערכת.

  2. הקלד את הפקודות הבאות. הקפד להקיש Enter לאחר שתקליד כל פקודה.

    1. $cred=Get-Credential

      הערה כשתתבקש, הקלד את אישורי מנהל שירות הענן שלך.

    2. Connect-MsolService - אישור $cred

      הערה פקודה זו מחברת אותך Azure AD. עליך ליצור הקשר שמחבר אותך ל- Azure AD לפני שתפעיל רכיבי cmdlet נוספים המותקנים על-ידי מודול Azure Active Directory עבור Windows PowerShell.

    3. Get-MSOLCompanyInformation

  3. בדוק את הערך LastDirSyncTime מהפלט של הפקודות הקודמות, וודא שהוא מציג סינכרון לאחר שכלי הסינכרון של Azure Active Directory הותקן.

    הערה חותמת התאריך והשעה עבור ערך זה מוצגת בזמן אוניברסלי מתואם (זמן גריניץ').

  4. אם LastDirSyncTime אינו מתעדכן, נטר את יומן היישומים של השרת שבו מותקן כלי הסינכרון של Azure Active Directory עבור האירוע הבא:

    • מקור: סינכרון מדריכי כתובות

    • מזהה אירוע: 4

    • רמה: מידע

    אירוע זה מציין שסינכרון מדריכי כתובות הסתיים בשרת. במקרה כזה, הפעל מחדש שלבים אלה כדי לוודא שערך LastDirSyncTime עודכן כראוי.

פתרון בעיות באימות עבור שלב 4

פתור בעיות אימות נפוצות באמצעות מאמרי מאגר הידע הבאים של Microsoft, בהתאם למצבך:

  • 2508225 "LogonUser() נכשל עם קוד שגיאה: 1789" לאחר הזנת אישורי מנהל מערכת ארגוני באשף קביעת התצורה של כלי הסינכרון של Azure Active Directory

  • 2502710 השגיאה "אירעה שגיאה לא ידועה במסייע הכניסה של Microsoft Online Services" בעת הפעלת אשף קביעת התצורה של כלי הסינכרון של Azure Active Directory

  • 2419250 השגיאה "המחשב חייב להיות מצורף לתחום" בעת ניסיון להתקין את כלי הסינכרון של Azure Active Directory

  • 2643629 אובייקט אחד או יותר אינו מסתנכרן בעת שימוש בכלי הסינכרון של Azure Active Directory

  • 2641663 כיצד להשתמש ב- SMTP תואם כדי להתאים חשבונות משתמשים מקומיים כדי Office 365 משתמשים עבור סינכרון מדריכי כתובות

  • 2492140 לא ניתן להקצות תחום מאוחד למשתמש בפורטל Office 365 שלך

שלב 5: Office 365 הלקוח שלך

הדרכה בנושא הגדרה

  1. בדוק את הדרישות המוקדמות של הלקוח Office 365. לקבלת מידע נוסף אודות דרישות המערכת עבור Office 365, עבור אל Office 365 המערכת.

  2. הפעל Office 365 שולחן העבודה בכל מחשבי הלקוח המשתמשים ביישומי לקוח עשירים. יישומי לקוח עשירים כוללים את Microsoft Outlook, Microsoft Lync 2010, Microsoft Office Professional Plus 2010, Azure Active Directory Module for Windows PowerShell. יישומי שולחן עבודה של Office ויישומים שילוב של Microsoft SharePoint.

  3. אם צפויה חוויה חלקה ללא בקשה עבור מחשבי לקוח המחוברים לתחום ומחוברת לתחום, הוסף את כתובת ה- URL של שירות האיחוד של AD FS לאזור האינטרא-נט המקומי ב- Windows Internet Explorer. לדוגמה, בצע את הפעולות הבאות:

    1. ב- Internet Explorer, בתפריט כלים , לחץ על אפשרויות אינטרנט.

    2. לחץ על הכרטיסיה אבטחה, לחץ על אינטרא-נט מקומי, לחץ על אתרים ולאחר מכן לחץ על מתקדם.

    3. הקלד https://sts.contoso.com בתיבה הוסף אתר אינטרנט זה לאזור ולאחר מכן לחץ על הוסף.

      הערה "sts.contoso.com" מייצג את ה- FQDN של שירות איחוד AD FS.

    לקבלת מידע נוסף אודות תצורה זו, עיין במאמר הבא של Microsoft Knowledge Base:

    2535227 משתמש מאוחד מתבקש באופן בלתי צפוי להזין את אישורי החשבון שלו בעבודה או בבית הספר

  4. אם מחשבי לקוח המחוברים לתחום ומחוברים לתחום ניגשים למשאבי אינטרנט באמצעות שרת Proxy שמפוען כתובות אינטרנט באמצעות שאילתות DNS ציבוריות (ולא DNS פנימי של פיצול מוח), הוסף את כתובת ה- URL של שירות איחוד AD FS לרשימה שעבורה Internet Explorer יעקוף את סינון ה- Proxy. להלן דוגמה לאופן הוספת כתובת ה- URL לרשימת החריגים של Internet Explorer:

    1. ב- Internet Explorer, בתפריט כלים , לחץ על אפשרויות אינטרנט.

    2. בכרטיסיה חיבורים , לחץ על הגדרות LAN ולאחר מכן לחץ על מתקדם.

    3. בתיבה חריגים , הזן את הערך באמצעות שם ה- DNS המלא של שם נקודת הקצה של שירות AD FS. לדוגמה, הזן sts.contoso.com.

אימות עבור שלב 5

כדי לאמת, בצע את השלבים הבאים:

  1. ודא כי שירות מסייע הכניסה של Microsoft Online Services מותקן פועלים. לשם כך, בצע את השלבים הבאים:

    1. לחץ על התחל, לחץ על הפעלה, הקלד Services.msc ולאחר מכן לחץ על אישור.

    2. אתר את הערך של מסייע הכניסה של Microsoft Online Services ולאחר מכן ודא שהשירות פועל.

    3. אם השירות אינו פועל, לחץ באמצעות לחצן העכבר הימני על הערך ולאחר מכן בחר התחל.

  2. עבור אל אתר האינטרנט של AD FS MEX כדי לוודא ש נקודת הקצה היא חלק מ אזור האבטחה של האינטרא-נט של Internet Explorer. לשם כך, בצע את השלבים הבאים:

    1. הפעל את Internet Explorer ולאחר מכן עבור אל אתר האינטרנט של נקודת הקצה של שירות AD FS. להלן דוגמה של אתר אינטרנט של נקודת קצה של שירות:

      https://sts.contoso.com/federationmetadata/2007-06/federationmetadata.xml

    2. בדוק את שורת המצב בתחתית החלון כדי לוודא ש אזור האבטחה שצוין עבור כתובת URL זו הוא אינטרא-נט מקומי.

שלב 6: אימות סופי

במחשב לקוח שתצורתו נקבעה, בדוק את חוויית אימות SSO הצפויה. לשם כך, בצע אימות באמצעות חשבון משתמש מאוחד. ייתכן שתרצה לבדוק אימות של משתמש מאוחד בתרחישים הבאים:

  • ברשת המקומית ותואמת מול Active Directory מקומי

  • ממיקום IP ניטראלי באינטרנט ולא מאומת מול Active Directory מקומי

כדי לאמת, בצע את השלבים הבאים:

  1. בדוק אימות אינטרנט. לשם כך, השתמש באחת מהשיטות הבאות:

    • היכנס לפורטל שירות הענן כמשתמש מאוחד באמצעות אישורי Active Directory מקומיים.

    • היכנס אל Outlook Web App כמשתמש מאוחד (באמצעות אישורי Active Directory מקומיים) שיש לו Exchange Online דואר. לדוגמה, היכנס אל Outlook Web App כתובת ה- URL הבאה:

      https://outlook.com/owa/contoso.comNote כתובת URL זו, "contoso.com" מייצג את שם התחום המאוחד.

    • היכנס אל Microsoft Office SharePoint Online כמשתמש מאוחד (באמצעות אישורים מקומיים של Active Directory) שיש לו גישה לאוסף אתרי הצוות. לדוגמה, היכנס ל- SharePoint Online בכתובת ה- URL הבאה:

      http://contoso.sharepoint.comNote כתובת URL זו, "contoso" מייצג את שם הארגון שלך.

  2. בדוק אימות של לקוח עשיר או מבקש פעיל. לשם כך, בצע את השלבים הבאים:

    1. קבע תצורה Skype for Business לקוח של Lync Online (לשעבר Lync Online) עבור חשבון משתמש מאוחד ולאחר מכן היכנס לחשבון באמצעות אישורי Active Directory מקומיים.

    2. היכנס למודול Azure Active Directory עבור Windows PowerShell באמצעות חשבון משתמש מאוחד בעל אישורי מנהל מערכת כלליים באמצעות ה- cmdlet connect-MSOLService.

  3. בדוק Exchange Online בסיסי באמצעות מנתח הקישוריות המרוחקת של Microsoft. לקבלת מידע נוסף אודות אופן השימוש במנתח הקישוריות המרוחקת, עיין במאמר הבא ב- Microsoft Knowledge Base:

    2650717  כיצד להשתמש במנתח הקישוריות המרוחקת כדי לפתור בעיות כניסה יחידה עבור Office 365, Azure או Intune

עדיין זקוק לעזרה? עבור אל קהילת Microsoft או אל אתר הפורומים של Azure Active Directory .

Facebook LinkedIn דואר אלקטרוני
הרשמה כמנוי להזנות RSS

זקוק לעזרה נוספת?

מעוניין באפשרויות נוספות?

לגלות קהילה

גלה את יתרונות המנוי, עיין בקורסי הדרכה, למד כיצד לאבטח את המכשיר שלך ועוד.

הטבות מינוי Microsoft 365

הדרכת Microsoft 365

אבטחת Microsoft

מרכז הנגישות

קהילות עוזרות לך לשאול שאלות ולהשיב עליהן, לתת משוב ולשמוע ממומחים בעלי ידע עשיר.

שאל את Microsoft Community

Microsoft Tech Community

משתתפי Windows Insider

משתתפי Insider של Microsoft 365

האם מידע זה היה שימושי?

עד כמה אתם מרוצים מאיכות השפה?
מה השפיע על החוויה שלך?
בלחיצה על 'שלח', אתה מאפשר למשוב שלך לשפר מוצרים ושירותים של Microsoft. מנהל ה-IT שלך יוכל לאסוף נתונים אלה. הצהרת הפרטיות.

תודה על המשוב!

×