INTRODUÇÃO
Este artigo aborda como resolver problemas de configuração do início de sessão único num serviço cloud da Microsoft, como Office 365, Microsoft Intune ou Microsoft Azure.
Estão disponíveis orientações de implementação detalhadas para o início de sessão único (SSO) na documentação de Ajuda do Azure Active Directory (Azure AD). Se encontrar um problema ao configurar o SSO com essa documentação de orientação, pode ver este artigo. Fornece um mapa de objetivos para ajudar a resolver problemas comuns em cada passo de configuração.PROCEDIMENTO
Como resolver problemas de configuração do SSO
Passo 1: Preparar o Active Directory
Documentação de orientação de configuração
Aceda ao seguinte site da Microsoft:
Validação para o passo 1
Utilize o assistente avaliar diagnósticos de configuração da sincronização de diretórios para analisar o Active Directory quanto a problemas que possam causar problemas de sincronização de diretórios.
Resolver problemas com a validação do passo 1
-
Nota Preparação incorreta do Active Directory ou falha na resolução de problemas que a ferramenta identifica pode resultar em problemas de sincronização de diretórios. Siga a documentação de orientação de resolução de problemas disponibilizada pelo assistente avaliar diagnósticos de configuração da sincronização de diretórios para corrigir os problemas e certifique-se de que o assistente de diagnósticos é executado sem erros. Isto impede que os seguintes problemas ocorram mais tarde na implementação:
-
2392130 Resolver problemas de nome de utilizador que ocorrem para utilizadores federados quando iniciam sessão no Office 365, no Azure ou no Intune
-
2001616 O endereço de e-mail Office 365 de um utilizador contém inesperadamente um caráter de sublinhado após a sincronização de diretórios
-
2643629 Um ou mais objetos não são sincronizados ao utilizar a ferramenta de Sincronização do Azure Active Directory
-
-
Execute novamente o assistente de diagnósticos para verificar se o problema foi resolvido.
Passo 2: arquitetura do Serviços de Federação do Active Directory (AD FS) (AD FS)
Documentação de orientação de configuração
Aceda aos seguintes sites da Microsoft: Tenha em atenção Suporte da Microsoft não ajudará os clientes com a execução da documentação de orientação de configuração nestas ligações.Passo 3: Módulo do Azure Active Directory para Windows PowerShell para SSO
Documentação de orientação de configuração
Aceda ao seguinte site da Microsoft:
Instalar Windows PowerShell para início de sessão único com o AD FS
Validação para o passo 3
Para validar o Módulo do Azure Active Directory para Windows PowerShell para SSO, siga estes passos:
-
Execute o Módulo do Azure Active Directory para Windows PowerShell como administrador.
-
Escreva os seguintes comandos e certifique-se de que prime Enter depois de escrever cada comando:
-
$cred=Get-Credential
Nota Quando lhe for pedido, escreva as suas credenciais de administrador do serviço cloud. -
Connect-MsolService -Credential $cred
-
Set-MsolAdfscontext -Computer < AD FS 2.0 primary server >
-
Se instalou o Módulo do Azure Active Directory para Windows PowerShell no servidor de Serviços de Federação do Active Directory (AD FS) primário (AD FS), não tem de executar este cmdlet.
-
Neste comando, o marcador de posição <servidor primário do AD FS 2.0> representa o nome de domínio completamente qualificado interno (FQDN) do servidor primário do AD FS. Este comando cria um contexto que o liga ao AD FS.
-
-
Get-MSOLFederationProperty -DomainName < federated domain name >
-
-
Compare a primeira metade (Origem: Servidor AD FS) e a última metade (Origem: Microsoft Office 365) da saída do comando Get-MSOLFederationProperty que executou no passo 2D. Todas as entradas, exceto Origem e FederationServiceDisplayName, devem corresponder. Se não corresponderem, utilize a secção "Resolução" do seguinte artigo da Base de Dados de Conhecimento Microsoft para atualizar os dados de confiança da entidade confiadora:2647020 "Pedimos desculpa, mas estamos a ter problemas ao iniciar sessão" e erro "80041317" ou "80043431" quando um utilizador federado tenta iniciar sessão no Office 365, no Azure ou no Intune
Resolver problemas com a validação do passo 3
Para resolver problemas, siga estes passos:-
Resolva problemas comuns de validação com os seguintes artigos da Base de Dados de Conhecimento Microsoft, conforme adequado para a sua situação:
-
2461873 Não pode abrir o Módulo do Azure Active Directory para Windows PowerShell
-
2494043Não é possível ligar através do Módulo do Azure Active Directory para Windows PowerShell
-
2587730 erro "Falha na ligação ao servidor <ServerName> Serviços de Federação do Active Directory (AD FS) 2.0" ao utilizar o cmdlet Set-MsolADFSContext
-
2279117 Um administrador não pode adicionar um domínio a uma conta Office 365
-
Erro ao executar o cmdlet New-MsolFederatedDomain pela segunda vez porque a verificação do domínio falha. Para obter mais informações sobre este cenário, veja o seguinte artigo da Base de Dados de Conhecimento:
2515404 Resolver problemas de verificação de domínio no Office 365
-
2618887 erro "O identificador do serviço de federação especificado no servidor do AD FS 2.0 já está a ser utilizado" quando tenta configurar outro domínio federado no Office 365, no Azure ou no Intune
-
Os problemas de tempo causam problemas com o cmdlet New-MSOLFederatedDomain ou o cmdlet Convert-MSOLDomainToFederated.
-
-
Execute novamente os passos de validação para verificar se o problema foi resolvido.
Passo 4: Implementar a sincronização do Active Directory
Documentação de orientação de configuração
Aceda aos seguintes sites da Microsoft:
Validação para o passo 4
Para validar, siga estes passos:
-
Execute o Módulo do Azure Active Directory para Windows PowerShell como administrador.
-
Escreva os seguintes comandos. Certifique-se de que prime Enter depois de escrever cada comando.
-
$cred=Get-Credential
Nota Quando lhe for pedido, escreva as suas credenciais de administrador do serviço cloud. -
Connect-MsolService -Credential $cred
Nota Este comando liga-o a Azure AD. Tem de criar um contexto que o ligue a Azure AD antes de executar qualquer um dos cmdlets adicionais que são instalados pelo Módulo do Azure Active Directory para Windows PowerShell. -
Get-MSOLCompanyInformation
-
-
Verifique o valor LastDirSyncTime da saída dos comandos anteriores e certifique-se de que mostra uma sincronização após a instalação da Ferramenta de Sincronização do Azure Active Directory.
Nota O carimbo de data e hora para este valor é apresentado na Hora Universal Coordenada (Hora Média de Greenwich). -
Se LastDirSyncTime não for atualizado, monitorize o Registo de aplicações do servidor no qual a Ferramenta de Sincronização do Azure Active Directory está instalada para o seguinte evento:
-
Origem: Sincronização de Diretórios
-
ID do Evento: 4
-
Nível: Informações
Este evento indica que a sincronização de diretórios foi concluída no servidor. Quando isto acontecer, execute novamente estes passos para se certificar de que o valor LastDirSyncTime foi atualizado adequadamente.
-
Resolver problemas com a validação do passo 4
Resolva problemas comuns de validação com os seguintes artigos da Base de Dados de Conhecimento Microsoft, conforme adequado para a sua situação:-
2508225 "LogonUser() Falhou com o código de erro: 1789" depois de introduzir as credenciais de administrador da empresa no Assistente de Configuração da ferramenta de Sincronização do Azure Active Directory
-
2502710 erro "Ocorreu um erro desconhecido com o Assistente de Início de Sessão do Microsoft Online Services" ao executar o Assistente de Configuração da Ferramenta de Sincronização do Azure Active Directory
-
2419250 erro "O computador tem de estar associado a um domínio" quando tenta instalar a Ferramenta de Sincronização do Azure Active Directory
-
2643629 Um ou mais objetos não são sincronizados ao utilizar a ferramenta de Sincronização do Azure Active Directory
-
2641663 Como utilizar a correspondência SMTP para corresponder contas de utilizador no local a contas de utilizador Office 365 para Sincronização de Diretórios
-
2492140 Não pode atribuir um domínio federado a um utilizador no portal do Office 365
Passo 5: Office 365 preparação do cliente
Documentação de orientação de configuração
-
Verifique os pré-requisitos do cliente para Office 365. Para obter mais informações sobre os requisitos de sistema para Office 365, aceda a Office 365 requisitos de sistema.
-
Execute Office 365 Configuração do Ambiente de Trabalho em todos os computadores cliente que utilizam aplicações cliente avançadas. As aplicações cliente avançadas incluem o Microsoft Outlook, Microsoft Lync 2010, Microsoft Office Professional Plus 2010, Módulo do Azure Active Directory para Windows PowerShell. Aplicações de ambiente de trabalho do Office e aplicações de integração do Microsoft SharePoint.
-
Se for esperada uma experiência totalmente integrada e sem avisos para computadores cliente associados a um domínio e ligados a um domínio, adicione o URL do Serviço de Federação do AD FS à zona de intranet local no Windows Internet Explorer. Por exemplo, faça o seguinte:
-
No Internet Explorer, no menu Ferramentas , clique em Opções da Internet.
-
Clique no separador Segurança , clique em Intranet local, clique em Sites e, em seguida, clique em Avançadas.
-
Escreva https://sts.contoso.com na caixa Adicionar este site à zona e, em seguida, clique em Adicionar.
Nota "sts.contoso.com" representa o FQDN do Serviço de Federação do AD FS.
Para obter mais informações sobre esta configuração, consulte o seguinte artigo da Base de Dados de Conhecimento Microsoft:
2535227 É pedido inesperadamente a um utilizador federado que introduza as credenciais da conta escolar ou profissional
-
-
Se os computadores cliente associados a um domínio e ligados a um domínio acederem a recursos da Internet através de um servidor proxy que resolve os endereços da Internet através de consultas DNS públicas (e não DNS internos e divididos), adicione o URL do Serviço de Federação do AD FS à lista para a qual o Internet Explorer irá ignorar a filtragem de proxy. Segue-se um exemplo de como adicionar o URL à lista de exceções do Internet Explorer:
-
No Internet Explorer, no menu Ferramentas , clique em Opções da Internet.
-
No separador Ligações , clique em Definições de LAN e, em seguida, clique em Avançadas.
-
Na caixa Exceções , introduza o valor com o nome DNS completamente qualificado do nome do ponto final de serviço do AD FS. Por exemplo, introduza sts.contoso.com.
-
Validação para o passo 5
Para validar, siga estes passos:-
Certifique-se de que o serviço Assistente de Início de Sessão do Microsoft Online Services está instalado e em execução. Para tal, siga estes passos:
-
Clique em Iniciar, clique em Executar, escreva Services.msc e, em seguida, clique em OK.
-
Localize a entrada Assistente de Início de Sessão do Microsoft Online Services e, em seguida, certifique-se de que o serviço está em execução.
-
Se o serviço não estiver em execução, clique com o botão direito do rato na entrada e, em seguida, selecione Iniciar.
-
-
Aceda ao site do MEX do AD FS para se certificar de que o ponto final faz parte da zona de segurança da intranet do Internet Explorer. Para tal, siga estes passos:
-
Inicie o Internet Explorer e, em seguida, aceda ao site do ponto final de serviço do AD FS. Segue-se um exemplo de um site de ponto final de serviço:
https://sts.contoso.com/federationmetadata/2007-06/federationmetadata.xml
-
Verifique a barra de estado na parte inferior da janela para se certificar de que a zona de segurança indicada para este URL é a intranet Local.
-
Passo 6: validação final
Num computador cliente configurado, teste a experiência de autenticação de SSO esperada. Para tal, autentique com uma conta de utilizador federada. Poderá querer testar a autenticação de um utilizador federado nos seguintes cenários:
-
Na rede no local e autenticado no Active Directory no local
-
A partir de uma localização ip neutra na Internet e não autenticado no Active Directory no local
Para validar, siga estes passos:
-
Testar a autenticação Web. Para tal, utilize um dos métodos seguintes:
-
Inicie sessão no portal do serviço cloud como um utilizador federado com as credenciais locais do Active Directory.
-
Inicie sessão no Outlook Web App como um utilizador federado (utilizando credenciais do Active Directory local) que tem uma caixa de correio Exchange Online. Por exemplo, inicie sessão no Outlook Web App no seguinte URL:
https://outlook.com/owa/contoso.comNote Neste URL, "contoso.com" representa o nome de domínio federado.
-
Inicie sessão no Microsoft Office SharePoint Online como um utilizador federado (utilizando credenciais do Active Directory local) que tem acesso à coleção site de equipa. Por exemplo, inicie sessão no SharePoint Online no seguinte URL:
http://contoso.sharepoint.comNote Neste URL, "contoso" representa o nome da sua organização.
-
-
Teste o cliente avançado ou a autenticação ativa do requerente. Para tal, siga estes passos:
-
Configure um perfil de cliente do Skype para Empresas Online (anteriormente Lync Online) para uma conta de utilizador federada e, em seguida, inicie sessão na conta com as credenciais locais do Active Directory.
-
Inicie sessão no Módulo do Azure Active Directory para Windows PowerShell com uma conta de utilizador federada que tenha credenciais de administrador global através do cmdlet connect-MSOLService.
-
-
Teste Exchange Online autenticação básica com o Microsoft Remote Connectivity Analyzer. Para obter mais informações sobre como utilizar o Analisador de Conectividade Remota, consulte o seguinte artigo na Base de Dados de Conhecimento Microsoft:
2650717 Como utilizar o Remote Connectivity Analyzer para resolver problemas de início de sessão único para Office 365, Azure ou Intune
Ainda precisa de ajuda? Aceda à Comunidade Microsoft ou ao site fóruns do Azure Active Directory .