PROBLEM
En nylig organisasjonsbasert bruker kan ikke logge på en Microsoft-skytjeneste, for eksempel Office 365, Microsoft Azure eller Microsoft Intune. Brukeren opplever ett av følgende symptomer:
-
Når brukeren har angitt bruker-ID-en sin på login.microsoftonline.com nettside, kan ikke bruker-ID-en identifiseres som en organisasjonsbasert bruker ved oppdagelse av hjemmeområde, og brukeren blir ikke automatisk omdirigert til å logge på via enkel pålogging (SSO).
-
Godkjenning til Active Directory Federation Services (AD FS) mislykkes, og brukeren får følgende skjemabaserte godkjenningsfeilmelding:
Brukernavnet eller passordet er feil
-
Brukeren får følgende feilmelding på nettsiden login.microsoftonline.com:
Beklager, men vi har problemer med å logge deg av
FORÅRSAKE
Disse symptomene kan oppstå på grunn av en dårlig pilotert SSO-aktivert bruker-ID. De generelle kravene for å styre en SSO-aktivert bruker-ID er som følger:
-
Den lokal Active Directory brukerkontoen bør bruke domenenavnet i forbund som brukerhovednavn (UPN)-suffiks.
-
Bruker-ID-en og den primære e-postadressen for den tilknyttede Microsoft Exchange Online postboksen deler ikke samme domenesuffiks.
-
Synkroniseringsverktøyet for Azure Active Directory må synkronisere lokal Active Directory brukerkonto til en skybasert bruker-ID.
-
UPN for lokal Active Directory brukerkontoen og den skybaserte bruker-ID-en må samsvare.
Før du antar at en dårlig styrt SSO-aktivert bruker-ID er årsaken til dette problemet, må du kontrollere at følgende betingelser er oppfylt:
-
Brukeren opplever ikke et vanlig påloggingsproblem. Hvis du vil ha mer informasjon om hvordan du feilsøker vanlige påloggingsproblemer, kan du se følgende Microsoft Knowledge Base-artikkel:
2412085 Du kan ikke logge på organisasjonskontoen, for eksempel Office 365, Azure eller Intune
-
Det samlede domenet er klargjort på riktig måte for å støtte SSO på følgende måte:
-
Forbundsdomenet kan løses offentlig av DNS. (Dette inkluderer ikke standard domene for onmicrosoft.com.)
-
Det samlede domenet ble klargjort for SSO i henhold til følgende Microsoft-nettsteder.
Obs! Konvertering av domeneforbund kan ta litt tid å overføre. Du bør vente to timer etter at du har samlet et domene før du antar at domenekonfigurasjonen er feil.
-
LØSNING
Hvis du vil løse dette problemet, må du kontrollere at brukerkontoen er riktig styrt som en SSO-aktivert bruker-ID. Hvis du vil gjøre dette, kan du bruke én eller flere av følgende metoder:
Metode 1: Se Knowledge Base-artikkelen 2615736 hvis brukere får feilmeldingen «Beklager, men vi har problemer med å logge deg på»
Hvis brukeren får feilmeldingen «Beklager, men vi har problemer med å logge deg på», bruker du følgende Microsoft Knowledge Base-artikkel til å feilsøke problemet:
2615736 feilmeldingen «Beklager, men vi har problemer med å logge deg på» når en bruker prøver å logge på Office 365, Azure eller Intune
Metode 2: Oppdater UPN for den lokale brukerkontoen for å bruke det organisasjonsbaserte domenet som suffiks
Advarsel! Hvis du endrer UPN for en Active Directory-brukerkonto, kan det ha en betydelig innvirkning på lokal Active Directory funksjonalitet for brukeren. Vi anbefaler at du bruker forsiktighet og overveielse om UPN-endringer.
Effekten inkluderer potensielt følgende:
-
Ekstern tilgang til lokale ressurser ved å roaming-brukere som logger seg på operativsystemet ved hjelp av bufret legitimasjon
-
Godkjenningsteknologier for ekstern tilgang ved hjelp av brukersertifikater
-
Krypteringsteknologier som er basert på brukersertifikater som Secure MIME (SMIME), IRM-teknologi (Information Rights Management) og EFS-funksjonen (Encrypting File System) i NTFS
-
Smartkortfunksjonalitet
Vi anbefaler på det sterkeste at du piloter én enkelt brukerkonto for å få en bedre forståelse av hvordan oppdatering av UPN påvirker brukertilgang. Informasjonen er nyttig for å planlegge på forhånd eller redusere sertifikatutnyttelse, datagjenoppretting og eventuelle andre utbedringer som kreves for å opprettholde tilgjengeligheten til data ved hjelp av disse teknologiene.
Du må oppdatere UPN for brukerkontoen for å gjenspeile suffikset for organisasjonsbasert domene både i lokal Active Directory-miljøet og i Azure AD. Dette gjør du slik:
-
Kontroller at det samlede domenet er lagt til som et UPN-suffiks:
-
Klikk Start på den lokal Active Directory domenekontrolleren, pek på Alle programmer, klikk Administrative verktøy, og klikk deretter Active Directory-domener og klareringer.
-
Høyreklikk rotnoden for Active Directory-domener og klareringer, velg Egenskaper, og kontroller deretter at domenenavnet som brukes for SSO, finnes.
Obs! Et ikke-rutbart domenesuffiks, for eksempel domain.internal eller domain.microsoftonline.com-domenet, kan ikke dra nytte av SSO-funksjonalitet eller forbundstjenester. Et ikke-rutbart domenesuffiks må ikke brukes i dette trinnet.
-
-
Oppdater UPN-suffikset for problembrukerkontoen manuelt:
-
Klikk Start på lokal Active Directory domenekontroller, pek på Alle programmer, klikk Administrative verktøy, og klikk deretter Active Directory-brukere og -datamaskiner.
-
Finn brukerkontoen for problemet, høyreklikk kontoen, og klikk deretter Egenskaper.
-
Bruk rullegardinlisten øverst til venstre på Konto-fanen til å endre UPN-suffikset til det egendefinerte domenet, og klikk deretter OK.
-
Metode 3: Kontroller at bruker-ID-en og den primære SMTP-adressen (Simple Mail Transfer Protocol) for Exchange Online-postboksen har samme domene
Bruk lokale Exchange-administrasjonsverktøy til å angi den lokale brukerens primære SMTP-adresse til samme domene i UPN-attributtet som er beskrevet i metode 2. Hvis du vil ha mer informasjon, kan du gå til følgende Microsoft TechNet-nettsteder:
Redigere en e-postadressepolicy
Konfigurer egenskaper for postboks for bruker og ressurs Hvis Exchange ikke er installert i det lokale miljøet, kan du administrere SMTP-adresseverdien ved hjelp av Active Directory-brukere og -datamaskiner. Dette gjør du slik:
-
Høyreklikk brukerobjektet i Active Directory-brukere og -datamaskiner, og klikk deretter Egenskaper.
-
Oppdater e-postfeltet på generelt-fanen, og klikk deretter OK.
Metode 4: Konfigurere Active Directory-synkronisering for brukerkontoen UPN
Hvis du vil at enkel pålogging skal fungere riktig, må du konfigurere Active Directory-synkroniseringsklienten. Hvis du vil ha mer informasjon om hvordan du konfigurerer Active Directory-synkronisering, kan du gå til følgende Microsoft-nettsted:
Active Directory-synkronisering: VeikartHvis du vil ha mer informasjon om hvordan du tvinger og bekrefter synkronisering, kan du gå til følgende Microsoft-nettsteder:
Metode 5: Feilsøke problemer med UPN-oppdatering for en bestemt brukerkonto
Hvis synkroniseringen kan bekreftes, men UPN for en pilotbruker-ID fremdeles ikke er oppdatert, kan synkroniseringsproblemet oppstå for den bestemte brukeren.
Hvis du vil ha mer informasjon om hvordan du feilsøker potensielle problemer med synkronisering av et bestemt Active Directory-objekt, kan du se følgende Microsoft Knowledge Base-artikkel:
2643629 Ett eller flere objekter synkroniseres ikke når du bruker synkroniseringsverktøyet for Azure Active Directory
Trenger du fremdeles hjelp? Gå til Microsoft Community eller azure Active Directory Forums-nettstedet .