Aanmelden met Microsoft
Meld u aan of maak een account.
Hallo,
Selecteer een ander account.
U hebt meerdere accounts
Kies het account waarmee u zich wilt aanmelden.

Inleiding

In dit artikel wordt beschreven hoe u problemen met het instellen van eenmalige aanmelding in een Microsoft-cloudservice kunt oplossen, zoals Office 365, Microsoft Intune of Microsoft Azure.

Gedetailleerde implementatierichtlijnen voor eenmalige aanmelding (SSO) zijn beschikbaar in de Help-documentatie voor Azure Active Directory (Azure AD). Als u een probleem ondervindt bij het instellen van eenmalige aanmelding met behulp van deze richtlijnen, kunt u dit artikel raadplegen. Het biedt een roadmap om veelvoorkomende problemen met elke installatiestap op te lossen.

PROCEDURE

Problemen met het instellen van eenmalige aanmelding oplossen

Stap 1: Active Directory voorbereiden

Installatierichtlijnen

Ga naar de volgende Microsoft-website:

Voorbereiden op eenmalige aanmelding

Validatie voor stap 1

Gebruik de wizard Diagnostische gegevens voor het instellen van adreslijstsynchronisatie evalueren om Active Directory te scannen op problemen die problemen met adreslijstsynchronisatie kunnen veroorzaken.

Problemen met validatie voor stap 1 oplossen

  1. Opmerking Onjuiste voorbereiding van Active Directory of fout bij het oplossen van problemen die het hulpprogramma identificeert, kan leiden tot problemen met adreslijstsynchronisatie. Volg de richtlijnen voor probleemoplossing die wordt aangeboden door de wizard Diagnostische configuratie van adreslijstsynchronisatie evalueren om de problemen op te lossen en zorg ervoor dat de wizard diagnostische gegevens zonder fouten wordt uitgevoerd. Dit voorkomt dat de volgende problemen later in de implementatie optreden:

    • 2392130 Problemen met gebruikersnaam oplossen die optreden bij federatieve gebruikers wanneer ze zich aanmelden bij Office 365, Azure of Intune

    • 2001616 Het Office 365-e-mailadres van een gebruiker bevat onverwacht een onderstrepingsteken na adreslijstsynchronisatie

    • 2643629 Een of meerdere objecten worden niet gesynchroniseerd via het Azure Active Directory Sync-hulpprogramma

  2. Voer de wizard Diagnostische gegevens opnieuw uit om te controleren of het probleem is opgelost.

Stap 2: Active Directory Federation Services -architectuur (AD FS)

Installatierichtlijnen

Ga naar de volgende Microsoft-websites:

Opmerking Microsoft Ondersteuning klanten niet helpen bij het uitvoeren van de installatierichtlijnen in deze koppelingen.

Stap 3: Azure Active Directory-module voor Windows PowerShell voor eenmalige aanmelding

Installatierichtlijnen

Ga naar de volgende Microsoft-website:

Installeer Windows PowerShell voor eenmalige aanmelding met AD FS

Validatie voor stap 3

Voer de volgende stappen uit om de Azure Active Directory-module voor Windows PowerShell voor eenmalige aanmelding te valideren:

  1. Voer de Azure Active Directory-module voor Windows PowerShell uit als beheerder.

  2. Typ de volgende opdrachten en zorg ervoor dat u op Enter drukt nadat u elke opdracht hebt getypt:

    1. $cred=Get-Credential
      Opmerking Wanneer u hierom wordt gevraagd, typt u de referenties van de cloudservicebeheerder.

    2. Connect-MsolService -Credential $cred


      Opmerking Met deze opdracht maakt u verbinding met Azure AD. U moet een context maken die u verbindt met Azure AD voordat u een van de aanvullende cmdlets uitvoert die zijn geïnstalleerd door de Azure Active Directory-module voor Windows PowerShell.

    3. Set-MsolAdfscontext -Computer < AD FS 2.0 primary server >



      Notities

      • Als u de Azure Active Directory-module voor Windows PowerShell op de primaire Active Directory Federation Services (AD FS)-server hebt geïnstalleerd, hoeft u deze cmdlet niet uit te voeren.

      • In deze opdracht vertegenwoordigt de tijdelijke aanduiding <primaire AD FS 2.0-server> de interne FQDN (Fully Qualified Domain Name) van de primaire AD FS-server. Met deze opdracht maakt u een context die u verbindt met AD FS.

    4. Get-MSOLFederationProperty -DomainName < federated domain name >


      Opmerking In deze opdracht vertegenwoordigt de tijdelijke aanduiding <federatieve domeinnaam> de domeinnaam die tijdens de installatiestappen is gefedereerd.

  3. Vergelijk de eerste helft (bron: AD FS-server) en de laatste helft (bron: Microsoft Office 365) van de uitvoer van de Get-MSOLFederationProperty opdracht die u hebt uitgevoerd in stap 2D. Alle vermeldingen, met uitzondering van Source en FederationServiceDisplayName, moeten overeenkomen. Als ze niet overeenkomen, gebruikt u de sectie 'Oplossing' van het volgende Microsoft Knowledge Base-artikel om de vertrouwensgegevens van de relying party bij te werken:

    2647020 'Sorry, but we hebben problemen met aanmelden bij u' en '80041317' of '80043431'-fout wanneer een federatieve gebruiker zich probeert aan te melden bij Office 365, Azure of Intune

Problemen met validatie voor stap 3

oplossen Volg deze stappen om problemen op te lossen:

  1. Los veelvoorkomende validatieproblemen op met behulp van de volgende Microsoft Knowledge Base-artikelen, afhankelijk van uw situatie:

    • 2461873 U kunt de Azure Active Directory-module niet openen voor Windows PowerShell

    • 2494043U kunt geen verbinding maken met behulp van de Azure Active Directory-module voor Windows PowerShell

    • 2587730 fout 'De verbinding met <ServerName> Active Directory Federation Services 2.0-server is mislukt' wanneer u de cmdlet Set-MsolADFSContext gebruikt

    • 2279117 Een beheerder kan geen domein toevoegen aan een Office 365-account

    • Fout wanneer u de cmdlet New-MsolFederatedDomain voor de tweede keer uitvoert omdat domeinverificatie mislukt. Zie het volgende Knowledge Base-artikel voor meer informatie over dit scenario:

      2515404 Problemen met domeinverificatie in Office 365 oplossen

    • 2618887 'Federation-service-id die is opgegeven in de AD FS 2.0-server is al in gebruik'. fout wanneer u een ander federatief domein probeert in te stellen in Office 365, Azure of Intune

    • Tijdproblemen veroorzaken problemen met de cmdlet New-MSOLFederatedDomain of de Convert-MSOLDomainToFederated-cmdlet.

  2. Voer de validatiestappen opnieuw uit om te controleren of het probleem is opgelost.

Stap 4: Active Directory-synchronisatie implementeren

Installatierichtlijnen

Ga naar de volgende Microsoft-websites:

Validatie voor stap 4

Voer de volgende stappen uit om te valideren:

  1. Voer de Azure Active Directory-module voor Windows PowerShell uit als beheerder.

  2. Typ de volgende opdrachten. Vergeet niet om na elke opdracht op Enter te drukken.

    1. $cred=Get-Credential

      Opmerking Wanneer u hierom wordt gevraagd, typt u de referenties van de cloudservicebeheerder.

    2. Connect-MsolService -Referentie $cred

      Opmerking Met deze opdracht maakt u verbinding met Azure AD. U moet een context maken die u verbindt met Azure AD voordat u een van de aanvullende cmdlets uitvoert die zijn geïnstalleerd door de Azure Active Directory-module voor Windows PowerShell.

    3. Get-MSOLCompanyInformation

  3. Controleer de waarde LastDirSyncTime uit de uitvoer van de vorige opdrachten en zorg ervoor dat er een synchronisatie wordt weergegeven nadat het Azure Active Directory-synchronisatieprogramma is geïnstalleerd.

    Opmerking De datum- en tijdstempel voor deze waarde worden weergegeven in Coordinated Universal Time (Greenwich Mean Time).

  4. Als LastDirSyncTime niet wordt bijgewerkt, controleert u het toepassingslogboek van de server waarop het Azure Active Directory-synchronisatieprogramma is geïnstalleerd voor de volgende gebeurtenis:

    • Bron: Adreslijstsynchronisatie

    • Gebeurtenis-id: 4

    • Niveau: Informatie

    Deze gebeurtenis geeft aan dat adreslijstsynchronisatie is voltooid op de server. Wanneer dit gebeurt, voert u deze stappen opnieuw uit om ervoor te zorgen dat de waarde LastDirSyncTime correct is bijgewerkt.

Problemen met validatie voor stap 4

oplossen Los veelvoorkomende validatieproblemen op met behulp van de volgende Microsoft Knowledge Base-artikelen, afhankelijk van uw situatie:

  • 2508225 'LogonUser() Failed with error code: 1789' after you enter enterprise administrator credentials in the Azure Active Directory Sync tool Configuration Wizard

  • 2502710 fout 'Er is een onbekende fout opgetreden met de Microsoft Online Services-aanmeldingsassistent' bij het uitvoeren van de wizard Configuratie van het Azure Active Directory-synchronisatieprogramma

  • 2419250 fout 'De computer moet worden toegevoegd aan een domein' wanneer u het Azure Active Directory-synchronisatieprogramma probeert te installeren

  • 2643629 Een of meerdere objecten worden niet gesynchroniseerd via het Azure Active Directory Sync-hulpprogramma

  • 2641663 SMTP-matching gebruiken om on-premises gebruikersaccounts te koppelen aan Office 365 gebruikersaccounts voor adreslijstsynchronisatie

  • 2492140 U kunt geen federatief domein toewijzen aan een gebruiker in de Office 365-portal

Stap 5: Office 365 clientparaatheid

Installatierichtlijnen

  1. Controleer clientvereisten voor Office 365. Ga naar Office 365 systeemvereisten voor meer informatie over de systeemvereisten voor Office 365.

  2. Voer Office 365 Desktop Setup uit op alle clientcomputers die gebruikmaken van uitgebreide clienttoepassingen. Uitgebreide clienttoepassingen zijn onder andere Microsoft Outlook, Microsoft Lync 2010, Microsoft® Office Professional Plus 2010, Azure Active Directory-module voor Windows PowerShell. Office-bureaubladtoepassingen en Microsoft SharePoint-integratietoepassingen.

  3. Als een naadloze, no-prompt-ervaring wordt verwacht voor clientcomputers die lid zijn van een domein en een domein zijn verbonden, voegt u de URL van de AD FS Federation-service toe aan de zone lokaal intranet in Windows Internet Explorer. Ga bijvoorbeeld als volgt te werk:

    1. Klik in Internet Explorer in het menu Extra op Internetopties.

    2. Klik op het tabblad Beveiliging , klik op Lokaal intranet, klik op Sites en klik vervolgens op Geavanceerd.

    3. Typ https://sts.contoso.com in het vak Deze website toevoegen aan de zone en klik vervolgens op Toevoegen.

      Opmerking 'sts.contoso.com' vertegenwoordigt de FQDN van de AD FS Federation Service.

    Zie het volgende Microsoft Knowledge Base-artikel voor meer informatie over deze configuratie:

    2535227 Een federatieve gebruiker wordt onverwacht gevraagd om de referenties voor het werk- of schoolaccount in te voeren

  4. Als clientcomputers die lid zijn van een domein en een domein verbonden toegang hebben tot internetbronnen met behulp van een proxyserver die internetadressen omzet met behulp van openbare DNS-query's (en niet interne, split-brain DNS), voegt u de URL van de AD FS Federation Service toe aan de lijst waarvoor Internet Explorer proxyfiltering overtreedt. Hier volgt een voorbeeld van het toevoegen van de URL aan de lijst met uitzonderingen in Internet Explorer:

    1. Klik in Internet Explorer in het menu Extra op Internetopties.

    2. Klik op het tabblad Verbindingen op LAN-instellingen en klik vervolgens op Geavanceerd.

    3. Voer in het vak Uitzonderingen de waarde in met behulp van de volledig gekwalificeerde DNS-naam van de NAAM van het AD FS-service-eindpunt. Voer bijvoorbeeld sts.contoso.com in.

Validatie voor stap 5

Voer de volgende stappen uit om te valideren:

  1. Zorg ervoor dat de microsoft Online Services-service voor aanmeldingsassistent is geïnstalleerd en wordt uitgevoerd. Ga hiervoor als volgt te werk:

    1. Klik op Start, klik op Uitvoeren, typ Services.msc en klik vervolgens op OK.

    2. Zoek de vermelding Microsoft Online Services-aanmeldingsassistent en controleer of de service wordt uitgevoerd.

    3. Als de service niet wordt uitgevoerd, klikt u met de rechtermuisknop op de vermelding en selecteert u vervolgens Start.

  2. Ga naar de website van AD FS MEX om ervoor te zorgen dat het eindpunt deel uitmaakt van de intranetbeveiligingszone van Internet Explorer. Ga hiervoor als volgt te werk:

    1. Start Internet Explorer en ga vervolgens naar de website van het AD FS-service-eindpunt. Hier volgt een voorbeeld van een service-eindpuntwebsite:

      https://sts.contoso.com/federationmetadata/2007-06/federationmetadata.xml

    2. Controleer de statusbalk onder aan het venster om te controleren of de beveiligingszone die wordt aangegeven voor deze URL Lokaal intranet is.

Stap 6: definitieve validatie

Test op een geconfigureerde clientcomputer de verwachte SSO-verificatie-ervaring. Om dit te doen, verifieert u met behulp van een federatief gebruikersaccount. Mogelijk wilt u verificatie van een federatieve gebruiker testen in de volgende scenario's:

  • In het on-premises netwerk en geverifieerd bij de on-premises Active Directory

  • Van een internetneutrale IP-locatie en niet geverifieerd voor de on-premises Active Directory

Voer de volgende stappen uit om te valideren:

  1. Test webverificatie. Gebruik een van de volgende methoden om dit te doen:

    • Meld u als federatieve gebruiker aan bij de cloudserviceportal met behulp van lokale Active Directory-referenties.

    • Meld u aan bij Outlook Web App als federatieve gebruiker (met behulp van lokale Active Directory-referenties) die een Exchange Online-postvak heeft. Meld u bijvoorbeeld aan bij Outlook Web App via de volgende URL:

      https://outlook.com/owa/contoso.comNote In deze URL vertegenwoordigt 'contoso.com' de federatieve domeinnaam.

    • Meld u aan bij Microsoft Office SharePoint Online als een federatieve gebruiker (met behulp van lokale Active Directory-referenties) die toegang heeft tot de teamsiteverzameling. Meld u bijvoorbeeld aan bij SharePoint Online via de volgende URL:

      http://contoso.sharepoint.comNote In deze URL vertegenwoordigt 'contoso' de naam van uw organisatie.

  2. Test uitgebreide client- of actieve aanvragerverificatie. Ga hiervoor als volgt te werk:

    1. Configureer een Skype voor Bedrijven Online-clientprofiel (voorheen Lync Online) voor een federatief gebruikersaccount en meld u vervolgens aan bij het account met behulp van lokale Active Directory-referenties.

    2. Meld u aan bij Azure Active Directory-module voor Windows PowerShell met behulp van een federatief gebruikersaccount met globale beheerdersreferenties via de cmdlet connect-MSOLService.

  3. Test Exchange Online basisverificatie met behulp van Microsoft Remote Connectivity Analyzer. Zie het volgende artikel in de Microsoft Knowledge Base voor meer informatie over het gebruik van Remote Connectivity Analyzer:

    2650717  Remote Connectivity Analyzer gebruiken om problemen met eenmalige aanmelding op te lossen voor Office 365, Azure of Intune

Meer hulp nodig? Ga naar de Microsoft-community of de website van Azure Active Directory-forums .

Facebook LinkedIn E-mail
RSS-FEEDS ABONNEREN

Meer hulp nodig?

Meer opties?

Ontdekken Community

Verken abonnementsvoordelen, blader door trainingscursussen, leer hoe u uw apparaat kunt beveiligen en meer.

Voordelen van Microsoft 365-abonnementen

Microsoft 365-training

Microsoft-beveiliging

Toegankelijkheidscentrum

Community's helpen u vragen te stellen en te beantwoorden, feedback te geven en te leren van experts met uitgebreide kennis.

Stel een vraag aan de Microsoft-Community

Microsoft Tech Community

Windows Insiders

Microsoft 365 Insiders

Was deze informatie nuttig?

Hoe tevreden bent u met de taalkwaliteit?
Wat heeft uw ervaring beïnvloed?
Als u op Verzenden klikt, wordt uw feedback gebruikt om producten en services van Microsoft te verbeteren. Uw IT-beheerder kan deze gegevens verzamelen. Privacyverklaring.

Hartelijk dank voor uw feedback.

×