Hatókör
Office Products Cloud Services (Web roles/Worker roles) Azure Active Directory Microsoft Intune Azure Backup Identity Management

BEVEZETÉS

Ez a cikk ismerteti, hogyan háríthatja el az egyszeri bejelentkezés beállításával kapcsolatos problémákat egy Microsoft-felhőszolgáltatásban, például a Office 365, a Microsoft Intune vagy a Microsoft Azure-ban.Az egyszeri bejelentkezés (SSO) részletes implementálási útmutatója az Azure Active Directory (Azure AD) súgódokumentációjában érhető el. Ha ezzel az útmutatóval problémát tapasztal az egyszeri bejelentkezés beállításakor, tekintse meg ezt a cikket. Ütemtervet biztosít az egyes beállítási lépésekkel kapcsolatos gyakori problémák elhárításához.

ELJÁRÁS

Egyszeri bejelentkezés beállításának hibaelhárítása

1. lépés: Az Active Directory előkészítése

Telepítési útmutató

Nyissa meg a Microsoft következő webhelyét:

Felkészülés az egyszeri bejelentkezésre

1. lépés érvényesítése

A Címtár-szinkronizálás beállításának kiértékelése varázslóval keressen olyan problémákat az Active Directoryban, amelyek címtár-szinkronizálási problémákat okozhatnak.

Az 1. lépés érvényesítési problémáinak elhárítása

  1. Megjegyzés: Az Active Directory helytelen előkészítése vagy az eszköz által azonosított problémák megoldása címtár-szinkronizálási problémákat okozhat. A problémák megoldásához kövesse a Címtár-szinkronizálás beállításának kiértékelése varázsló által kínált hibaelhárítási útmutatót, és győződjön meg arról, hogy a diagnosztikai varázsló hiba nélkül fut. Ez megakadályozza, hogy az implementáció későbbi szakaszában a következő problémák fordulnak elő:

    • 2392130 Az összevont felhasználók felhasználóneveivel kapcsolatos problémák elhárítása, amikor bejelentkeznek Office 365, az Azure-ba vagy Intune

    • 2001616 A felhasználó Office 365 e-mail-címe váratlanul aláhúzásjelet tartalmaz a címtár-szinkronizálás után

    • 2643629 Egy vagy több objektum nem szinkronizálódik az Azure Active Directory szinkronizálási eszköz használatakor

  2. Futtassa újra a diagnosztikai varázslót, és ellenőrizze, hogy megoldódott-e a probléma.

2. lépés: Active Directory összevonási szolgáltatások (AD FS) (AD FS) architektúra

Telepítési útmutató Nyissa meg a következő Microsoft-webhelyeket: Vegye figyelembe, Microsoft ügyfélszolgálata nem segít az ügyfeleknek a telepítési útmutató végrehajtásában ezekben a hivatkozásokban.

3. lépés: Azure Active Directory-modul Windows PowerShell egyszeri bejelentkezéshez

Telepítési útmutató

Nyissa meg a Microsoft következő webhelyét:

Windows PowerShell telepítése egyszeri bejelentkezéshez az AD FS-sel

3. lépés érvényesítése

Az Azure Active Directory-modul SSO-hoz Windows PowerShell ellenőrzéséhez kövesse az alábbi lépéseket:

  1. Futtassa az Azure Active Directory-modult a Windows PowerShell rendszergazdaként.

  2. Írja be a következő parancsokat, és az egyes parancsok beírása után nyomja le az Enter billentyűt:

    1. $cred=Get-Credential Megjegyzés Amikor a rendszer kéri, írja be a felhőszolgáltatás rendszergazdai hitelesítő adatait.

    2. Connect-MsolService -Credential $cred

      Megjegyzés: Ez a parancs összekapcsolja a Azure AD. Az Azure Active Directory-modul által a Windows PowerShell-hez telepített további parancsmagok futtatása előtt létre kell hoznia egy környezetet, amely összekapcsolja önt a Azure AD.

    3. Set-MsolAdfscontext -Computer < AD FS 2.0 primary server >

      Megjegyzések

      • Ha a Windows PowerShell Azure Active Directory-modulját telepítette az elsődleges Active Directory összevonási szolgáltatások (AD FS) (AD FS) kiszolgálóra, nem kell futtatnia ezt a parancsmagot.

      • Ebben a parancsban az AD FS 2.0 elsődleges kiszolgáló <helyőrző> az elsődleges AD FS-kiszolgáló belső teljes tartománynevét (FQDN) jelöli. Ez a parancs létrehoz egy környezetet, amely az AD FS-hez csatlakozik.

    4. Get-MSOLFederationProperty -DomainName < federated domain name >

      Megjegyzés Ebben a parancsban az összevont tartománynév <helyőrző> a beállítási lépésekben összevont tartománynevet jelöli.

  3. Hasonlítsa össze a 2D lépésben futtatott Get-MSOLFederationProperty parancs kimenetének első felét (forrás: AD FS-kiszolgáló) és utolsó felét (forrás: Microsoft Office 365). A Source és a FederationServiceDisplayName kivételével minden bejegyzésnek egyeznie kell. Ha nem egyeznek, a Microsoft Tudásbázis következő cikkének "Feloldás" szakaszában frissítse a függő entitás megbízhatósági adatait:2647020 "Sajnáljuk, de nem tudunk bejelentkezni" és "80041317" vagy "80043431" hibaüzenet jelenik meg, amikor egy összevont felhasználó megpróbál bejelentkezni Office 365, Azure vagy Intune

A 3. lépés érvényesítési problémáinak elhárítása A hibaelhárításhoz kövesse az alábbi lépéseket:

  1. A Microsoft Tudásbázis alábbi cikkeinek segítségével elháríthatja a gyakori érvényesítési problémákat, az Ön helyzetének megfelelően:

    • 2461873 Az Azure Active Directory-modul nem nyitható meg Windows PowerShell

    • 2494043Nem tud csatlakozni a Windows PowerShell-hez készült Azure Active Directory-modullal

    • 2587730 "Az <ServerName> Active Directory összevonási szolgáltatások (AD FS) 2.0 kiszolgálóhoz való csatlakozás sikertelen" hibaüzenet jelenik meg a Set-MsolADFSContext parancsmag használatakor

    • 2279117 A rendszergazdák nem adhatnak tartományt Office 365-fiókhoz

    • Hiba a New-MsolFederatedDomain parancsmag második futtatásakor, mert a tartomány ellenőrzése sikertelen. A forgatókönyvről további információt az alábbi Tudásbázis-cikkben talál:

      2515404 A Office 365 tartomány-ellenőrzési problémáinak elhárítása

    • 2618887 "Az AD FS 2.0-kiszolgálón megadott összevonási szolgáltatás azonosítója már használatban van." hibaüzenet jelenik meg, amikor egy másik összevont tartományt próbál beállítani Office 365, Azure-ban vagy Intune

    • Az időproblémák a New-MSOLFederatedDomain vagy a Convert-MSOLDomainToFederated parancsmaggal kapcsolatos problémákat okoznak.

  2. Futtassa újra az érvényesítési lépéseket annak ellenőrzéséhez, hogy a probléma megoldódott-e.

4. lépés: Az Active Directory-szinkronizálás implementálása

Telepítési útmutató

Nyissa meg a következő Microsoft-webhelyeket:

4. lépés érvényesítése

Az ellenőrzéshez kövesse az alábbi lépéseket:

  1. Futtassa az Azure Active Directory-modult a Windows PowerShell rendszergazdaként.

  2. Írja be a következő parancsokat. Az egyes parancsok beírása után nyomja le az Enter billentyűt.

    1. $cred=Get-Credential Megjegyzés Amikor a rendszer kéri, írja be a felhőszolgáltatás rendszergazdai hitelesítő adatait.

    2. Connect-MsolService -Credential $cred Megjegyzés: Ez a parancs összekapcsolja a Azure AD. Az Azure Active Directory-modul által a Windows PowerShell-hez telepített további parancsmagok futtatása előtt létre kell hoznia egy környezetet, amely összekapcsolja önt a Azure AD.

    3. Get-MSOLCompanyInformation

  3. Ellenőrizze a LastDirSyncTime értéket az előző parancsok kimenetéből, és győződjön meg arról, hogy az Azure Active Directory szinkronizálási eszköz telepítése után megjelenik a szinkronizálás.Megjegyzés Az érték dátum- és időbélyege az egyezményes világidő (Greenwichi középidő) szerint jelenik meg.

  4. Ha a LastDirSyncTime nincs frissítve, a következő eseményhez figyelje annak a kiszolgálónak az alkalmazásnaplóját, amelyre az Azure Active Directory szinkronizálási eszköz telepítve van:

    • Forrás: Címtár-szinkronizálás

    • Eseményazonosító: 4

    • Szint: Információ

    Ez az esemény azt jelzi, hogy a címtár-szinkronizálás befejeződött a kiszolgálón. Ha ez történik, futtassa újra ezeket a lépéseket, és győződjön meg arról, hogy a LastDirSyncTime érték megfelelően frissült.

A 4. lépés érvényesítési problémáinak elhárítása A Microsoft Tudásbázis alábbi cikkeinek segítségével elháríthatja a gyakori érvényesítési problémákat, az Ön helyzetének megfelelően:

  • 2508225 "A LogonUser() hibakóddal meghiúsult: 1789", miután megadta a vállalati rendszergazdai hitelesítő adatokat az Azure Active Directory szinkronizálási eszköz konfigurációs varázslójában

  • 2502710 "Ismeretlen hiba történt a Microsoft Online Services bejelentkezési segéddel" hibaüzenet jelenik meg az Azure Active Directory szinkronizálási eszköz konfigurációs varázslójának futtatásakor

  • 2419250 "A számítógépnek tartományhoz kell csatlakoznia" hibaüzenet jelenik meg az Azure Active Directory szinkronizálási eszköz telepítésekor

  • 2643629 Egy vagy több objektum nem szinkronizálódik az Azure Active Directory szinkronizálási eszköz használatakor

  • 2641663 SMTP-egyeztetés használata a helyszíni felhasználói fiókok és a címtár-szinkronizálás felhasználói fiókok Office 365 egyeztetéséhez

  • 2492140 Nem rendelhet összevont tartományt egy felhasználóhoz a Office 365 portálon

5. lépés: az ügyfél felkészültségének Office 365

Telepítési útmutató

  1. Ellenőrizze a Office 365 ügyfél előfeltételeit. A Office 365 rendszerkövetelményeiről további információt Office 365 rendszerkövetelmények című témakörben talál.

  2. Futtassa Office 365 asztali telepítőt az összes gazdag ügyfélalkalmazást használó ügyfélszámítógépen. A gazdag ügyfélalkalmazások közé tartozik a Microsoft Outlook, a Microsoft Lync 2010, a Microsoft Office Professional Plus 2010 és a Windows PowerShell-hez készült Azure Active Directory-modul. Asztali Office-alkalmazások és Microsoft SharePoint-integrációs alkalmazások.

  3. Ha a tartományhoz csatlakoztatott és a tartományhoz csatlakoztatott ügyfélszámítógépek esetében zökkenőmentes, parancssori felület nem jelenik meg, adja hozzá az AD FS összevonási szolgáltatás URL-címét a helyi intranetes zónához a Windows Internet Explorerben. Például tegye a következőket:

    1. Az Internet Explorer Eszközök menüjében kattintson az Internetbeállítások elemre.

    2. Kattintson a Biztonság fülre, majd a Helyi intranet, majd a Helyek, majd a Speciális elemre.

    3. Írja be https://sts.contoso.com a Webhely hozzáadása a zónához mezőbe, majd kattintson a Hozzáadás gombra.A "sts.contoso.com" megjegyzés az AD FS összevonási szolgáltatás teljes tartománynevét jelöli.

    A konfigurációval kapcsolatos további információkért tekintse meg a Microsoft Tudásbázis következő cikkét:

    2535227 Az összevont felhasználó váratlanul kéri a munkahelyi vagy iskolai fiók hitelesítő adatainak megadását

  4. Ha a tartományhoz csatlakoztatott és tartományhoz csatlakoztatott ügyfélszámítógépek olyan proxykiszolgálóval férnek hozzá az internetes erőforrásokhoz, amely nyilvános DNS-lekérdezésekkel oldja fel az internetes címeket (és nem belső, osztott agyú DNS-sel), adja hozzá az AD FS összevonási szolgáltatás URL-címét ahhoz a listához, amelyhez az Internet Explorer megkerüli a proxyszűrést. Az alábbi példa bemutatja, hogyan adhatja hozzá az URL-címet az Internet Explorer kivétellistájához:

    1. Az Internet Explorer Eszközök menüjében kattintson az Internetbeállítások elemre.

    2. A Kapcsolatok lapon kattintson a LAN-beállítások, majd a Speciális elemre.

    3. A Kivételek mezőbe írja be az értéket az AD FS szolgáltatásvégpont nevének teljes DNS-nevével. Írja be például sts.contoso.com.

5. lépés érvényesítése Az ellenőrzéshez kövesse az alábbi lépéseket:

  1. Győződjön meg arról, hogy a Microsoft Online Services Bejelentkezési segéd szolgáltatás telepítve van és fut. Ezt a következőképpen teheti meg:

    1. Kattintson a Start menüFuttatás parancsára, írja be a Services.msc parancsot, majd kattintson az OK gombra.

    2. Keresse meg a Microsoft Online Services Bejelentkezési segéd bejegyzést, majd ellenőrizze, hogy fut-e a szolgáltatás.

    3. Ha a szolgáltatás nem fut, kattintson a jobb gombbal a bejegyzésre, majd válassza a Start gombot.

  2. Nyissa meg az AD FS MEX webhelyét, és győződjön meg arról, hogy a végpont az Internet Explorer intranetes biztonsági zónájának része. Ezt a következőképpen teheti meg:

    1. Indítsa el az Internet Explorert, majd lépjen az AD FS szolgáltatásvégpont webhelyére. Az alábbiakban egy példa látható egy szolgáltatásvégpont webhelyére:

      https://sts.contoso.com/federationmetadata/2007-06/federationmetadata.xml

    2. Ellenőrizze az ablak alján található állapotsort, és győződjön meg arról, hogy az URL-címhez megadott biztonsági zóna a Helyi intranet.

6. lépés: Végső ellenőrzés

Egy konfigurált ügyfélszámítógépen tesztelje a várt SSO-hitelesítést. Ehhez összevont felhasználói fiókkal végezze el a hitelesítést. Az alábbi esetekben érdemes lehet tesztelni egy összevont felhasználó hitelesítését:

  • A helyszíni hálózaton, és hitelesítve a helyi Active Directory

  • Internetsemleges IP-címről, és nincs hitelesítve a helyi Active Directory

Az ellenőrzéshez kövesse az alábbi lépéseket:

  1. Webes hitelesítés tesztelése. Ehhez kövesse az alábbi módszerek egyikét:

    • Jelentkezzen be a felhőszolgáltatás-portálra összevont felhasználóként a helyi Active Directory hitelesítő adataival.

    • Jelentkezzen be Outlook Web App összevont felhasználóként (a helyi Active Directory hitelesítő adataival), aki Exchange Online postaládával rendelkezik. Jelentkezzen be például Outlook Web App a következő URL-címen:

      https://outlook.com/owa/contoso.comNote Ebben az URL-címben a "contoso.com" az összevont tartománynevet jelöli.

    • Jelentkezzen be Microsoft Office SharePoint Online összevont felhasználóként (a helyi Active Directory hitelesítő adataival), aki hozzáfér a csoportwebhelycsoporthoz. Jelentkezzen be például a SharePoint Online-ba a következő URL-címen:

      http://contoso.sharepoint.comNote Ebben az URL-címben a "contoso" a szervezet nevét jelöli.

  2. Tesztelje a gazdag ügyfél- vagy aktív kérelmezőhitelesítést. Ezt a következőképpen teheti meg:

    1. Konfiguráljon egy Skype Vállalati verzió Online- (korábbi nevén Lync Online-) ügyfélprofilt egy összevont felhasználói fiókhoz, majd jelentkezzen be a fiókba a helyi Active Directory hitelesítő adataival.

    2. Jelentkezzen be az Azure Active Directory-modulba Windows PowerShell egy összevont felhasználói fiókkal, amely globális rendszergazdai hitelesítő adatokkal rendelkezik a connect-MSOLService parancsmagon keresztül.

  3. Tesztelje Exchange Online alapszintű hitelesítést a Microsoft Remote Connectivity Analyzer használatával. A Távoli kapcsolatelemző használatáról a Microsoft Tudásbázis következő cikkében talál további információt:

    2650717  A Távoli kapcsolatelemző használata az egyszeri bejelentkezés problémáinak elhárításához Office 365, az Azure-ban vagy Intune

További segítségre van szüksége? Nyissa meg a Microsoft Community webhelyet vagy az Azure Active Directory fórumok webhelyét.

Facebook LinkedIn E-mail
FELIRATKOZÁS RSS-HÍRCSATORNÁKRA

További segítségre van szüksége?

További lehetőségeket szeretne?

Fedezze fel az előfizetés előnyeit, böngésszen az oktatóanyagok között, ismerje meg, hogyan teheti biztonságossá eszközét, és így tovább.

A Microsoft 365-előfizetés előnyei

Microsoft 365-képzés

Microsoft Biztonság

Akadálymentességi központ