Problemen bij het instellen van eenmalige aanmelding in Office 365, intune of Azure oplossen

Inleiding

Dit artikel bevat informatie over het oplossen van problemen met eenmalige aanmelding in een Microsoft-cloudservice, zoals Office 365, Microsoft intune of Microsoft Azure. uitgebreide implementatierichtlijnen voor eenmalige aanmelding (SSO) vindt u in de Help-documentatie van Azure Active Directory (Azure AD). Als u een probleem ondervindt bij het instellen van SSO met behulp van deze richtlijnen, kunt u dit artikel raadplegen. Het biedt een routekaart voor hulp bij het oplossen van veelvoorkomende problemen met een instellings stap.

REGELING

De installatie van SSO oplossen

Stap 1: Active Directory voorbereiden

Richtlijnen voor de installatie

Ga naar de volgende Microsoft-website:

Voorbereiding voor eenmalige aanmelding

Validatie voor stap 1

Gebruik de wizard diagnostische gegevens van Directory synchronisatie evalueren om Active Directory te scannen op problemen die problemen met de adreslijstsynchronisatie kunnen veroorzaken.

Problemen oplossen met de validatie voor stap 1

  1. Opmerking Onjuiste voorbereiding van Active Directory of fout bij het oplossen van problemen die kunnen optreden met de functie voor adreslijstsynchronisatie. Volg de instructies voor het oplossen van de problemen die worden aangeboden door de wizard diagnostische gegevens van adreslijstsynchronisatie evalueren om de problemen op te lossen en zorg ervoor dat de wizard diagnostische gegevens wordt uitgevoerd zonder fouten. De volgende problemen kunnen zich later voordoen in de implementatie:

    • 2392130 Problemen met gebruikersnamen oplossen die zich voordoen voor federatieve gebruikers wanneer ze zich aanmelden bij Office 365, Azure of intune

    • 2001616 Het Office 365-e-mailadres van een gebruiker onverwacht bevat een onderstrepingsteken na de adreslijstsynchronisatie

    • 2643629 Een of meerdere objecten worden niet gesynchroniseerd via het Azure Active Directory Sync-hulpprogramma

  2. Voer de wizard diagnostische gegevens opnieuw uit om te controleren of het probleem is opgelost.

Stap 2: architectuur voor Active Directory Federation Services (AD FS)

Richtlijnen voor de installatie Ga naar de volgende Microsoft-websites: Opmerking Microsoft Support helpt klanten niet bij de uitvoering van de instellingsrichtlijnen op deze koppelingen.

Stap 3: Azure Active Directory-module voor Windows PowerShell voor eenmalige aanmelding

Richtlijnen voor de installatie

Ga naar de volgende Microsoft-website:

Windows PowerShell installeren voor eenmalige aanmelding met AD FS

Validatie voor stap 3

Voer de volgende stappen uit om de Azure Active Directory-module voor Windows PowerShell voor SSO te valideren:

  1. Voer de Azure Active Directory-module voor Windows PowerShell uit als beheerder.

  2. Typ de volgende opdrachten en zorg dat u na het typen van elke opdracht op ENTER drukt:

    1. $cred=Get-Credential Opmerking Wanneer u hierom wordt gevraagd, typt u de referenties van de cloudservice beheerder.

    2. Connect-MsolService -Credential $cred 

      Opmerking Met deze opdracht maakt u verbinding met Azure AD. U moet een context maken waarmee u verbinding maakt met Azure AD voordat u een van de extra cmdlets uitvoert die zijn geïnstalleerd met de Azure Active Directory-module voor Windows PowerShell.

    3. Set-MsolAdfscontext -Computer < AD FS 2.0 primary server > 

      Opmerkingen

      • Als u de Azure Active Directory-module voor Windows PowerShell op de primaire server met Active Directory Federation Services (AD FS) hebt geïnstalleerd, hoeft u deze cmdlet niet uit te voeren.

      • Met deze opdracht wordt de tijdelijke aanduiding <primaire server van AD FS 2,0> de interne FQDN (Fully Qualified Domain Name) van de primaire AD FS-server aangegeven. Met deze opdracht maakt u een context waarmee u verbinding maakt met AD FS.

    4. Get-MSOLFederationProperty -DomainName < federated domain name > 

      Opmerking In deze opdracht is de tijdelijke aanduiding <federatieve domeinnaam> de domeinnaam die in de instellingsstappen is federatief.

  3. Vergelijk de eerste helft (Bron: AD FS-server) en de laatste helft (Bron: microsoft Office 365) van de uitvoer van de opdracht Get-MSOLFederationProperty die u in stap 2d hebt uitgevoerd. Alle items met uitzondering van bron -en FederationServiceDisplayName moeten overeenkomen. Als ze niet overeenkomen, gebruikt u de sectie ' oplossing ' van het volgende Microsoft Knowledge Base-artikel voor het bijwerken van de vertrouwensgegevens van de Relying Party:2647020 ' Sorry, maar we hebben problemen met het aanmelden 80043431 80041317 bij Office 365, Azure of intune voor een federatieve gebruiker.

Problemen oplossen met de validatie voor stap 3Volg deze stappen om problemen op te lossen:

  1. Los veelvoorkomende validatieproblemen op met behulp van de volgende Microsoft Knowledge Base-artikelen, afhankelijk van uw situatie:

    • 2461873 U kunt de Azure Active Directory-module voor Windows PowerShell niet openen

    • 2494043U kunt geen verbinding maken met de Azure Active Directory-module voor Windows PowerShell

    • de fout 2587730 ' de verbinding met <servernaam> Active Directory Federation Services 2,0 server mislukt ' wordt weergegeven wanneer u de cmdlet Set-MsolADFSContext gebruikt

    • 2279117 Een beheerder kan geen domein toevoegen aan een Office 365-account

    • Fout wanneer u de New-MsolFederatedDomain -cmdlet voor het tweede keer uitvoert omdat de domeinverificatie mislukt. Zie het volgende Knowledge Base-artikel voor meer informatie over dit scenario:

      2515404 Problemen met domeinverificatie oplossen in Office 365

    • de Federation service-id van 2618887 die is opgegeven op de AD FS 2,0-server wordt al gebruikt. fout wanneer u probeert een ander federatief domein in te stellen in Office 365, Azure of intune

    • Problemen met de nieuwe-MSOLFederatedDomain- cmdlet of de Convert-MSOLDomainToFederated- cmdlet kunnen problemen veroorzaken. Zie het volgende Knowledge Base-artikel voor meer informatie over dit scenario:

      2578667 ' Sorry, maar er zijn problemen met het aanmelden bij ' en ' 80045C06-fout wanneer een federatieve gebruiker zich probeert aan te melden bij Office 365, Azure of intune

  2. Voer de validatie stappen opnieuw uit om te controleren of het probleem is opgelost.

Stap 4: Active Directory-synchronisatie implementeren

Richtlijnen voor de installatie

Ga naar de volgende Microsoft-websites:

Validatie voor stap 4

Voer de volgende stappen uit om te valideren:

  1. Voer de Azure Active Directory-module voor Windows PowerShell uit als beheerder.

  2. Typ de volgende opdrachten. Vergeet niet om na elke opdracht op Enter te drukken.

    1. $cred=Get-Credential Opmerking Wanneer u hierom wordt gevraagd, typt u de referenties van de cloudservice beheerder.

    2. Connect-MsolService -Credential $cred Opmerking Met deze opdracht maakt u verbinding met Azure AD. U moet een context maken waarmee u verbinding maakt met Azure AD voordat u een van de extra cmdlets uitvoert die zijn geïnstalleerd met de Azure Active Directory-module voor Windows PowerShell.

    3. Get-MSOLCompanyInformation

  3. Controleer de LastDirSync-tijd waarde in de uitvoer van de vorige opdrachten en zorg ervoor dat deze een synchronisatie bevat nadat Azure Active Directory-synchronisatie tool is geïnstalleerd.Opmerking De datum-en tijdstempel voor deze waarde wordt weergegeven in Coordinated Universal Time (Greenwich Mean Time).

  4. Als LastDirSyncTime niet is bijgewerkt, controleert u het toepassingslogboek van de server waarop het Azure Active Directory-synchronisatieprogramma wordt geïnstalleerd voor de volgende gebeurtenis:

    • Bron: adreslijstsynchronisatie

    • Gebeurtenis-id: 4

    • Niveau: informatie

    Deze gebeurtenis geeft aan dat adreslijstsynchronisatie is voltooid op de server. Voer de volgende stappen uit om er zeker van te zijn dat de waarde van LastDirSyncTime op de juiste manier is bijgewerkt.

Problemen oplossen met de validatie voor stap 4Los veelvoorkomende validatieproblemen op met behulp van de volgende Microsoft Knowledge Base-artikelen, afhankelijk van uw situatie:

  • 2386445  Fout bij het uitvoeren van het hulpprogramma Azure Active Directory-synchronisatie: ' uw versie van de wizard synchronisatie van Windows Azure Active Directory synchroniseren is verouderd '

  • 2310320 Fout wanneer u de wizard Configuratie van Azure Active Directory-synchronisatie probeert uit te voeren: ' uw referenties konden niet worden geverifieerd. Typ uw referenties opnieuw en probeer het opnieuw.

  • 2508225 "LogonUser () mislukt met foutcode: 1789" nadat u de referenties voor de Enterprise-beheerder hebt ingevoerd in de wizard Configuratie van Azure Active Directory-synchronisatie tool

  • 2502710 "er is een onbekende fout opgetreden met de Microsoft Online Services-aanmeldhulp" wanneer u de wizard Configuratie van Azure Active Directory-synchronisatie uitvoert

  • 2419250 "de computer moet lid zijn van een domein" wanneer u probeert het Azure Active Directory-synchronisatieprogramma te installeren

  • 2643629 Een of meerdere objecten worden niet gesynchroniseerd via het Azure Active Directory Sync-hulpprogramma

  • 2641663 De werking van SMTP-overeenkomsten met lokale lokale gebruikersaccounts aan Office 365-gebruikersaccounts voor adreslijstsynchronisatie

  • 2492140 U kunt geen federatief domein toewijzen aan een gebruiker in Office 365 Portal

Stap 5: Office 365 client voorbereiding

Richtlijnen voor de installatie
  1. Controleer de vereisten voor de client voor Office 365. Voor meer informatie over de systeemvereisten voor Office 365 gaat u naar systeemvereisten voor office 365.

  2. Voer de bureaublad installatie van Office 365 uit op alle clientcomputers die gebruikmaken van uitgebreide clienttoepassingen. Rijke clienttoepassingen bevatten Microsoft Outlook, Microsoft Lync 2010, Microsoft Office Professional Plus 2010, Azure Active Directory-module voor Windows PowerShell. Office-bureaubladtoepassingen en Microsoft SharePoint-integratietoepassingen. Opmerking De bureaublad installatie van Office 365 is beschikbaar op http://g.microsoftonline.com/0BX10en/436?!Office365DesktopSetup.Application.

  3. Als een naadloze, geen prompt voor het domein is en clientcomputers met een domein verbonden, voegt u de URL van de AD FS-Federatie service toe aan de lokale intranetzone in Windows Internet Explorer. Ga bijvoorbeeld als volgt te werk:

    1. Klik in Internet Explorer in het menu extra op Internet opties.

    2. Klik op het tabblad beveiliging op Lokaal intranet, klik op sitesen klik vervolgens op Geavanceerd.

    3. Typ https://STS.contoso.com in het vak deze website aan de zone toevoegen en klik op toevoegen.Opmerking "sts.contoso.com" vertegenwoordigt de FQDN van de AD FS Federation-service.

    Zie het volgende artikel in Microsoft Knowledge Base voor meer informatie over deze configuratie:

    2535227 Een federatieve gebruiker wordt onverwacht gevraagd de referenties van hun werk-of schoolaccount in te voeren

  4. Als clients met een domein of clients met een domein verbinding toegang hebben tot internetbronnen met behulp van een proxyserver die de internetadressen oplost met behulp van openbare DNS-query's (en niet interne, gesplitste DNS), voegt u de URL van de AD FS-Federatie service toe aan de lijst waarvoor Internet Explorer wordt genegeerd. Hieronder ziet u een voorbeeld van hoe u de URL toevoegt aan de lijst met uitzonderingen van Internet Explorer:

    1. Klik in Internet Explorer in het menu extra op Internet opties.

    2. Ga naar het tabblad verbindingen en klik op LAN-instellingenen klik vervolgens op Geavanceerd.

    3. Typ in het vak uitzonderingen de waarde met behulp van de volledig gekwalificeerde DNS-naam van de naam van het AD FS-service-eindpunt. Voer bijvoorbeeld STS.contoso.comin.

Validatie voor stap 5 Voer de volgende stappen uit om te valideren:

  1. Zorg ervoor dat de service Microsoft Online Services-aanmeldhulp is geïnstalleerd en wordt uitgevoerd. Ga hiervoor als volgt te werk:

    1. Klik op Start, klik op uitvoeren, typ Services. mscen klik vervolgens op OK.

    2. Ga naar de Microsoft Online Services-aanmeldhulp en zorg ervoor dat de service wordt uitgevoerd.

    3. Als de service niet actief is, klikt u met de rechtermuisknop op de vermelding en selecteert u Start.

  2. Ga naar de website van de AD FS-MEX om te controleren of het eindpunt deel uitmaakt van de intranetbeveiligingszone van Internet Explorer. Ga hiervoor als volgt te werk:

    1. Start Internet Explorer en ga naar de website van het AD FS service-eindpunt. Hieronder ziet u een voorbeeld van een site van een service-eindpunt:

      https://sts.contoso.com/federationmetadata/2007-06/federationmetadata.xml

    2. Kijk op de statusbalk onder aan het venster of de beveiligingszone die voor deze URL wordt aangegeven, Lokaal intranetis.

Stap 6: laatste validatie

Op een geconfigureerde clientcomputer, test u de verwachte SSO-authenticatie. Verificatie via een federatief gebruikersaccount. U kunt als volgt de authenticatie van een federatieve gebruiker testen in de volgende scenario's:

  • In het on-premises netwerk en geverifieerd voor de on-premises Active Directory

  • Vanaf een IP-adres op internet en niet geverifieerd in de lokale Active Directory

Voer de volgende stappen uit om te valideren:

  1. Test webverificatie. Gebruik een van de volgende methoden om dit te doen:

    • Meld u aan bij de cloudservice portal als federatieve gebruiker door lokale Active Directory-referenties te gebruiken.

    • Meld u aan bij Outlook Web app als een federatieve gebruiker (via lokale Active Directory-referenties) met een Exchange Online-postvak. Meld u bijvoorbeeld aan bij Outlook Web app op de volgende URL:

      https://outlook.com/owa/contoso.comOpmerking In deze URL vertegenwoordigt ' contoso.com ' de naam van een federatief domein.

    • Meld u bij Microsoft SharePoint Online als een federatieve gebruiker aan (via lokale Active Directory-referenties) die toegang hebben tot de team site verzameling. Meld u bijvoorbeeld aan bij SharePoint Online via de volgende URL:

      http://contoso.sharepoint.comOpmerking In deze URL vertegenwoordigt "Contoso" de naam van uw organisatie.

  2. Uitgebreide verificatie van de client of Active mailleverancieraanvraag testen. Ga hiervoor als volgt te werk:

    1. Configureer een client Profiel van Skype voor bedrijven online (voorheen Lync online) voor een federatief gebruikersaccount en meld u vervolgens aan bij het account met behulp van lokale Active Directory-referenties.

    2. Meld u aan bij Azure Active Directory-module voor Windows PowerShell met behulp van een federatief gebruikersaccount met globale beheerdersreferenties via de cmdlet Connect-MSOLService .

  3. Test Exchange Online Basic Authentication met Microsoft Remote Connectivity Analyzer. Zie het volgende artikel in Microsoft Knowledge Base voor meer informatie over het gebruik van Remote Connectivity Analyzer:

    2650717  Externe verbindingsanalyse gebruiken om problemen met eenmalige aanmelding voor Office 365, Azure of intune op te lossen

Meer hulp nodig? Ga naar de Microsoft-Community of de Azure Active Directory -website forums.

Meer hulp nodig?

Uw vaardigheden uitbreiden
Training verkennen
Als eerste nieuwe functies krijgen
Deelnemen aan Microsoft insiders

Was deze informatie nuttig?

Hoe tevreden bent u met de vertaalkwaliteit?

Wat heeft uw ervaring beïnvloed?

Hebt u aanvullende feedback? (Optioneel)

Bedankt voor uw feedback.

×