Masuk ke Office 365, Azure, atau Intune dengan menggunakan akses menyeluruh tidak berfungsi dari beberapa perangkat

MASALAH

Ketika Anda mencoba mengakses Layanan Cloud Microsoft seperti Office 365, Microsoft Azure, atau Microsoft Intune melalui klien berbasis web atau aplikasi klien kaya dengan menggunakan akun gabungan, autentikasi gagal dari komputer klien tertentu. Saat Anda menggunakan browser web untuk mengakses portal Layanan awan dari komputer yang sama dengan menggunakan akun gabungan, Anda mungkin mengalami salah satu dari gejala berikut ini:

  • Saat Anda menyambungkan ke titik akhir portal, Anda menerima salah satu pesan kesalahan berikut:

    Internet Explorer tidak dapat menampilkan halaman web.

    403 halaman tidak ditemukan

  • Saat Anda tersambung ke titik akhir Active Directory Federation Services (AD FS), Anda menerima salah satu pesan kesalahan berikut:

    Internet Explorer tidak dapat menampilkan halaman web

    403 halaman tidak ditemukan

  • Anda menerima peringatan sertifikat saat menyambungkan ke titik akhir AD FS.

  • Saat Anda tersambung ke titik akhir AD FS saat Anda masuk ke domain korporat, Anda menerima satu perintah kredensial. Perintah ini untuk kredensial Anda tidak menggunakan autentikasi berbasis formulir.

  • Saat Anda menyambungkan ke titik akhir AD FS dengan menggunakan browser web pihak ketiga, Anda menerima perintah autentikasi dalam pengulangan. Perintah ini tidak menggunakan autentikasi berbasis formulir.

  • Saat Anda menyambungkan ke titik akhir login.microsoftonline.com, Anda menerima pesan kesalahan berikut:

    Akses Ditolak

PENYEBAB

Biasanya, masalah ini terjadi pada komputer klien atau pada sekelompok perangkat klien. Masalah ini dapat terjadi untuk semua pengguna dan komputer klien jika masuk tunggal (SSO) tidak berfungsi sepenuhnya. SSO mungkin tidak berfungsi penuh jika pengaturan klien tidak disiapkan dengan benar. Situasi perangkat klien berikut ini mungkin menyebabkan masalah ini:

  • Konektivitas jaringan mungkin terbatas.

  • Perangkat klien menerima resolusi nama yang salah untuk layanan Federasi AD FS dari implementasi DNS terpisah-otak.

  • Jika server proksi Internet dikonfigurasikan di komputer, nama Layanan Federasi AD FS tidak akan ditambahkan ke daftar bypass proksi.

  • Nama Layanan Federasi AD FS mungkin tidak ditambahkan ke zona keamanan intranet lokal di pengaturan Opsi Internet.

  • Komputer klien tidak diautentikasi untuk layanan domain direktori aktif.

  • Browser web pihak ketiga tidak mendukung perlindungan yang diperpanjang untuk autentikasi ke layanan Federasi AD FS.

  • Titik akhir metadata Federasi mungkin namapenggunaanonim dalam registri karena penginstalan Office 365 Beta yang lebih lama dari alat manajemen SSO.

  • Titik akhir layanan yang diperlukan AD FS yang diperlukan untuk aplikasi klien tertentu dinonaktifkan.

Sebelum Anda melanjutkan, pastikan bahwa kondisi berikut ini benar:

  • Masalah Access tidak terbatas pada aplikasi klien kaya pada komputer klien. Jika hanya autentikasi klien kaya (dibandingkan dengan autentikasi berbasis browser) yang tidak berfungsi, kemungkinan besar menunjukkan masalah autentikasi klien yang kaya. Misalnya, mungkin ada masalah yang terkait dengan prasyarat atau konfigurasi aplikasi klien kaya. Untuk informasi lebih, lihatlah artikel Basis Pengetahuan Microsoft berikut:

    2637629  Cara memecahkan masalah aplikasi non-browser yang tidak dapat masuk ke Office 365, Azure, atau Intune

  • Autentikasi SSO tidak gagal untuk semua akun pengguna yang mendukung SSO. Jika semua pengguna dengan SSO aktif mengalami gejala yang sama, kemungkinan besar menunjukkan masalah penggabungan. Untuk informasi selengkapnya, klik nomor artikel berikut untuk melihat artikel di Pangkalan Pengetahuan Microsoft:

    2530569  Memecahkan masalah penyetelan masuk tunggal di Office 365, Intune, atau Azure

  • Autentikasi SSO untuk akun pengguna berhasil pada komputer klien lain. Jika akun pengguna tidak bisa masuk ke klien Layanan awan apa pun, lihat resolusi selanjutnya di artikel ini yang melibatkan komputer klien. Selain itu, Jelajahi kemungkinan ada yang salah dengan akun pengguna dan bukan dengan komputer klien. Untuk informasi selengkapnya, klik nomor artikel berikut untuk melihat artikel di Pangkalan Pengetahuan Microsoft:

    2530590  Memecahkan masalah akun untuk pengguna gabungan di Office 365, Azure, atau Intune

  • Keyboard di komputer klien bekerja dengan benar, dan nama pengguna dan kata sandi, yang diperlukan, dimasukkan dengan benar.

SOLUSI

Untuk memecahkan masalah ini, gunakan satu atau beberapa metode berikut, bergantung pada penyebab masalah.

Resolusi 1: tidak dapat tersambung ke Portal Layanan awan atau ke AD FS 

Coba Telusuri ke http://www.MSN.com. Jika ini tidak berhasil, Atasi masalah konektivitas jaringan. Untuk melakukannya, ikuti langkah-langkah berikut:

  1. Pada prompt perintah, gunakan alat ipconfig dan ping untuk memecahkan masalah konektivitas IP. Untuk informasi lebih, lihatlah artikel Basis Pengetahuan Microsoft berikut:

    169790 Cara memecahkan masalah masalah TCP/IP dasar.

  2. Pada prompt perintah, ketik Nslookup www.MSN.com untuk menentukan apakah DNS memecahkan nama server Internet.

  3. Pastikan bahwa pengaturan proksi Opsi Internet menunjukkan server proksi yang sesuai jika server proksi digunakan dalam jaringan lokal.

  4. Jika firewall Forefront Threat Management Gateway (TMG) terinstal pada batas jaringan, dan firewall memerlukan autentikasi klien, Anda mungkin harus menginstal program klien Forefront TMG pada perangkat klien untuk akses internet. Hubungi admin Layanan awan Anda untuk bantuan tentang hal ini.

Resolusi 2: tidak dapat tersambung ke AD FS

Untuk mengatasi masalah ini, ikuti langkah-langkah berikut:

  1. Menghapus masalah konektivitas IP dengan menggunakan resolusi 1.

  2. Pada prompt perintah, ketik Nslookup <AD fs 2,0 FQDN>, lalu tekan Enter untuk menentukan apakah DNS mengatasi nama Layanan AD FS dengan benar.Catatan Dalam perintah ini, <AD FS FQDN> mewakili nama domain yang sepenuhnya memenuhi syarat (FQDN) dari nama Layanan AD FS. Tidak mewakili nama host Windows Server AD FS.

    1. Jika klien dilampirkan ke jaringan korporat, pastikan bahwa alamat IP yang sudah teratasi adalah alamat IP pribadi. Alamat IP harus cocok dengan salah satu dari pola berikut:

      • 10.x.x.rami

      • 172.16.x.rami

      • 192.168.x.rami

    2. Jika klien berada di luar jaringan perusahaan, pastikan bahwa alamat IP yang sudah teratasi adalah alamat IP publik. Pastikan bahwa tidak cocok dengan salah satu dari pola berikut ini:

      • 10.x.x.rami

      • 172.16.x.rami

      • 192.168.x.rami

    3. Jika alamat IP yang diselesaikan salah berdasarkan langkah 1 dan langkah 2, dan komputer klien lainnya tidak mengalami perilaku yang sama, lakukan hal berikut ini:

      1. Pada prompt perintah, ketikkan ipconfig/All, lalu periksa bahwa entri server DNS utama sesuai untuk jaringan tempat klien dilampirkan.

      2. Buka file%windir%\system32\drivers\etc\hosts di Notepad, lalu Hapus setiap entri untuk FQDN AD FS. Lalu, Simpan file.

      3. Pada prompt perintah, ketikkan ipconfig/flushdns untuk MENGOSONGKAN singgahan DNS.

    Catatan Jika perangkat klien hanya dilampirkan ke jaringan korporat, masuk ke langkah 3.

  3. Tambahkan FQDN AD FS ke daftar bypass proksi. Untuk melakukan ini, ikuti langkah-langkah dalam artikel berikut ini di Pangkalan Pengetahuan Microsoft:

    262981 Internet Explorer menggunakan server proksi untuk alamat IP lokal bahkan jika opsi "Abaikan server proksi untuk alamat lokal" diaktifkan

Resolusi 3: peringatan sertifikat saat menyambungkan ke titik akhir AD FS

Untuk mengatasi masalah ini, Atasi masalah sertifikat Secure Sockets Layer (SSL) dengan menggunakan artikel berikut ini di Basis Pengetahuan Microsoft:

2523494 Anda menerima peringatan sertifikat dari AD FS ketika Anda mencoba masuk ke Office 365, Azure, atau Intune

Resolusi 4: Anda menerima perintah kredensial tunggal yang tidak terduga saat Anda masuk dari komputer klien yang tersambung ke jaringan korporat

Untuk mengatasi masalah ini, ikuti langkah-langkah berikut:

  1. Pastikan bahwa komputer klien berhasil masuk ke domain.

    1. Klik mulai, klik Jalankan, ketik %logonserver%\sysvol, lalu klik OK.

    2. Jika perintah kredensial muncul, keluar dan masuk kembali menggunakan kredensial perusahaan.

  2. Tambahkan FQDN AD FS ke zona intranet lokal.

    1. Pada tab keamanan , klik intranet lokal, lalu klik situs.

    2. Klik tingkat lanjut, lalu Periksa daftar situs web untuk nama DNS lengkap dari titik akhir Layanan AD FS (misalnya, STS.contoso.com). Catatan Nilai wildcard, seperti "*. consoto.com" juga akan berfungsi dalam konfigurasi ini.

  3. Tambahkan FQDN AD FS ke daftar bypass proksi. Untuk melakukan ini, ikuti langkah-langkah dalam artikel berikut ini di Pangkalan Pengetahuan Microsoft:

    262981 Internet Explorer menggunakan server proksi untuk alamat IP lokal bahkan jika opsi "Abaikan server proksi untuk alamat lokal" diaktifkan

Resolusi 5: browser web pihak ketiga tidak mendukung proteksi yang diperpanjang untuk autentikasi, dan Anda menerima perintah autentikasi mengulang

Untuk mengatasi masalah ini, ikuti langkah-langkah berikut:

  1. Gunakan Windows Internet Explorer (Internet Explorer mendukung perlindungan yang diperluas untuk autentikasi) dan bukan browser web pihak ketiga yang tidak mendukung perlindungan yang diperpanjang untuk autentikasi.

  2. Jika menggunakan Internet Explorer bukan opsi, gunakan artikel Basis Pengetahuan Microsoft berikut ini untuk mengonfigurasi AD FS untuk menerima permintaan dari browser web yang tidak mendukung perlindungan yang diperpanjang untuk autentikasi:

    2461628 Pengguna gabungan berulang kali dimintai kredensial selama masuk ke Office 365, Azure, atau Intune

Resolusi 6: pesan kesalahan "Akses ditolak" saat Anda mencoba menyambungkan ke login.microsoftonline.com

Penting Bagian ini berisi langkah-langkah yang memberi tahu Anda cara memodifikasi registri. Namun, masalah yang serius dapat terjadi apabila Anda salah dalam mengubah registri. Oleh karena itu, pastikan Anda mengikuti langkah-langkah tersebut dengan seksama. Untuk perlindungan tambahan, buat cadangan registri sebelum memodifikasinya. Lalu, Anda dapat memulihkan registri jika terjadi masalah. Untuk informasi selengkapnya tentang cara mencadangkan dan memulihkan registri, klik nomor artikel berikut untuk melihat artikel di Pangkalan Pengetahuan Microsoft:

322756Cara membuat cadangan dan memulihkan registri di WindowsMasalah dapat terjadi jika titik akhir untuk SSO direktori aktif Azure yang digunakan oleh AD FS tidak valid. Pastikan bahwa titik akhir Federasi tidak dikodekan dalam registri setiap server dalam Farm Layanan Federasi AD FS. Untuk mengatasi masalah ini, gunakan editor registri untuk menghapus subkunci registri berikut ini:

HKEY_LOCAL_MACHINE\Software\Microsoft\MOCHA\IdentityFederationAD FS akan kembali ke titik akhir yang benar berdasarkan kepercayaan pihak yang mengandalkan SSO.

Resolusi 7: mereset pengaturan titik akhir Layanan AD FS dinonaktifkan ke konfigurasi default

Untuk informasi selengkapnya tentang cara melakukan ini, lihat artikel Basis Pengetahuan Microsoft berikut ini:

2712957 Masuk ke Office 365, Azure, atau Intune gagal setelah Anda mengubah titik akhir Layanan Federasi 

Masih memerlukan bantuan? Buka situs web komunitas Microsoft atau Forum Azure Active Directory .

Perlu bantuan lainnya?

Kembangkan keterampilan Anda
Jelajahi pelatihan
Dapatkan fitur baru terlebih dahulu
Gabung Microsoft Insider

Apakah informasi ini bermanfaat?

Terima kasih atas umpan balik Anda!

Terima kasih atas umpan balik Anda! Sepertinya menghubungkan Anda ke salah satu agen dukungan Office kami akan sangat membantu.

×