Risoluzione dei problemi di installazione di single sign-on in Office 365, Intune o Azure

IMPORTANTE: il presente articolo è stato tradotto tramite un software di traduzione automatica di Microsoft ed eventualmente revisionato dalla community Microsoft tramite la tecnologia CTF (Community Translation Framework) o da un traduttore professionista. Microsoft offre articoli tradotti manualmente e altri tradotti automaticamente e rivisti dalla community con l’obiettivo di consentire all'utente di accedere a tutti gli articoli della Knowledge Base nella propria lingua. Tuttavia, un articolo tradotto automaticamente, anche se rivisto dalla community, non sempre è perfetto. Potrebbe contenere errori di vocabolario, di sintassi o di grammatica. Microsoft declina ogni responsabilità per imprecisioni, errori o danni causati da una traduzione sbagliata o dal relativo utilizzo da parte dei clienti. Microsoft aggiorna frequentemente il software e gli strumenti di traduzione automatica per continuare a migliorare la qualità della traduzione.

Clicca qui per visualizzare la versione originale in inglese dell’articolo: 2530569
INTRODUZIONE
In questo articolo viene descritto come risolvere i problemi di installazione di single sign-on in un servizio cloud di Microsoft Office 365, Intune Microsoft o Microsoft Azure.

Guida di implementazione dettagliate per servizio single sign-on (SSO) sono disponibile nella documentazione della Guida di Azure (Azure ad Active Directory). Se si verifica un problema quando si imposta SSO utilizzando tali linee guida, è possibile fare riferimento al presente articolo. Viene fornita una Guida di orientamento per la risoluzione dei problemi comuni relativi a ogni passaggio di configurazione.
PROCEDURA

Come risolvere i problemi di installazione SSO

Passaggio 1: Preparazione di Active Directory

Guida di installazione
Visitare il seguente sito Web Microsoft:
Convalida della fase 1
L'analisi di Active Directory per i problemi che potrebbero causare problemi di sincronizzazione delle directory, utilizzare lo strumento di preparazione distribuzione di Microsoft Office 365.

Nota Solo gli account utente che dispongono di suffissi di nome principale (UPN) utente che corrispondano al dominio che è federato single sign-on (SSO) è possono usufruire delle funzionalità SSO.

Per ulteriori informazioni su Office 365 distribuzione Readiness Tool, visitare il seguente sito Web Microsoft:
Risoluzione dei problemi di convalida per il passaggio 1
Il report di distribuzione dello strumento di preparazione collegamenti in linea Microsoft in linea guida alla distribuzione di risoluzione dei problemi delle linee guida per lo specifico problema che vengono rilevati. Per risolvere i problemi, attenersi alla seguente procedura:
  1. Utilizzare strumento di distribuzione Readiness inline collegamenti alla Guida in linea di Microsoft Deployment Guide per risolvere un problema che lo strumento rileva.

    Nota Corretta preparazione di Active Directory o l'impossibilità di risolvere i problemi che identifica lo strumento può causare problemi di sincronizzazione delle directory nel passaggio 4. Seguire le indicazioni sulla risoluzione dei problemi offerto dallo strumento di preparazione di distribuzione per correggere i problemi e assicurarsi che lo strumento di preparazione della distribuzione viene eseguita senza errori. Ciò impedisce che i seguenti problemi che si verificano in un secondo momento nell'implementazione:
    • 2392130Risoluzione dei problemi di nome utente che per gli utenti federati si verificano quando effettua l'accesso a Office 365, Azure o Intune
    • 2001616 Indirizzo di posta elettronica dell'utente Office 365 inaspettatamente contiene un carattere di sottolineatura dopo la sincronizzazione delle directory
    • 2643629Uno o piú oggetti non si sincronizzano utilizzando Azure Active Directory Sync
  2. Eseguire nuovamente la procedura di convalida per verificare se il problema è stato risolto.

Passaggio 2: Architettura di Active Directory Federation Services (ADFS)

Programma di installazionelinee guida

Visitare i seguenti siti Web Microsoft:

Nota Supporto Microsoft non consentirà ai clienti con l'esecuzione di istruzioni di installazione in questi collegamenti.

Passaggio 3: Modulo di Azure Active Directory per Windows PowerShell per SSO

Guida di installazione
Visitare il seguente sito Web Microsoft:
Convalida nel passaggio 3
Per convalidare la Azure Active Directory Module per Windows PowerShell per SSO, procedere come segue:
  1. Eseguire il modulo Azure Active Directory per Windows PowerShell come amministratore.
  2. Digitare i seguenti comandi e accertarsi di premere INVIO dopo ciascun comando:
    1. $cred=Get-Credential

      Nota Quando richiesto, digitare le credenziali di amministratore del servizio cloud.
    2. Connect-MsolService -Credential $cred

      Nota Questo comando consente di connettersi ad Active Directory Azure. È necessario creare un contesto che si connette AD Azure prima di eseguire il cmdlet aggiuntive che vengono installati per la Azure Active Directory Module per Windows PowerShell.
    3. Set-MsolAdfscontext -Computer <AD FS 2.0 primary server>


      Note
      • Se è stato installato sul server Active Directory Federation Services (ADFS) primario di Azure Active Directory Module per Windows PowerShell, non è necessario eseguire questo cmdlet.
      • In questo comando, il segnapostoServer principale di AD FS 2.0> rappresenta il nome interno di dominio completo (FQDN) del server ADFS primario. Questo comando crea un contesto che si connette a ADFS.
    4. Get-MSOLFederationProperty -DomainName <federated domain name>

      Nota In questo comando, il segnapostonome di dominio federato> rappresenta il nome di dominio che è stato federato nella procedura di installazione.
  3. Confrontare la prima metà (origine: Server ADFS AD) e l'ultima metà (origine: Microsoft Office 365) dell'output del comando Get-MSOLFederationProperty che è stato eseguito nel passaggio 2D. Tutte le voci eccetto FederationServiceDisplayName devono corrispondere. Se non corrispondono, è possibile utilizzare la sezione "Risoluzione" del seguente articolo della Microsoft Knowledge Base per aggiornare i dati di trust di terze parti relying party:

    2647020"Spiacente, ma problemi durante l'accesso" e "80041317" o "80043431" Errore durante il tentativo di accedere a Office 365, Azure o Intune di un utente federato
Risoluzione dei problemi di convalida nel passaggio 3

Per risolvere i problemi, attenersi alla seguente procedura:
  1. Risolvere i problemi comuni di convalida utilizzando i seguenti articoli della Microsoft Knowledge Base, come appropriato alla situazione:
    • 2461873Non è possibile aprire il Azure Active Directory Module per Windows PowerShell
    • 2494043 È possibile connettersi utilizzando il Azure Active Directory Module per Windows PowerShell
    • 2587730 "La connessione a <ServerName>server Active Directory Federation Services 2.0 non riuscita" errore quando si utilizza il cmdlet Set-MsolADFSContext<b00> </b00> </ServerName>
    • 2279117 L'amministratore non può aggiungere un dominio a un account Office 365
    • Errore quando si esegue il cmdlet New-MsolFederatedDomain per la seconda volta perché si verifica un errore di verifica del dominio. Per ulteriori informazioni su questo scenario, vedere il seguente articolo della Knowledge Base:
      2515404 Risoluzione dei problemi di verifica di dominio in Office 365
    • 2618887"Identificatore di servizio federativo specificato in Active Directory server ADFS 2.0 è già in uso." errore quando si tenta di impostare un altro dominio federato in Office 365, Azure o Intune
    • Problemi relativi alla fase causano problemi con il cmdlet New-MSOLFederatedDomain o il cmdlet Converti-MSOLDomainToFederated . Per ulteriori informazioni su questo scenario, vedere il seguente articolo della Knowledge Base:
      2578667"Spiacente, ma problemi durante l'accesso" e "80045 C 06" Errore durante il tentativo di accedere a Office 365, Azure o Intune di un utente federato
  2. Eseguire nuovamente la procedura di convalida per verificare se il problema è stato risolto.

Al passaggio 4: Sincronizzazione di implementare Active Directory

Guida di installazione
Visitare i seguenti siti Web Microsoft:
Convalida per il passaggio 4
Per convalidare, attenersi alla seguente procedura:
  1. Eseguire il modulo Azure Active Directory per Windows PowerShell come amministratore.
  2. Digitare i seguenti comandi. Assicurarsi di premere INVIO dopo ciascun comando.
    1. $cred=Get-Credential


      Nota Quando richiesto, digitare le credenziali di amministratore del servizio cloud.
    2. Connect-MsolService -Credential $cred


      Nota Questo comando consente di connettersi ad Active Directory Azure. È necessario creare un contesto che si connette AD Azure prima di eseguire il cmdlet aggiuntive che vengono installati per la Azure Active Directory Module per Windows PowerShell.
    3. Get-MSOLCompanyInformation
  3. Controllare il valore diora LastDirSyncdall'output dei comandi precedenti e assicurarsi che venga visualizzato una sincronizzazione dopo che è stato installato lo strumento di sincronizzazione Azure Active Directory.

    Nota L'indicatore di data e ora per questo valore viene visualizzato nell'ora UTC (Greenwich Mean Time).
  4. Se LastDirSyncTimenon è aggiornato, controllare il registro applicazione del server in cui è installato lo strumento di sincronizzazione Azure Active Directory per l'evento seguente:
    • Origine: la sincronizzazione delle Directory
    • ID evento: 4
    • Livello: informazioni
    Questo evento indica che è terminata la sincronizzazione delle directory sul server. In questo caso, ripetere questi passaggi per assicurarsi che il valore LastDirSyncTime è stato aggiornato in modo appropriato.
Risoluzione dei problemi di convalida per il passaggio 4

Risolvere i problemi comuni di convalida utilizzando i seguenti articoli della Microsoft Knowledge Base, come appropriato alla situazione:
  • 2386445 Errore quando si esegue lo strumento di sincronizzazione con Active Directory Azure: "la versione di Windows Azure è obsoleto guidata di configurazione di Active Directory Sync"
  • 2310320Errore quando si tenta di eseguire Azure Sync strumento di configurazione guidata di Active Directory: "Impossibile autenticare le credenziali. Reimmettere le credenziali e riprovare"
  • 2508225"LogonUser () non riuscito con codice di errore: 1789" dopo l'immissione di credenziali di amministratore dell'organizzazione in Active Directory Sync di Azure strumento di configurazione guidata
  • 2502710Errore "Errore sconosciuto con il Microsoft Online Services Assistente per l'accesso" quando si esegue Azure Sync strumento di configurazione guidata di Active Directory
  • 2419250Errore "il computer deve essere associato a un dominio" quando si tenta di installare lo strumento di sincronizzazione Azure Active Directory
  • 2643629Uno o piú oggetti non si sincronizzano utilizzando Azure Active Directory Sync
  • 2641663 Come utilizzare SMTP per stabilire una corrispondenza locale account utente per gli account utente di Office 365 per la sincronizzazione delle Directory
  • 2492140 Non è possibile assegnare a un dominio federato a un utente del portale di Office 365

Passaggio 5: Preparazione di client Office 365

Guida di installazione
  1. Verificare i prerequisiti del client per Office 365. Per ulteriori informazioni sui requisiti di sistema per Office 365, Vai a Requisiti di sistema di Office 365.
  2. Installazione di Office 365 Desktop su tutti i computer client che utilizzano applicazioni rich client. Applicazioni rich client includono Microsoft Outlook, Microsoft Lync 2010, Microsoft Office Professional Plus 2010, Azure Active Directory Module per Windows PowerShell. Le applicazioni desktop Office e applicazioni di integrazione di Microsoft SharePoint.

    Nota Il programma di installazione di Office 365 Desktop è disponibile all'indirizzo http://g.microsoftonline.com/0BX10en/436?! Office365DesktopSetup.application.
  3. Se è prevista un'esperienza ottimale, nessuna richiesta per i computer client di dominio e connessi a un dominio, aggiungere l'URL del servizio federativo di ADFS Active Directory all'area intranet locale in Windows Internet Explorer. Ad esempio, eseguire le operazioni seguenti:
    1. In Internet Explorer, nel strumenti menu, fare clic su Opzioni Internet.
    2. Scegliere la Security scheda, fare clic su intranet locale, fare clic su sitie quindi fare clic su Avanzate.
    3. Digitare https://STS.contoso.com Nella casella Aggiungi il sito Web all'area , quindi Aggiungi.

      Nota "sts.contoso.com" rappresenta il nome FQDN del servizio federativo ADFS.
    Per ulteriori informazioni su questa configurazione, vedere il seguente articolo della Microsoft Knowledge Base:
    2535227Un utente federato è richiesta imprevista di immettere il proprio lavoro o scuola le credenziali dell'account
  4. Se i computer client di dominio e dominio connesso accedere alle risorse Internet tramite un server proxy che risolve gli indirizzi Internet utilizzando le query DNS pubbliche e non DNS interno, split-brain, aggiungere l'URL servizio federativo ADFS Active Directory all'elenco per il quale Internet Explorer Ignora filtro proxy. Di seguito è riportato un esempio di come aggiungere l'URL all'elenco eccezioni di Internet Explorer:
    1. In Internet Explorer, nel strumenti menu, fare clic su Opzioni Internet.
    2. Nella connessioni scheda, fare clic su Impostazioni LANe quindi fare clic su Avanzate.
    3. Nella eccezioni , immettere il valore utilizzando il nome completo DNS del nome di endpoint del servizio ADFS. Ad esempio, immettereSTS.contoso.com.
Convalida per il passaggio 5

Per convalidare, attenersi alla seguente procedura:
  1. Assicurarsi che il servizio Microsoft Online Services-Assistente per l'accesso sia installato e in esecuzione. A tale scopo, attenersi alla seguente procedura:
    1. Fare clic su Start, scegliere Esegui, tipo Services. msc, quindi scegliere OK.
    2. Individuare la voce di Assistente per l'accesso Microsoft Online Services e quindi assicurarsi che il servizio sia in esecuzione.
    3. Se il servizio non è in esecuzione, fare la voce e quindi selezionare Avvia.
  2. Visitare il sito Web AD FS MEX per assicurarsi che il punto finale fa parte dell'area di protezione intranet a Internet Explorer. A tale scopo, attenersi alla seguente procedura:
    1. Avviare Internet Explorer e quindi visitare il sito Web dell'endpoint di servizio ADFS. Di seguito è riportato un esempio di un sito Web endpoint di servizio:
      https://STS.contoso.com/FederationMetadata/2007-06/FederationMetadata.Xml
    2. Controllare la barra di stato nella parte inferiore della finestra per assicurarsi che l'area di protezione indicato per questo URL intranet locale.

Passaggio 6: Convalida finale

In un computer client configurato, verificare l'esperienza di autenticazione SSO previsto. A tale scopo, eseguire l'autenticazione utilizzando un account utente federato. È possibile verificare l'autenticazione di un utente federato negli scenari seguenti:
  • Nella rete locale e autenticazione in Active Directory locale
  • Da un percorso di IP Internet indipendente e non è stato autenticato in Active Directory locale
Per convalidare, attenersi alla seguente procedura:
  1. Autenticazione web test. A tale scopo, utilizzare uno dei seguenti metodi:
    • Accedi al portale di servizi cloud come un utente federato utilizzando le credenziali di Active Directory locale.
    • Accedere a Outlook Web App come un utente federato (utilizzando le credenziali di Active Directory locale) che dispone di una cassetta postale di Exchange Online. Ad esempio, accedere a Outlook Web App al seguente URL:
      https://Outlook.com/OWA/contoso.com
      Nota In questo URL, "contoso.com" rappresenta il nome di dominio federato.
    • Accedere a Microsoft SharePoint Online come un utente federato (utilizzando le credenziali di Active Directory locale) che ha accesso alla raccolta siti di Team. Ad esempio, accedere a SharePoint Online all'indirizzo seguente:
      http://contoso.SharePoint.com
      Nota In questo URL, "contoso" rappresenta il nome dell'organizzazione.
  2. Test rich client o autenticazione active richiedente. A tale scopo, attenersi alla seguente procedura:
    1. Configurare un utente di Skype per Business Online(formerly Lync Online) client profile per un account utente federato e accedi all'account utilizzando le credenziali di Active Directory locale.
    2. Accedi per Azure Active Directory Module per Windows PowerShell utilizzando un account utente federato dotato di credenziali di amministratore globale tramite il cmdletconnect-MSOLService .
  3. Verificare l'autenticazione di base in linea di Exchange utilizzando Microsoft Remote Connectivity Analyzer. Per ulteriori informazioni su come utilizzare l'analizzatore di connettività remota, vedere il seguente articolo della Microsoft Knowledge Base:
    2650717 Come utilizzare l'analizzatore di connettività remota risoluzione dei problemi del servizio single sign-on per Office 365, Azure o Intune
Ulteriore assistenza? Vai al Community di Office 365 sito Web o il Forum di Azure Active Directory sito Web.

Avviso: questo articolo è stato tradotto automaticamente

Properti

ID Artikel: 2530569 - Tinjauan Terakhir: 07/09/2016 03:26:00 - Revisi: 47.0

Microsoft Azure Cloud Services, Microsoft Azure Active Directory, Microsoft Office 365, Microsoft Intune, CRM Online via Office 365 E Plans, Microsoft Azure Recovery Services, Office 365 Identity Management

  • o365 o365a o365e o365022013 o365m kbmt KB2530569 KbMtit
Tanggapan