PROBLÉMA
Az újonnan összevont felhasználók nem jelentkezhetnek be a Microsoft felhőszolgáltatásba, például a Office 365, a Microsoft Azure-ba vagy Microsoft Intune. A felhasználó a következő tünetek egyikét tapasztalja:
-
Miután a felhasználó megadta a felhasználói azonosítóját a login.microsoftonline.com weblapon, a felhasználói azonosító nem azonosítható összevont felhasználóként az otthoni tartományfelderítéssel, és a rendszer nem irányítja át automatikusan a felhasználót, hogy egyszeri bejelentkezéssel (SSO) jelentkezzen be.
-
A Active Directory összevonási szolgáltatások (AD FS) (AD FS) hitelesítése sikertelen, és a felhasználó a következő űrlapalapú hitelesítési hibaüzenetet kapja:
A felhasználónév vagy a jelszó helytelen
-
A felhasználó a következő hibaüzenetet kapja a login.microsoftonline.com weblapon:
Sajnáljuk, de nem sikerült kijelentkeztetnünk
OKOZ
Ezek a tünetek egy rosszul tesztelt SSO-kompatibilis felhasználói azonosító miatt jelentkezhetnek. Az SSO-kompatibilis felhasználói azonosítók kipróbálásának általános követelményei a következők:
-
A helyi Active Directory felhasználói fióknak az összevont tartománynevet kell használnia egyszerű felhasználónév (UPN) utótagként.
-
A társított Microsoft Exchange Online postaláda felhasználói azonosítója és elsődleges e-mail-címe nem ugyanazt a tartományi utótagot használja.
-
Az Azure Active Directory Sync eszköznek szinkronizálnia kell a helyi Active Directory felhasználói fiókot egy felhőalapú felhasználói azonosítóval.
-
A helyi Active Directory felhasználói fiók egyszerű felhasználónevének és a felhőalapú felhasználói azonosítónak egyeznie kell.
Mielőtt feltételezi, hogy a probléma oka egy rosszul tesztelt SSO-kompatibilis felhasználói azonosító, győződjön meg arról, hogy a következő feltételek teljesülnek:
-
A felhasználó nem tapasztal gyakori bejelentkezési problémát. A gyakori bejelentkezési problémák elhárításával kapcsolatos további információkért tekintse meg a Microsoft Tudásbázis következő cikkét:
2412085 Nem tud bejelentkezni a szervezeti fiókjába, például Office 365, Azure-ba vagy Intune
-
Az összevont tartomány megfelelően van előkészítve az egyszeri bejelentkezés támogatásához az alábbiak szerint:
-
Az összevont tartomány nyilvánosan feloldható a DNS-sel. (Ez nem tartalmazza az alapértelmezett "onmicrosoft.com" tartományt.)
-
Az összevont tartomány az alábbi Microsoft-webhelyeknek megfelelően lett előkészítve az egyszeri bejelentkezéshez.
Megjegyzés A tartomány-összevonás konvertálásának propagálása eltarthat egy ideig. Mielőtt feltételezi, hogy a tartomány konfigurációja hibás, várjon két órát a tartomány összevonása után.
-
MEGOLDÁS
A probléma megoldásához győződjön meg arról, hogy a felhasználói fiók megfelelően van tesztelve SSO-kompatibilis felhasználói azonosítóként. Ehhez használja az alábbi módszerek egyikét:
1. módszer: Ha a felhasználók a "Sajnáljuk, de nem sikerül bejelentkezni" hibaüzenetet kapják, tekintse meg a Tudásbázis 2615736 című cikket
Ha a felhasználó "Sajnáljuk, de nem sikerül bejelentkezni" hibaüzenetet kap, használja a Microsoft Tudásbázis következő cikkét a probléma elhárításához:
2615736 "Sajnáljuk, de nem tudunk bejelentkezni" hibaüzenet jelenik meg, amikor egy felhasználó megpróbál bejelentkezni Office 365, az Azure-ba vagy Intune
2. módszer: Frissítse a helyszíni felhasználói fiók egyszerű felhasználónevet, hogy az összevont tartományt használja utótagként
Figyelmeztetés: Az Active Directory-felhasználói fiók egyszerű felhasználóneve módosítása jelentős hatással lehet a felhasználó helyi Active Directory funkciójára. Javasoljuk, hogy körültekintően járjon el az egyszerű felhasználónév változásaival kapcsolatban.
A hatás az alábbiakat is magában foglalja:
-
Távoli hozzáférés a helyszíni erőforrásokhoz gyorsítótárazott hitelesítő adatokkal bejelentkező központi felhasználóktól
-
Távelérési hitelesítési technológiák felhasználói tanúsítványok használatával
-
Olyan felhasználói tanúsítványokon alapuló titkosítási technológiák, mint a Secure MIME (SMIME), az tartalomvédelmi (IRM) technológiák és az NTFS titkosítási fájlrendszer (EFS) funkciója
-
Intelligenskártya-funkciók
Határozottan javasoljuk, hogy teszteljen egyetlen felhasználói fiókot, hogy jobban megértse, hogyan befolyásolja az UPN frissítése a felhasználói hozzáférést. Ezek az információk hasznosak a tanúsítványok visszaállításának, az adat-helyreállításnak és az adatokhoz való hozzáférés ezen technológiák használatával történő fenntartásához szükséges egyéb javítások előre tervezéséhez vagy csökkentéséhez.
Frissítenie kell a felhasználói fiók UPN-jét, hogy tükrözze az összevont tartományutótagot mind a helyi Active Directory környezetben, mind a Azure AD. Ezt a következőképpen teheti meg:
-
Győződjön meg arról, hogy az összevont tartomány UPN-utótagként van hozzáadva:
-
A helyi Active Directory tartományvezérlőn kattintson a Start gombra, mutasson a Minden program pontra, kattintson a Felügyeleti eszközök, majd az Active Directory tartományok és megbízhatóságok elemre.
-
Kattintson a jobb gombbal az Active Directory-tartományok és megbízhatósági kapcsolatok gyökércsomópontjára, válassza a Tulajdonságok lehetőséget, majd győződjön meg arról, hogy az egyszeri bejelentkezéshez használt tartománynév megtalálható.
Megjegyzés: Egy nem irányítható tartományutótag, például a domain.internal vagy a domain.microsoftonline.com tartomány nem tudja kihasználni az egyszeri bejelentkezés funkcióját vagy az összevont szolgáltatásokat. Ebben a lépésben nem használható nem irányítható tartományutótag.
-
-
Frissítse manuálisan a problémás felhasználói fiók UPN-utótagját:
-
A helyi Active Directory tartományvezérlőn kattintson a Start gombra, mutasson a Minden program pontra, kattintson a Felügyeleti eszközök elemre, majd kattintson a Active Directory - felhasználók és számítógépek.
-
Keresse meg a problémás felhasználói fiókot, kattintson a jobb gombbal a fiókra, majd kattintson a Tulajdonságok parancsra.
-
A Fiók lapon a bal felső sarokban található legördülő listával módosítsa az UPN-utótagot az egyéni tartományra, majd kattintson az OK gombra.
-
3. módszer: Győződjön meg arról, hogy a Exchange Online postaláda felhasználói azonosítója és elsődleges SMTP-címe ugyanazzal a tartománnyal rendelkezik
Helyszíni Exchange felügyeleti eszközökkel állítsa a helyszíni felhasználó elsődleges SMTP-címét a 2. módszerben leírt UPN-attribútum tartományára. További információért látogasson el a Microsoft TechNet alábbi webhelyeire:
E-mail-címszabályzat
szerkesztése Felhasználói és erőforrás-postaláda tulajdonságainak konfigurálása Ha az Exchange nincs telepítve a helyszíni környezetben, az SMTP-cím értékét a Active Directory - felhasználók és számítógépek használatával kezelheti. Ezt a következőképpen teheti meg:
-
A Active Directory - felhasználók és számítógépek kattintson a jobb gombbal a felhasználói objektumra, majd kattintson a Tulajdonságok parancsra.
-
Az Általános lapon frissítse az E-mail mezőt, majd kattintson az OK gombra.
4. módszer: Active Directory-szinkronizálás beállítása a felhasználói fiók UPN-éhez
Az egyszeri bejelentkezés megfelelő működéséhez be kell állítania az Active Directory szinkronizálási ügyfelet. Az Active Directory-szinkronizálás beállításával kapcsolatos további információkért látogasson el a Microsoft következő webhelyére:
Active Directory-szinkronizálás: ÜtemtervA szinkronizálás kényszerítéséről és ellenőrzéséről a következő Microsoft-webhelyeken talál további információt:
5. módszer: Adott felhasználói fiók UPN-frissítési problémáinak elhárítása
Ha a szinkronizálás ellenőrizhető, de a próbafelhasználói azonosító egyszerű felhasználóneve továbbra sem frissül, előfordulhat, hogy a szinkronizálási probléma az adott felhasználóra vonatkozik.
Egy adott Active Directory-objektum szinkronizálásával kapcsolatos lehetséges problémák elhárításáról további információt a Microsoft Tudásbázis következő cikkében talál:
2643629 Egy vagy több objektum nem szinkronizálódik az Azure Active Directory szinkronizálási eszköz használatakor
További segítségre van szüksége? Nyissa meg a Microsoft Community webhelyet vagy az Azure Active Directory fórumok webhelyét.