Entrar com a conta da Microsoft
Entrar ou criar uma conta.
Olá,
Selecionar uma conta diferente.
Você tem várias contas
Escolha a conta com a qual você deseja entrar.

INTRODUÇÃO

Este artigo discute como solucionar problemas de configuração de logon único em um serviço de nuvem da Microsoft, como Office 365, Microsoft Intune ou Microsoft Azure.

As diretrizes de implementação detalhadas do SSO (logon único) estão disponíveis na documentação de ajuda do Azure Active Directory (Azure AD). Se você encontrar um problema ao configurar o SSO usando essa diretriz, você poderá consultar este artigo. Ele fornece um roteiro para ajudar a solucionar problemas comuns em cada etapa de configuração.

PROCEDIMENTO

Como solucionar problemas de configuração do SSO

Etapa 1: Preparar o Active Directory

Diretrizes de instalação

Acesse o seguinte site da Microsoft:

Preparar-se para o logon único

Validação para a etapa 1

Use o assistente de diagnóstico de configuração de sincronização de diretório para examinar o Active Directory em busca de problemas que possam causar problemas de sincronização de diretório.

Solucionar problemas com validação para a etapa 1

  1. Observação A preparação incorreta do Active Directory ou a falha em resolver problemas que a ferramenta identifica podem resultar em problemas de sincronização de diretório. Siga as diretrizes de solução de problemas oferecidas pelo assistente de diagnóstico de configuração de sincronização de diretório de avaliação para corrigir os problemas e verifique se o assistente de diagnóstico é executado sem erros. Isso impede que os seguintes problemas ocorram posteriormente na implementação:

    • 2392130 Solucionar problemas de nome de usuário que ocorrem para usuários federados ao entrar em Office 365, Azure ou Intune

    • 2001616 O endereço de email Office 365 de um usuário contém inesperadamente um caractere sublinhado após a sincronização do diretório

    • 2643629 Um ou mais objetos não são sincronizados ao usar a ferramenta Azure Active Directory Sync

  2. Execute novamente o assistente de diagnóstico para verificar se o problema está resolvido.

Etapa 2: arquitetura Serviços de Federação do Active Directory (AD FS) (AD FS)

Diretrizes de instalação

Acesse os seguintes sites da Microsoft:

Observe Suporte da Microsoft não ajudará os clientes com a execução das diretrizes de configuração nesses links.

Etapa 3: Módulo do Azure Active Directory para Windows PowerShell para SSO

Diretrizes de instalação

Acesse o seguinte site da Microsoft:

Instalar Windows PowerShell para logon único com o AD FS

Validação para a etapa 3

Para validar o Módulo do Azure Active Directory para Windows PowerShell para SSO, siga estas etapas:

  1. Execute o Módulo do Azure Active Directory para Windows PowerShell como administrador.

  2. Digite os seguintes comandos e pressione Enter depois de digitar cada comando:

    1. $cred=Get-Credential
      Observação Quando você for solicitado, digite suas credenciais de administrador do serviço de nuvem.

    2. Connect-MsolService -Credential $cred


      Observação Este comando conecta você a Azure AD. Você deve criar um contexto que o conecte a Azure AD antes de executar qualquer um dos cmdlets adicionais instalados pelo Módulo do Azure Active Directory para Windows PowerShell.

    3. Set-MsolAdfscontext -Computer < AD FS 2.0 primary server >



      Notas

      • Se você instalou o Módulo do Azure Active Directory para Windows PowerShell no servidor do AD FS (Serviços de Federação do Active Directory (AD FS) primário), não precisará executar esse cmdlet.

      • Neste comando, o espaço reservado <servidor primário do AD FS 2.0> representa o FQDN (nome de domínio totalmente qualificado) interno do servidor AD FS primário. Esse comando cria um contexto que conecta você ao AD FS.

    4. Get-MSOLFederationProperty -DomainName < federated domain name >


      Observação Neste comando, o espaço reservado <nome de domínio federado> representa o nome de domínio que foi federado nas etapas de configuração.

  3. Compare a primeira metade (Fonte: AD FS Server) e a última metade (Fonte: Microsoft Office 365) da saída do comando Get-MSOLFederationProperty que você executou na etapa 2D. Todas as entradas, exceto o Source e FederationServiceDisplayName, devem corresponder. Se eles não corresponderem, use a seção "Resolução" do seguinte artigo da Microsoft Knowledge Base para atualizar os dados de confiança da parte confiável:

    2647020 "Desculpe, mas estamos tendo problemas para entrar" e erro "80041317" ou "80043431" quando um usuário federado tenta entrar em Office 365, Azure ou Intune

Solucionar problemas com validação para a etapa 3

Para solucionar problemas, siga estas etapas:

  1. Solucionar problemas comuns de validação usando os seguintes artigos da Base de Dados de Conhecimento da Microsoft, conforme apropriado para sua situação:

    • 2461873 Não é possível abrir o Módulo do Azure Active Directory para Windows PowerShell

    • 2494043Você não pode se conectar usando o Módulo do Azure Active Directory para Windows PowerShell

    • 2587730 erro "Falha na conexão com <servidor serverName> Serviços de Federação do Active Directory (AD FS) 2.0" ao usar o cmdlet Set-MsolADFSContext

    • 2279117 Um administrador não pode adicionar um domínio a uma conta de Office 365

    • Erro ao executar o cmdlet New-MsolFederatedDomain pela segunda vez porque a verificação de domínio falha. Para obter mais informações sobre esse cenário, consulte o seguinte artigo da Base de Dados de Conhecimento:

      2515404 Solucionar problemas de verificação de domínio no Office 365

    • 2618887 erro "O identificador de serviço de federação especificado no servidor AD FS 2.0 já está em uso". Erro ao tentar configurar outro domínio federado em Office 365, Azure ou Intune

    • Problemas de tempo causam problemas com o cmdlet New-MSOLFederatedDomain ou o cmdlet Convert-MSOLDomainToFederated.

  2. Execute novamente as etapas de validação para verificar se o problema está resolvido.

Etapa 4: implementar a sincronização do Active Directory

Diretrizes de instalação

Acesse os seguintes sites da Microsoft:

Validação para a etapa 4

Para validar, siga estas etapas:

  1. Execute o Módulo do Azure Active Directory para Windows PowerShell como administrador.

  2. Digite os seguintes comandos. Certifique-se de pressionar Enter depois de digitar cada comando.

    1. $cred=Get-Credential

      Observação Quando você for solicitado, digite suas credenciais de administrador do serviço de nuvem.

    2. Connect-MsolService -$cred

      de credencial Observação Este comando conecta você a Azure AD. Você deve criar um contexto que o conecte a Azure AD antes de executar qualquer um dos cmdlets adicionais instalados pelo Módulo do Azure Active Directory para Windows PowerShell.

    3. Get-MSOLCompanyInformation

  3. Verifique o valor LastDirSyncTime da saída dos comandos anteriores e verifique se ele mostra uma sincronização depois que a Ferramenta de Sincronização do Azure Active Directory foi instalada.

    Observação O carimbo de data e hora para esse valor é exibido em Tempo Universal Coordenado (Horário médio de Greenwich).

  4. Se LastDirSyncTime não for atualizado, monitore o log de aplicativos do servidor no qual a Ferramenta de Sincronização do Azure Active Directory está instalada para o seguinte evento:

    • Fonte: Sincronização de Diretórios

    • ID do evento: 4

    • Nível: Informações

    Esse evento indica que a sincronização de diretório foi concluída no servidor. Quando isso acontecer, execute novamente essas etapas para garantir que o valor LastDirSyncTime tenha sido atualizado adequadamente.

Solucionar problemas com validação para a etapa 4

Solucionar problemas comuns de validação usando os seguintes artigos da Base de Dados de Conhecimento da Microsoft, conforme apropriado para sua situação:

  • 2508225 "LogonUser() Falha com código de erro: 1789" depois de inserir credenciais de administrador empresarial no Assistente de Configuração da Ferramenta de Sincronização do Azure Active Directory

  • 2502710 erro "Ocorreu um erro desconhecido com o Assistente de Entrada dos Serviços Online da Microsoft" ao executar o Assistente de Configuração de Ferramenta de Sincronização do Azure Active Directory

  • 2419250 erro "O computador deve ser ingressado em um domínio" ao tentar instalar a Ferramenta de Sincronização do Azure Active Directory

  • 2643629 Um ou mais objetos não são sincronizados ao usar a ferramenta Azure Active Directory Sync

  • 2641663 Como usar a correspondência SMTP para corresponder contas de usuário locais a Office 365 contas de usuário para Sincronização de Diretório

  • 2492140 Você não pode atribuir um domínio federado a um usuário no portal Office 365

Etapa 5: Office 365 preparação do cliente

Diretrizes de instalação

  1. Verifique os pré-requisitos do cliente para obter Office 365. Para obter mais informações sobre os requisitos do sistema para Office 365, acesse Office 365 requisitos do sistema.

  2. Execute Office 365 Configuração da Área de Trabalho em todos os computadores cliente que usam aplicativos cliente avançados. Aplicativos cliente avançados incluem Microsoft Outlook, Microsoft Lync 2010, Microsoft Office Professional Plus 2010, Módulo do Azure Active Directory para Windows PowerShell. Aplicativos da área de trabalho do Office e aplicativos de integração do Microsoft SharePoint.

  3. Se uma experiência sem prompt for esperada para computadores cliente conectados ao domínio e conectados ao domínio, adicione a URL do Serviço de Federação do AD FS à zona de intranet local no Windows Internet Explorer. Por exemplo, faça o seguinte:

    1. No Internet Explorer, no menu Ferramentas , clique em Opções de Internet.

    2. Clique na guia Segurança , clique em Intranet local, clique em Sites e clique em Avançado.

    3. Digite https://sts.contoso.com na caixa Adicionar este site à zona e clique em Adicionar.

      Observação "sts.contoso.com" representa o FQDN do Serviço de Federação do AD FS.

    Para obter mais informações sobre essa configuração, consulte o seguinte artigo da Base de Dados de Conhecimento da Microsoft:

    2535227 Um usuário federado é solicitado inesperadamente a inserir suas credenciais de conta corporativa ou escolar

  4. Se computadores cliente conectados ao domínio e conectados ao domínio acessarem recursos da Internet usando um servidor proxy que resolve endereços da Internet usando consultas DNS públicas (e não internas, DNS de cérebro dividido), adicione a URL do Serviço de Federação do AD FS à lista para a qual o Internet Explorer ignorará a filtragem de proxy. Veja a seguir um exemplo de como adicionar a URL à lista de exceções do Internet Explorer:

    1. No Internet Explorer, no menu Ferramentas , clique em Opções de Internet.

    2. Na guia Conexões , clique em Configurações de LAN e clique em Avançado.

    3. Na caixa Exceções, insira o valor usando o nome DNS totalmente qualificado do nome do ponto de extremidade do serviço do AD FS. Por exemplo, insira sts.contoso.com.

Validação para a etapa 5

Para validar, siga estas etapas:

  1. Verifique se o serviço assistente de entrada do Microsoft Online Services está instalado e em execução. Para fazer isso, siga estas etapas:

    1. Clique em Iniciar, clique em Executar, digite Services.msc e clique em OK.

    2. Localize a entrada do Assistente de Entrada do Microsoft Online Services e verifique se o serviço está em execução.

    3. Se o serviço não estiver em execução, clique com o botão direito do mouse na entrada e selecione Iniciar.

  2. Acesse o site do AD FS MEX para verificar se o ponto de extremidade faz parte da zona de segurança de intranet do Internet Explorer. Para fazer isso, siga estas etapas:

    1. Inicie o Internet Explorer e vá para o site do ponto de extremidade do serviço do AD FS. A seguir está um exemplo de um site de ponto de extremidade de serviço:

      https://sts.contoso.com/federationmetadata/2007-06/federationmetadata.xml

    2. Verifique a barra de status na parte inferior da janela para verificar se a zona de segurança indicada para essa URL é a intranet local.

Etapa 6: Validação final

Em um computador cliente configurado, teste a experiência de autenticação de SSO esperada. Para fazer isso, autentique-se usando uma conta de usuário federada. Talvez você queira testar a autenticação de um usuário federado nos seguintes cenários:

  • Na rede local e autenticado no Active Directory local

  • De um local IP neutro da Internet e não autenticado para o Active Directory local

Para validar, siga estas etapas:

  1. Testar a autenticação da Web. Para fazer isso, utilize um dos métodos seguintes:

    • Entre no portal do serviço de nuvem como um usuário federado usando credenciais locais do Active Directory.

    • Entre em Outlook Web App como um usuário federado (usando credenciais locais do Active Directory) que tem uma caixa de correio Exchange Online. Por exemplo, entre no Outlook Web App na seguinte URL:

      https://outlook.com/owa/contoso.comNote Nesta URL, "contoso.com" representa o nome de domínio federado.

    • Entre no Microsoft Office SharePoint Online como um usuário federado (usando credenciais locais do Active Directory) que tenha acesso à coleção Site da Equipe. Por exemplo, entre no SharePoint Online na seguinte URL:

      http://contoso.sharepoint.comNote Nesta URL, "contoso" representa o nome da sua organização.

  2. Teste a autenticação avançada do cliente ou do solicitante ativo. Para fazer isso, siga estas etapas:

    1. Configure um perfil de cliente Skype for Business Online (antigo Lync Online) para uma conta de usuário federada e entre na conta usando credenciais locais do Active Directory.

    2. Entre no Módulo do Azure Active Directory para Windows PowerShell usando uma conta de usuário federada que tenha credenciais de administrador global por meio do cmdlet connect-MSOLService.

  3. Teste Exchange Online autenticação básica usando o Analisador de Conectividade Remota da Microsoft. Para obter mais informações sobre como usar o Analisador de Conectividade Remota, confira o seguinte artigo na Base de Dados de Conhecimento da Microsoft:

    2650717  Como usar o Analisador de Conectividade Remota para solucionar problemas de logon único para Office 365, Azure ou Intune

Ainda precisa de ajuda? Acesse o Microsoft Community ou o site do Azure Active Directory Forums .

Facebook LinkedIn Email
ASSINAR RSS FEEDS

Precisa de mais ajuda?

Quer mais opções

Descobrir Comunidade

Explore os benefícios da assinatura, procure cursos de treinamento, saiba como proteger seu dispositivo e muito mais.

Benefícios da assinatura do Microsoft 365

Treinamento do Microsoft 365

Segurança da Microsoft

Centro de acessibilidade

As comunidades ajudam você a fazer e responder perguntas, fazer comentários e ouvir especialistas com conhecimento avançado.

Perguntar à comunidade da Microsoft

Microsoft Tech Community

Windows Insiders

Insiders do Microsoft 365

Essas informações foram úteis?

Qual é o seu grau de satisfação com a qualidade do idioma?
O que afetou sua experiência?
Ao pressionar enviar, seus comentários serão usados para aprimorar os produtos e serviços da Microsoft. Seu administrador de TI poderá coletar esses dados. Política de Privacidade.

Agradecemos seus comentários!

×