PROBLEEM
Een zojuist federatieve gebruiker kan zich niet aanmelden bij een Microsoft-cloudservice zoals Office 365, Microsoft Azure of Microsoft Intune. De gebruiker ondervindt een van de volgende symptomen:
-
Nadat de gebruiker de gebruikers-id op de login.microsoftonline.com webpagina heeft ingevoerd, kan de gebruikers-id niet worden geïdentificeerd als een federatieve gebruiker door thuisdomeindetectie en wordt de gebruiker niet automatisch omgeleid om zich aan te melden via eenmalige aanmelding (SSO).
-
Verificatie voor Active Directory Federation Services (AD FS) mislukt en de gebruiker ontvangt het volgende foutbericht over verificatie op basis van formulieren:
De gebruikersnaam of het wachtwoord is onjuist
-
De gebruiker ontvangt het volgende foutbericht op de login.microsoftonline.com webpagina:
Sorry, maar er is problemen met het afmelden van u
OORZAAK
Deze symptomen kunnen optreden vanwege een slecht geteste gebruikers-id met eenmalige aanmelding. De algemene vereisten voor het testen van een gebruikers-id met eenmalige aanmelding zijn als volgt:
-
Het on-premises Active Directory gebruikersaccount moet de federatieve domeinnaam gebruiken als het UPN-achtervoegsel (User Principal Name).
-
De gebruikers-id en het primaire e-mailadres voor de gekoppelde Microsoft Exchange Online postvak delen niet hetzelfde domeinachtervoegsel.
-
Het hulpprogramma Azure Active Directory Sync moet het on-premises Active Directory gebruikersaccount synchroniseren met een cloudgebruikers-id.
-
De UPN van het on-premises Active Directory gebruikersaccount en de cloudgebruikers-id moeten overeenkomen.
Voordat u ervan uitgaat dat een slecht geteste gebruikers-id met SSO de oorzaak van dit probleem is, moet u ervoor zorgen dat aan de volgende voorwaarden wordt voldaan:
-
De gebruiker ondervindt geen veelvoorkomend aanmeldingsprobleem. Zie het volgende Microsoft Knowledge Base-artikel voor meer informatie over het oplossen van veelvoorkomende aanmeldingsproblemen:
2412085 U kunt zich niet aanmelden bij uw organisatieaccount, zoals Office 365, Azure of Intune
-
Het federatieve domein is als volgt voorbereid om eenmalige aanmelding te ondersteunen:
-
Het federatieve domein kan openbaar worden omgezet door DNS. (Dit omvat niet het standaarddomein 'onmicrosoft.com'.)
-
Het federatieve domein is voorbereid voor eenmalige aanmelding volgens de volgende Microsoft-websites.
Opmerking Het kan enige tijd duren voordat domeinfederatieconversie is doorgegeven. Wacht twee uur nadat u een domein hebt gefedereerd voordat u ervan uitgaat dat de domeinconfiguratie defect is.
-
OPLOSSING
U kunt dit probleem oplossen door ervoor te zorgen dat het gebruikersaccount correct is getest als een gebruikers-id waarvoor eenmalige aanmelding is ingeschakeld. Gebruik hiervoor een of meer van de volgende methoden:
Methode 1: Zie Knowledge Base-artikel 2615736 als gebruikers de fout 'Sorry, but we hebben problemen met aanmelden' ontvangen
Als de gebruiker het foutbericht 'Sorry, maar we hebben problemen met aanmelden' ontvangt, gebruikt u het volgende Microsoft Knowledge Base-artikel om het probleem op te lossen:
2615736 fout 'Sorry, maar we ondervinden problemen met aanmelden' wanneer een gebruiker zich probeert aan te melden bij Office 365, Azure of Intune
Methode 2: De UPN van het on-premises gebruikersaccount bijwerken om het federatieve domein als achtervoegsel te gebruiken
Waarschuwing Het wijzigen van de UPN van een Active Directory-gebruikersaccount kan een aanzienlijk effect hebben op de on-premises Active Directory functionaliteit voor de gebruiker. We raden u aan voorzichtig te zijn en te nadenken over UPN-wijzigingen.
Het effect omvat mogelijk het volgende:
-
Externe toegang tot on-premises resources door zwervende gebruikers die zich aanmelden bij het besturingssysteem met behulp van referenties in de cache
-
Verificatietechnologieën voor externe toegang met behulp van gebruikerscertificaten
-
Versleutelingstechnologieën die zijn gebaseerd op gebruikerscertificaten zoals Secure MIME (SMIME), IRM-technologieën (Information Rights Management) en de functie Encrypting File System (EFS) van NTFS
-
Smartcardfunctionaliteit
We raden u ten zeerste aan om één gebruikersaccount te gebruiken om meer inzicht te krijgen in de invloed van het bijwerken van de UPN op gebruikerstoegang. De informatie is handig om vooruit te plannen of de heruitgifte van certificaten te verminderen, gegevensherstel en andere herstelbewerkingen die nodig zijn om de toegankelijkheid van gegevens te behouden met behulp van deze technologieën.
U moet de UPN van het gebruikersaccount bijwerken om het achtervoegsel van het federatieve domein weer te geven, zowel in de on-premises Active Directory-omgeving als in Azure AD. Ga hiervoor als volgt te werk:
-
Zorg ervoor dat het federatieve domein is toegevoegd als een UPN-achtervoegsel:
-
Klik op de on-premises Active Directory domeincontroller op Start, wijs Alle programma's aan, klik op Systeembeheer en klik vervolgens op Active Directory-domeinen en vertrouwensrelaties.
-
Klik met de rechtermuisknop op het hoofdknooppunt van Active Directory-domeinen en -vertrouwensrelaties, selecteer Eigenschappen en controleer of de domeinnaam die wordt gebruikt voor eenmalige aanmelding aanwezig is.
Opmerking Een niet-routeerbaar domeinachtervoegsel, zoals domain.internal of het domain.microsoftonline.com domein, kan niet profiteren van SSO-functionaliteit of federatieve services. In deze stap mag geen niet-routeerbaar domeinachtervoegsel worden gebruikt.
-
-
Werk het UPN-achtervoegsel van het probleemgebruikersaccount handmatig bij:
-
Klik op de on-premises Active Directory domeincontroller op Start, wijs Alle programma's aan, klik op Systeembeheer en klik vervolgens op Active Directory: gebruikers en computers.
-
Zoek het gebruikersaccount van het probleem, klik met de rechtermuisknop op het account en klik vervolgens op Eigenschappen.
-
Gebruik op het tabblad Account de vervolgkeuzelijst in de linkerbovenhoek om het UPN-achtervoegsel te wijzigen in het aangepaste domein en klik vervolgens op OK.
-
Methode 3: Zorg ervoor dat de gebruikers-id en het primaire SMTP-adres (Simple Mail Transfer Protocol) van het Exchange Online postvak hetzelfde domein hebben
Gebruik on-premises Exchange-beheerhulpprogramma's om het primaire SMTP-adres van de on-premises gebruiker in te stellen op hetzelfde domein van het UPN-kenmerk dat wordt beschreven in methode 2. Ga voor meer informatie naar de volgende Microsoft TechNet-websites:
Een e-mailadresbeleid
bewerken Eigenschappen van gebruikers- en resourcepostvak configureren Als Exchange niet is geïnstalleerd in de on-premises omgeving, kunt u de waarde van het SMTP-adres beheren met behulp van Active Directory: gebruikers en computers. Ga hiervoor als volgt te werk:
-
Klik in Active Directory: gebruikers en computers met de rechtermuisknop op het gebruikersobject en klik vervolgens op Eigenschappen.
-
Werk op het tabblad Algemeen het veld E-mail bij en klik vervolgens op OK.
Methode 4: Active Directory-synchronisatie instellen voor de UPN van het gebruikersaccount
Als u eenmalige aanmelding correct wilt laten werken, moet u de Active Directory-synchronisatieclient instellen. Ga naar de volgende Microsoft-website voor meer informatie over het instellen van Active Directory-synchronisatie:
Active Directory-synchronisatie: roadmapGa naar de volgende Microsoft-websites voor meer informatie over het forceren en verifiëren van synchronisatie:
Methode 5: Problemen met UPN-updates voor een specifiek gebruikersaccount oplossen
Als de synchronisatie kan worden geverifieerd, maar de UPN van een testgebruikers-id nog steeds niet is bijgewerkt, kan het synchronisatieprobleem optreden voor de specifieke gebruiker.
Zie het volgende Microsoft Knowledge Base-artikel voor meer informatie over het oplossen van mogelijke problemen met het synchroniseren van een specifiek Active Directory-object:
2643629 Een of meerdere objecten worden niet gesynchroniseerd via het Azure Active Directory Sync-hulpprogramma
Meer hulp nodig? Ga naar de Microsoft-community of de website van Azure Active Directory-forums .
