Applies ToIdentity Management Cloud Services (Web roles/Worker roles) Azure Active Directory Microsoft Intune Azure Backup

PROBLEM

Nowo federacyjny użytkownik nie może zalogować się do usługi firmy Microsoft w chmurze, takiej jak Office 365, Microsoft Azure lub Microsoft Intune. Użytkownik doświadcza jednego z następujących objawów:

  • Po wprowadzeniu identyfikatora użytkownika na stronie internetowej login.microsoftonline.com identyfikator użytkownika nie może zostać zidentyfikowany jako użytkownik federacyjny przez odnajdowanie obszaru głównego, a użytkownik nie jest automatycznie przekierowywany w celu zalogowania się za pomocą logowania jednokrotnego.

  • Uwierzytelnianie do Active Directory Federation Services (AD FS) kończy się niepowodzeniem, a użytkownik otrzymuje następujący komunikat o błędzie uwierzytelniania opartego na formularzach:

    Nazwa użytkownika lub hasło są niepoprawne

    tekst alternatywny
  • Na stronie internetowej login.microsoftonline.com użytkownik otrzymuje następujący komunikat o błędzie:

    Niestety, ale mamy problem z wylogowaniem Cię

PRZYCZYNA

Te objawy mogą wystąpić z powodu źle pilotażowego identyfikatora użytkownika z włączoną funkcją logowania SSO. Ogólne wymagania dotyczące pilotażu identyfikatora użytkownika z włączoną funkcją logowania SSO są następujące:

  • Lokalna usługa Active Directory konto użytkownika powinno używać federacyjnych nazw domen jako sufiksu głównej nazwy użytkownika (UPN).

  • Identyfikator użytkownika i podstawowy adres e-mail skojarzonej Microsoft Exchange Online skrzynki pocztowej nie współużytkują tego samego sufiksu domeny.

  • Narzędzie do synchronizacji usługi Azure Active Directory musi zsynchronizować lokalna usługa Active Directory konto użytkownika z identyfikatorem użytkownika opartym na chmurze.

  • Główna nazwa użytkownika lokalna usługa Active Directory konta użytkownika i identyfikator użytkownika w chmurze muszą być zgodne.

Zanim założysz, że przyczyną tego problemu jest nieprawidłowo pilotowany identyfikator użytkownika z włączoną funkcją logowania SSO, upewnij się, że są spełnione następujące warunki:

  • U użytkownika nie występuje typowy problem z logowaniem. Aby uzyskać więcej informacji na temat rozwiązywania typowych problemów z logowaniem, zobacz następujący artykuł z bazy wiedzy Microsoft Knowledge Base:

    2412085 Nie możesz zalogować się do konta organizacji, takiego jak Office 365, Azure lub Intune

  • Domena federatyjna jest prawidłowo przygotowana do obsługi funkcji SSO w następujący sposób:

ROZWIĄZANIE

Aby rozwiązać ten problem, upewnij się, że konto użytkownika jest poprawnie pilotowane jako identyfikator użytkownika z włączoną funkcją logowania SSO. Aby to zrobić, użyj co najmniej jednej z następujących metod:

Metoda 1. Zobacz artykuł z bazy wiedzy Knowledge Base 2615736, czy użytkownicy otrzymują błąd "Niestety, ale występują problemy z zalogowaniem Cię"

Jeśli użytkownik otrzymuje komunikat o błędzie "Niestety, ale mamy problemy z zalogowaniem Cię", użyj następującego artykułu z bazy wiedzy Microsoft Knowledge Base, aby rozwiązać ten problem:

2615736 błąd "Niestety, ale występują problemy z zalogowaniem Cię", gdy użytkownik próbuje zalogować się do Office 365, azure lub Intune

Metoda 2. Aktualizowanie głównej nazwy użytkownika lokalnego konta użytkownika w celu używania domeny federacyjnych jako sufiksu

Ostrzeżenie Zmiana głównej nazwy użytkownika konta użytkownika usługi Active Directory może mieć znaczący wpływ na funkcjonalność lokalna usługa Active Directory użytkownika. Zalecamy zachowanie ostrożności i rozwagi dotyczącej zmian w głównej sieci telefonicznej.Efekt może dotyczyć następujących elementów:

  • Zdalny dostęp do zasobów lokalnych przez użytkowników korzystających z roamingu, którzy logują się do systemu operacyjnego przy użyciu poświadczeń buforowanych

  • Technologie uwierzytelniania dostępu zdalnego przy użyciu certyfikatów użytkowników

  • Technologie szyfrowania oparte na certyfikatach użytkowników, takie jak technologie secure MIME (SMIME), zarządzanie prawami do informacji (IRM) i funkcja szyfrowania systemu plików (EFS) systemu PLIKÓW NTFS

  • Funkcjonalność karty inteligentnej

Zdecydowanie zalecamy wdrożenie pilotażowe pojedynczego konta użytkownika w celu lepszego zrozumienia wpływu aktualizacji głównej nazwy użytkownika na dostęp użytkowników. Informacje te są przydatne do planowania z wyprzedzeniem lub zmniejszania ponownego wydawania certyfikatów, odzyskiwania danych i wszelkich innych działań naprawczych wymaganych do utrzymania ułatwień dostępu do danych przy użyciu tych technologii.Aby odzwierciedlić sufiks domeny federacyjnych zarówno w środowisku lokalna usługa Active Directory, jak i w Azure AD, musisz zaktualizować nazwę głównej konta użytkownika. W tym celu wykonaj następujące czynności:

  1. Upewnij się, że domena federana została dodana jako sufiks głównej nazwy użytkownika:

    1. Na lokalna usługa Active Directory kontrolerze domeny kliknij przycisk Start, wskaż pozycję Wszystkie programy, kliknij pozycję Narzędzia administracyjne, a następnie kliknij pozycję Domeny i relacje zaufania usługi Active Directory.

    2. Kliknij prawym przyciskiem myszy węzeł główny domen i relacji zaufania usługi Active Directory, wybierz pozycję Właściwości, a następnie upewnij się, że jest obecna nazwa domeny używana dla logowania logowania SSO.

    Uwaga Sufiks domeny nierutowalnego, taki jak domena.wewnętrzny lub domena domain.microsoftonline.com, nie może korzystać z funkcji logowania SSO ani usług federacyjnych. Sufiks domeny nie podlega routingowi nie może być używany w tym kroku.

  2. Ręcznie zaktualizuj sufiks głównej nazwy użytkownika konta użytkownika:

    1. Na lokalna usługa Active Directory kontrolerze domeny kliknij przycisk Start, wskaż pozycję Wszystkie programy, kliknij pozycję Narzędzia administracyjne, a następnie kliknij pozycję Użytkownicy i komputery usługi Active Directory.

    2. Znajdź problemowe konto użytkownika, kliknij je prawym przyciskiem myszy, a następnie kliknij polecenie Właściwości.

    3. Na karcie Konto użyj listy rozwijanej w lewym górnym rogu, aby zmienić sufiks głównej nazwy użytkownika na domenę niestandardową, a następnie kliknij przycisk OK.

Metoda 3. Upewnij się, że identyfikator użytkownika i podstawowy adres SMTP (Simple Mail Transfer Protocol) skrzynki pocztowej Exchange Online mają tę samą domenę

Użyj lokalnych narzędzi do zarządzania serwerem Exchange, aby ustawić podstawowy adres SMTP użytkownika lokalnego na tę samą domenę atrybutu UPN, co opisano w metodzie 2. Aby uzyskać więcej informacji, przejdź do następujących witryn internetowych microsoft technet:

Edytowanie zasad adresu e-mail Konfigurowanie właściwości skrzynek pocztowych użytkowników i zasobów Jeśli program Exchange nie jest zainstalowany w środowisku lokalnym, możesz zarządzać wartością adresu SMTP przy użyciu Użytkownicy i komputery usługi Active Directory. W tym celu wykonaj następujące czynności:

  1. W Użytkownicy i komputery usługi Active Directory kliknij prawym przyciskiem myszy obiekt użytkownika, a następnie kliknij polecenie Właściwości.

  2. Na karcie Ogólne zaktualizuj pole Poczta e-mail , a następnie kliknij przycisk OK.

Metoda 4. Konfigurowanie synchronizacji usługi Active Directory dla głównej nazwy użytkownika konta użytkownika

Aby funkcja SSO działała poprawnie, musisz skonfigurować klienta synchronizacji usługi Active Directory. Aby uzyskać więcej informacji na temat konfigurowania synchronizacji z usługą Active Directory, przejdź do następującej witryny internetowej firmy Microsoft:

Synchronizacja z usługą Active Directory: planAby uzyskać więcej informacji na temat wymuszania i weryfikowania synchronizacji, przejdź do następujących witryn internetowych firmy Microsoft:

Metoda 5. Rozwiązywanie problemów z aktualizacją głównej nazwy użytkownika dla określonego konta użytkownika

Jeśli synchronizację można zweryfikować, ale główna nazwa użytkownika z identyfikatorem użytkownika pilotażowego nadal nie jest aktualizowana, problem z synchronizacją może wystąpić dla określonego użytkownika.Aby uzyskać więcej informacji na temat rozwiązywania potencjalnych problemów z synchronizacją określonego obiektu usługi Active Directory, zobacz następujący artykuł z bazy wiedzy Microsoft Knowledge Base:

2643629 Co najmniej jeden obiekt nie jest synchronizowany podczas korzystania z narzędzia do synchronizacji usługi Azure Active Directory

Nadal potrzebujesz pomocy? Przejdź do witryny Microsoft Community lub witryny internetowej forów usługi Azure Active Directory .

Potrzebujesz dalszej pomocy?

Chcesz uzyskać więcej opcji?

Poznaj korzyści z subskrypcji, przeglądaj kursy szkoleniowe, dowiedz się, jak zabezpieczyć urządzenie i nie tylko.

Społeczności pomagają zadawać i odpowiadać na pytania, przekazywać opinie i słuchać ekspertów z bogatą wiedzą.