בעיה
משתמש מאוחד חדש אינו יכול להיכנס לשירות ענן של Microsoft, כגון Office 365, Microsoft Azure או Microsoft Intune. המשתמש נתקל באחת מהתופעות הבאות:
-
לאחר שהמשתמש מזין את מזהה המשתמש שלו בדף האינטרנט של login.microsoftonline.com, לא ניתן לזהות את מזהה המשתמש כמשתמש מאוחד על-ידי גילוי התחום בבית והמשתמש אינו מנותב מחדש באופן אוטומטי כדי להיכנס באמצעות כניסה יחידה (SSO).
-
האימות Active Directory Federation Services (AD FS) נכשל, והמשתמש מקבל את הודעת השגיאה הבאה של אימות מבוסס-טפסים:
שם המשתמש או הסיסמה שגויים
-
המשתמש מקבל את הודעת השגיאה הבאה בדף login.microsoftonline.com האינטרנט:
מצטערים, אבל אנחנו נתקלים בבעיות ביציאה שלך
לגרום
תסמינים אלה עשויים להתרחש עקב מזהה משתמש בעל ניסיון שגוי של SSO. להלן הדרישות הכלליות להתקנת מזהה משתמש המותאם לשימוש ב- SSO:
-
על Active Directory מקומי משתמש זה להשתמש בשם התחום המאוחד כסיומת שם ראשי של משתמש (UPN).
-
מזהה המשתמש וכתובת הדואר האלקטרוני הראשית של תיבת הדואר Microsoft Exchange Online הדואר המשויכת אינם משתפים את אותה סיומת תחום.
-
כלי הסינכרון של Azure Active Directory חייב לסנכרן Active Directory מקומי משתמש זה עם מזהה משתמש מבוסס ענן.
-
THE UPN of the Active Directory מקומי user account and the cloud-based user ID must match.
לפני שאתה מניח שמזהה משתמש בעל ניסיון שגוי של SSO הוא הגורם לבעיה זו, ודא שהתנאים הבאים מתקיימים:
-
המשתמש אינו נתקל בבעיית כניסה נפוצה. לקבלת מידע נוסף על האופן שבו ניתן לפתור בעיות כניסה נפוצות, עיין במאמר הבא מתוך מאגר הידע Microsoft Knowledge Base:
2412085 לא ניתן להיכנס לחשבון הארגוני שלך, כגון Office 365, Azure או Intune
-
התחום המאוחד מוכן כראוי לתמיכה ב- SSO באופן הבא:
-
התחום המאוחד ניתן לפתרם באופן ציבורי על-ידי DNS. (אפשרות זו אינה כוללת את התחום "onmicrosoft.com" המהווה ברירת מחדל.)
-
התחום המאוחד הוכן עבור SSO בהתאם לאתרי האינטרנט הבאים של Microsoft.
הערה ההפצה של המרת איחוד תחומים עשויה להימשך זמן מה. עליך להמתין שעתיים לאחר איחוד תחום לפני שאתה מניח שתצורת התחום אינה חוקית.
-
פתרון
כדי לפתור בעיה זו, ודא שחשבון המשתמש תקין כמזהה משתמש המותאם לשימוש ב- SSO. לשם כך, השתמש באחת או יותר מהשיטות הבאות:
שיטה 1: עיין במאמר Knowledge Base 2615736 אם המשתמשים מקבלים את השגיאה "מצטערים, אבל נתקלנו בבעיות בכניסה"
אם המשתמש מקבל את הודעת השגיאה "מצטערים, אבל נתקלנו בבעיה בכניסה שלך", השתמש במאמר הבא מתוך מאגר הידע Microsoft Knowledge Base כדי לפתור את הבעיה:
2615736 השגיאה "מצטערים, אבל נתקלנו בבעיה בכניסה" כאשר משתמש מנסה להיכנס אל Office 365, Azure או Intune
שיטה 2: עדכן את ה- UPN של חשבון המשתמש המקומי כדי להשתמש בתחום המאוחד כסיומת שלו
אזהרה שינוי ה- UPN של חשבון משתמש של Active Directory יכול להיות בעל השפעה משמעותית על Active Directory מקומי של המשתמש. מומלץ לנקוט משנה זהירות ולשיחרור לגבי שינויי UPN.
ההשפעה עשויה לכוללת את הפרטים הבאים:
-
גישה מרחוק למשאבים מקומיים על-ידי נדידת משתמשים שהכניסה למערכת ההפעלה באמצעות אישורים המאוחסנים במטמון
-
טכנולוגיות אימות גישה מרחוק באמצעות אישורי משתמש
-
טכנולוגיות הצפנה המבוססות על אישורי משתמש כגון Secure MIME (SMIME), טכנולוגיות ניהול זכויות מידע (IRM) והתכונה Encrypting File System (EFS) של NTFS
-
פונקציונליות של כרטיס חכם
אנו ממליצים לבצע ניסיון של חשבון משתמש יחיד כדי להבין טוב יותר כיצד עדכון ה- UPN משפיע על גישת המשתמש. המידע שימושי כדי לתכנן הנפקת אישורים מראש או פחות אישורים, שחזור נתונים וכל פתרון אחר הנדרש לשמירה על נגישות לנתונים באמצעות טכנולוגיות אלה.
עליך לעדכן את ה- UPN של חשבון המשתמש כך שישקף את סיומת התחום המאוחד הן בסביבה Active Directory מקומי והן בסביבה Azure AD. לשם כך, בצע את השלבים הבאים:
-
ודא שהתחום המאוחד נוסף כסיומת UPN:
-
בבקר Active Directory מקומי, לחץ על התחל, הצבע על כל התוכניות, לחץ על כלי ניהול ולאחר מכן לחץ על תחומים ו יחסי אמון של Active Directory.
-
לחץ באמצעות לחצן העכבר הימני על צומת הבסיס של תחומים ו יחסי אמון של Active Directory, בחר מאפיינים ולאחר מכן ודא כי שם התחום המשמש עבור SSO קיים.
הערה סיומת תחום שאינה ניתנת לניתוב, כגון domain.internal, או שלתחום domain.microsoftonline.com אין אפשרות לנצל את הפונקציונליות של SSO או שירותים מאוחדים. בשלב זה אין להשתמש בסיומת תחום שאינה ניתנת לניתוב.
-
-
עדכן באופן ידני את סיומת ה- UPN של חשבון המשתמש הבעיית:
-
בבקר Active Directory מקומי, לחץ על התחל, הצבע על כל התוכניות, לחץ על כלי ניהול ולאחר מכן לחץ על משתמשים ומחשבים של Active Directory.
-
אתר את חשבון המשתמש הבעייתי, לחץ באמצעות לחצן העכבר הימני על החשבון ולאחר מכן לחץ על מאפיינים.
-
בכרטיסיה חשבון , השתמש ברשימה הנפתחת בפינה הימנית העליונה כדי לשנות את סיומת ה- UPN לתחום המותאם אישית ולאחר מכן לחץ על אישור.
-
שיטה 3: ודא שמזהה המשתמש והכתובת הראשית של Simple Mail Transfer Protocol (SMTP) של תיבת הדואר Exchange Online הדואר כוללים את אותו תחום
השתמש בכלי ניהול מקומיים של Exchange כדי להגדיר את כתובת ה- SMTP הראשית של המשתמש המקומי לאותו תחום של התכונה UPN המתוארת בשיטה 2. לקבלת מידע נוסף, עבור אל אתרי האינטרנט הבאים של Microsoft TechNet:
עריכת מדיניות כתובת דואר אלקטרוני
קביעת תצורה של מאפייני תיבת דואר של משתמש ומשאבים אם Exchange אינו מותקן בסביבה המקומית, באפשרותך לנהל את ערך כתובת ה- SMTP באמצעות משתמשים ומחשבים של Active Directory. לשם כך, בצע את השלבים הבאים:
-
בתיבה משתמשים ומחשבים של Active Directory, לחץ באמצעות לחצן העכבר הימני על אובייקט המשתמש ולאחר מכן לחץ על מאפיינים.
-
בכרטיסיה כללי, עדכן את השדה דואר אלקטרוני ולאחר מכן לחץ על אישור.
שיטה 4: הגדרת סינכרון Active Directory עבור ה- UPN של חשבון המשתמש
כדי ש- SSO יפעל כראוי, עליך להגדיר לקוח סינכרון של Active Directory. לקבלת מידע נוסף על אופן הגדרת הסינכרון של Active Directory, עבור אל אתר האינטרנט הבא של Microsoft:
סינכרון Active Directory: מפת דרכיםלקבלת מידע נוסף על האופן שבו תוכל לכפות ולאמת סינכרון, עבור אל אתרי האינטרנט הבאים של Microsoft:
שיטה 5: פתרון בעיות עדכון UPN עבור חשבון משתמש ספציפי
אם ניתן לאמת את הסינכרון, אך ה- UPN של מזהה משתמש בפריסת ניסיון עדיין אינו מעודכן, בעיית הסינכרון עשויה להתרחש עבור המשתמש הספציפי.
לקבלת מידע נוסף על האופן שבו ניתן לפתור בעיות פוטנציאליות בסינכרון אובייקט Active Directory ספציפי, עיין במאמר הבא מתוך מאגר הידע Microsoft Knowledge Base:
2643629 אובייקט אחד או יותר אינו מסתנכרן בעת שימוש בכלי הסינכרון של Azure Active Directory
עדיין זקוק לעזרה? עבור אל קהילת Microsoft או אל אתר הפורומים של Azure Active Directory .
