Memecahkan masalah penyetelan masuk tunggal di Office 365, Intune, atau Azure

PENDAHULUAN

Artikel ini membahas cara memecahkan masalah penyetelan masuk tunggal di Layanan Cloud Microsoft seperti Office 365, Microsoft Intune, atau Microsoft Azure. panduan implementasi mendetail untuk masuk tunggal (SSO) tersedia di dokumentasi Bantuan Azure Active Directory (Azure AD). Jika Anda mengalami masalah saat menyiapkan SSO dengan menggunakan panduan tersebut, Anda bisa merujuk ke artikel ini. Menyediakan peta jalan untuk membantu memecahkan masalah umum dengan setiap langkah penyetelan.

ACARA

Cara memecahkan masalah penyiapan SSO

Langkah 1: Siapkan direktori aktif

Panduan penyetelan

Kunjungi situs web Microsoft berikut ini:

Bersiap untuk masuk tunggal

Validasi untuk langkah 1

Gunakan panduan mengevaluasi sinkronisasi direktori penyetelan diagnostik untuk memindai direktori aktif untuk masalah yang mungkin menyebabkan masalah sinkronisasi direktori.

Memecahkan masalah validasi untuk langkah 1

  1. Catatan Persiapan salah direktori aktif atau kegagalan untuk mengatasi masalah yang diidentifikasi alat tersebut bisa mengakibatkan masalah sinkronisasi direktori. Ikuti panduan pemecahan masalah yang ditawarkan oleh panduan mengevaluasi panduan diagnostik penyiapan sinkronisasi direktori untuk memperbaiki masalah, dan pastikan bahwa panduan diagnostik berjalan tanpa kesalahan. Hal ini mencegah masalah berikut ini terjadi nanti dalam implementasi:

    • 2392130 Memecahkan masalah nama pengguna yang terjadi untuk pengguna gabungan saat mereka masuk ke Office 365, Azure, atau Intune

    • 2001616 Alamat email pengguna Office 365 tiba-tiba berisi karakter garis bawah setelah sinkronisasi direktori

    • 2643629 Satu atau beberapa objek tidak disinkronkan ketika menggunakan alat sinkronisasi direktori aktif Azure

  2. Jalankan kembali panduan diagnostik untuk memeriksa apakah masalah telah diatasi.

Langkah 2: arsitektur Active Directory Federation Services (AD FS)

Panduan penyetelan Kunjungi situs web Microsoft berikut ini: Catatan Dukungan Microsoft tidak akan membantu pelanggan dengan pelaksanaan panduan penyetelan dalam link ini.

Langkah 3: modul direktori aktif Azure untuk Windows PowerShell untuk SSO

Panduan penyetelan

Kunjungi situs web Microsoft berikut ini:

Menginstal Windows PowerShell untuk masuk tunggal dengan AD FS

Validasi untuk langkah 3

Untuk memvalidasi modul direktori aktif Azure untuk Windows PowerShell untuk SSO, ikuti langkah-langkah berikut:

  1. Jalankan modul direktori aktif Azure untuk Windows PowerShell sebagai admin.

  2. Ketikkan perintah berikut ini, dan pastikan Anda menekan Enter setelah mengetikkan setiap perintah:

    1. $cred=Get-Credential Catatan Saat diminta, ketikkan kredensial admin Layanan awan Anda.

    2. Connect-MsolService -Credential $cred 

      Catatan Perintah ini menghubungkan Anda ke Azure AD. Anda harus membuat konteks yang menghubungkan Anda ke Azure AD sebelum menjalankan salah satu cmdlet tambahan yang diinstal oleh modul direktori aktif Azure untuk Windows PowerShell.

    3. Set-MsolAdfscontext -Computer < AD FS 2.0 primary server > 

      Catatan

      • Jika Anda menginstal modul direktori aktif Azure untuk Windows PowerShell di server Active Directory Federation Services (AD FS) utama, Anda tidak harus menjalankan cmdlet ini.

      • Dalam perintah ini, placeholder <server utama AD fs 2,0> mewakili nama domain yang sepenuhnya memenuhi syarat (FQDN) dari server AD FS utama. Perintah ini membuat konteks yang menghubungkan Anda ke AD FS.

    4. Get-MSOLFederationProperty -DomainName < federated domain name > 

      Catatan Dalam perintah ini, placeholder <nama domain gabungan> mewakili nama domain yang telah digabungkan dalam langkah-langkah penyetelan.

  3. Bandingkan babak pertama (sumber: server AD FS) dan separuh terakhir (sumber: Microsoft Office 365) dari output perintah Get-msolfederationproperty yang Anda jalankan dalam langkah 2D. Semua entri kecuali untuk sumber dan Federationservicedisplayname harus cocok. Jika tidak cocok, gunakan bagian "pemecahan masalah" dari artikel Basis Pengetahuan Microsoft berikut ini untuk memperbarui data kepercayaan pihak pengandal:2647020 "Maaf, tapi kami mengalami masalah saat memasukkan Anda" dan "80041317" atau "80043431" saat pengguna gabungan mencoba masuk ke Office 365, Azure, atau Intune

Memecahkan masalah validasi untuk langkah 3Untuk memecahkan masalah, ikuti langkah-langkah berikut:

  1. Memecahkan masalah validasi umum dengan menggunakan artikel Basis Pengetahuan Microsoft berikut, yang sesuai untuk situasi Anda:

    • 2461873 Anda tidak bisa membuka modul direktori aktif Azure untuk Windows PowerShell

    • 2494043Anda tidak bisa tersambung menggunakan modul direktori aktif Azure untuk Windows PowerShell

    • 2587730 "koneksi ke <namaserver> Active Directory Federation Services 2,0 server gagal" kesalahan ketika Anda menggunakan cmdlet Set-MsolADFSContext

    • 2279117 Administrator tidak dapat menambahkan domain ke akun Office 365

    • Kesalahan ketika Anda menjalankan cmdlet MsolFederatedDomain baru untuk kedua kalinya karena verifikasi domain gagal. Untuk informasi selengkapnya tentang skenario ini, lihat artikel Basis Pengetahuan berikut:

      2515404 Memecahkan masalah verifikasi domain di Office 365

    • 2618887 "pengidentifikasi Layanan Federasi yang ditentukan dalam server AD FS 2,0 sudah digunakan." kesalahan ketika Anda mencoba menyetel domain gabungan lain di Office 365, Azure, atau Intune

    • Masalah waktu menyebabkan masalah dengan cmdlet MSOLFederatedDomain baru atau cmdlet Convert-Msoldomaintogabungan . Untuk informasi selengkapnya tentang skenario ini, lihat artikel Basis Pengetahuan berikut:

      2578667 "Maaf, tapi kami mengalami masalah saat memasukkan Anda" dan "80045C06" saat pengguna gabungan mencoba masuk ke Office 365, Azure, atau Intune

  2. Jalankan kembali langkah validasi untuk memeriksa apakah masalah telah diatasi.

Langkah 4: menerapkan sinkronisasi direktori aktif

Panduan penyetelan

Kunjungi situs web Microsoft berikut ini:

Validasi untuk langkah 4

Untuk memvalidasi, ikuti langkah-langkah ini:

  1. Jalankan modul direktori aktif Azure untuk Windows PowerShell sebagai admin.

  2. Ketikkan perintah berikut ini. Pastikan Anda menekan Enter setelah mengetikkan setiap perintah.

    1. $cred=Get-Credential Catatan Saat diminta, ketikkan kredensial admin Layanan awan Anda.

    2. Connect-MsolService -Credential $cred Catatan Perintah ini menghubungkan Anda ke Azure AD. Anda harus membuat konteks yang menghubungkan Anda ke Azure AD sebelum menjalankan salah satu cmdlet tambahan yang diinstal oleh modul direktori aktif Azure untuk Windows PowerShell.

    3. Get-MSOLCompanyInformation

  3. Periksa nilaiwaktu lastdirsyncdari output perintah sebelumnya, dan pastikan bahwa itu memperlihatkan sinkronisasi setelah alat sinkronisasi direktori aktif Azure diinstal.Catatan Stempel tanggal dan waktu untuk nilai ini ditampilkan dalam waktu Universal Terkoordinasi (waktu Greenwich).

  4. Jika Lastdirsynctime tidak diperbarui, Pantau log aplikasi server di mana alat sinkronisasi direktori aktif Azure terinstal untuk kejadian berikut ini:

    • Sumber: sinkronisasi direktori

    • ID Kejadian: 4

    • Tingkat: informasi

    Acara ini menunjukkan bahwa sinkronisasi direktori telah selesai di server. Saat ini terjadi, jalankan kembali langkah-langkah ini untuk memastikan bahwa nilai Lastdirsynctime diperbarui dengan tepat.

Memecahkan masalah validasi untuk langkah 4Memecahkan masalah validasi umum dengan menggunakan artikel Basis Pengetahuan Microsoft berikut, yang sesuai untuk situasi Anda:

  • 2386445  Kesalahan ketika Anda menjalankan alat sinkronisasi direktori aktif Azure: "versi panduan konfigurasi sinkronisasi direktori aktif Windows Azure telah kedaluwarsa"

  • 2310320 Kesalahan ketika Anda mencoba menjalankan panduan konfigurasi sinkronisasi direktori aktif Azure: "kredensial Anda tidak dapat diautentikasi. Ketikkan kembali kredensial Anda dan coba lagi "

  • 2508225 "logonuser () gagal dengan kode kesalahan: 1789" setelah Anda memasukkan kredensial administrator perusahaan dalam panduan konfigurasi alat sinkronisasi direktori aktif Azure

  • kesalahan "kesalahan tidak diketahui 2502710 dengan asisten masuk Layanan Microsoft Online" saat Anda menjalankan panduan konfigurasi alat sinkronisasi direktori aktif Azure

  • 2419250 "komputer harus bergabung dengan domain" kesalahan ketika Anda mencoba menginstal alat sinkronisasi direktori aktif Azure

  • 2643629 Satu atau beberapa objek tidak disinkronkan ketika menggunakan alat sinkronisasi direktori aktif Azure

  • 2641663 Cara menggunakan SMTP pencocokan untuk mencocokkan akun pengguna lokal ke akun pengguna Office 365 untuk sinkronisasi direktori

  • 2492140 Anda tidak bisa menetapkan domain gabungan kepada pengguna di Portal Office 365

Langkah 5: kesiapan klien Office 365

Panduan penyetelan
  1. Periksa prasyarat klien untuk Office 365. Untuk informasi selengkapnya tentang persyaratan sistem untuk Office 365, masuk ke persyaratan sistem office 365.

  2. Jalankan penyetelan desktop Office 365 di semua komputer klien yang menggunakan aplikasi klien kaya. Aplikasi klien kaya termasuk Microsoft Outlook, Microsoft Lync 2010, Microsoft Office Professional Plus 2010, Azure Active Directory module untuk Windows PowerShell. Aplikasi desktop Office, dan aplikasi integrasi Microsoft SharePoint. Catatan Penyetelan desktop Office 365 tersedia di http://g.microsoftonline.com/0BX10en/436?!Office365DesktopSetup.Application.

  3. Jika pengalaman yang mulus, tidak ada prompt diharapkan untuk komputer klien yang bergabung dengan domain dan domain, Tambahkan URL Layanan Federasi AD FS ke zona intranet lokal di Windows Internet Explorer. Misalnya, lakukan hal berikut:

    1. Di Internet Explorer, pada menu alat , klik Opsi Internet.

    2. Klik tab keamanan , klik intranet lokal, klik situs, lalu klik tingkat lanjut.

    3. Ketikkan https://STS.contoso.com di kotak Tambahkan situs web ini ke zona , lalu klik Tambahkan.Catatan "sts.contoso.com" mewakili FQDN dari layanan Federasi AD FS.

    Untuk informasi selengkapnya tentang konfigurasi ini, lihat artikel Basis Pengetahuan Microsoft berikut ini:

    2535227 Pengguna gabungan diminta tiba-tiba memasukkan kredensial akun kerja atau sekolah mereka

  4. Jika komputer klien yang bergabung dengan domain dan terhubung dengan domain mengakses sumber daya Internet dengan menggunakan server proksi yang menyelesaikan alamat Internet dengan menggunakan kueri DNS publik (dan bukan internal, pisahkan-Brain DNS), Tambahkan URL Layanan Federasi AD FS ke daftar yang akan melewati pemfilteran proksi Internet Explorer. Berikut ini adalah contoh cara menambahkan URL ke daftar pengecualian Internet Explorer:

    1. Di Internet Explorer, pada menu alat , klik Opsi Internet.

    2. Pada tab koneksi , klik pengaturan LAN, lalu klik tingkat lanjut.

    3. Dalam kotak pengecualian , masukkan nilai menggunakan nama DNS yang sepenuhnya memenuhi syarat dari nama titik akhir Layanan AD FS. Misalnya, masukkan STS.contoso.com.

Validasi untuk langkah 5 Untuk memvalidasi, ikuti langkah-langkah ini:

  1. Pastikan layanan Microsoft Online Services sign-in telah terinstal dan berjalan. Untuk melakukannya, ikuti langkah-langkah berikut:

    1. Klik mulai, klik Jalankan, ketik Services. MSC, lalu klik OK.

    2. Temukan entri asisten masuk Layanan Microsoft Online, lalu pastikan bahwa layanan sedang berjalan.

    3. Jika Layanan tidak berjalan, klik kanan entri, lalu pilih mulai.

  2. Masuk ke situs web AD FS MEX untuk memastikan bahwa titik akhir adalah bagian dari zona keamanan intranet Internet Explorer. Untuk melakukannya, ikuti langkah-langkah berikut:

    1. Mulai Internet Explorer, lalu masuk ke situs web Endpoint Layanan AD FS. Berikut ini adalah contoh situs web titik akhir Layanan:

      https://sts.contoso.com/federationmetadata/2007-06/federationmetadata.xml

    2. Periksa bilah status di bagian bawah jendela untuk memastikan bahwa zona keamanan yang diindikasikan untuk URL ini adalah intranet lokal.

Langkah 6: validasi akhir

Pada komputer klien yang dikonfigurasi, uji pengalaman autentikasi SSO yang diharapkan. Untuk melakukan ini, autentikasi menggunakan akun pengguna gabungan. Anda mungkin ingin menguji autentikasi pengguna gabungan dalam skenario berikut ini:

  • Di jaringan lokal dan diautentikasi ke direktori aktif di tempat

  • Dari lokasi IP Internet netral dan tidak diautentikasi ke direktori aktif di tempat

Untuk memvalidasi, ikuti langkah-langkah ini:

  1. Menguji autentikasi web. Untuk melakukannya, gunakan salah satu metode berikut:

    • Masuk ke Portal Layanan Cloud sebagai pengguna gabungan menggunakan kredensial direktori aktif lokal.

    • Masuk ke Outlook Web App sebagai pengguna gabungan (dengan menggunakan kredensial Active Directory lokal) yang memiliki kotak surat Exchange Online. Misalnya, masuk ke Outlook Web App di URL berikut ini:

      https://outlook.com/owa/contoso.comCatatan Di URL ini, "contoso.com" mewakili nama domain gabungan.

    • Masuk ke Microsoft SharePoint online sebagai pengguna gabungan (dengan menggunakan kredensial Active Directory lokal) yang memiliki akses ke kumpulan situs tim. Misalnya, masuk ke SharePoint online di URL berikut ini:

      http://contoso.sharepoint.comCatatan Di URL ini, "contoso" mewakili nama organisasi Anda.

  2. Menguji klien kaya atau autentikasi pemesan aktif. Untuk melakukannya, ikuti langkah-langkah berikut:

    1. Mengonfigurasi profil klien Skype for Business Online (dulu Lync online) untuk akun pengguna gabungan, lalu masuk ke akun menggunakan kredensial direktori aktif lokal.

    2. Masuk ke modul direktori aktif Azure untuk Windows PowerShell menggunakan akun pengguna gabungan yang memiliki kredensial admin global melalui cmdlet Sambungkan-MSOLService .

  3. Uji autentikasi dasar Exchange Online dengan menggunakan Microsoft remote Connectivity Analyzer. Untuk informasi selengkapnya tentang cara menggunakan Penganalisis konektivitas jarak jauh, lihat artikel berikut ini di Pangkalan Pengetahuan Microsoft:

    2650717  Cara menggunakan Penganalisis konektivitas jarak jauh untuk memecahkan masalah masuk tunggal untuk Office 365, Azure, atau Intune

Masih memerlukan bantuan? Buka situs web komunitas Microsoft atau Forum Azure Active Directory .

Perlu bantuan lainnya?

Kembangkan keterampilan Anda
Jelajahi pelatihan
Dapatkan fitur baru terlebih dahulu
Gabung Microsoft Insider

Apakah informasi ini bermanfaat?

Terima kasih atas umpan balik Anda!

Terima kasih atas umpan balik Anda! Sepertinya menghubungkan Anda ke salah satu agen dukungan Office kami akan sangat membantu.

×