Resolução de problemas únicos problemas de configuração de assinatura no Office 365, Intune ou Azure

INTRODUÇÃO

Este artigo discute como resolver problemas de configuração de um único sinal num serviço de cloud da Microsoft, como o Office 365, Microsoft Intune ou Microsoft Azure.A orientação de implementação detalhada para um único sign-on (SSO) está disponível na documentação de ajuda do Azure Ative (Azure AD). Se encontrar um problema quando configurar o SSO utilizando essa orientação, pode consultar este artigo. Fornece um roteiro para ajudar a resolver problemas comuns a cada passo de configuração.

PROCEDIMENTO

Como resolver problemas na configuração do SSO

Passo 1: Preparar diretório ativo

Orientação de configuração

Aceda ao seguinte website da Microsoft:

Preparar para um único sinal

Validação para o passo 1

Utilize o assistente de diagnóstico de configuração de sincronização de diretórios de avaliação para digitalizar o Ative Directory para problemas que possam causar problemas de sincronização de diretórios.

Problemas de resolução de problemas com validação para o passo 1

  1. Nota A preparação incorreta do Ative Directory ou a não resolução de problemas que a ferramenta identifica podem resultar em problemas de sincronização de diretórios. Siga a orientação de resolução de problemas que é oferecida pelo assistente de diagnóstico de sincronização de diretórios de avaliação para corrigir os problemas e certifique-se de que o assistente de diagnóstico funciona sem erros. Isto evita que os seguintes problemas ocorram mais tarde na implementação:

    • 2392130 Problemas de identificação de utilizador que ocorrem para utilizadores federados quando fazem sessão no Office 365, Azure ou Intune

    • 2001616 O endereço de e-mail 365 do Gabinete de Um utilizador contém inesperadamente um personagem de sublinhado após a sincronização do diretório

    • 2643629 Um ou mais objetos não sincronizam quando utilizam a ferramenta Azure Ative Directory Sync

  2. Volte a fazer a decisão do assistente de diagnóstico para verificar se o problema está resolvido.

Passo 2: Arquitetura de Serviços da Federação de Diretórios Ativos (AD FS)

Orientação de configuração Aceda aos seguintes websites da Microsoft: Nota O Microsoft Support não ajudará os clientes com a execução da orientação de configuração nestes links.

Passo 3: Módulo de Diretório Ativo Azure para Windows PowerShell para SSO

Orientação de configuração

Aceda ao seguinte website da Microsoft:

Instale o Windows PowerShell para um único sinal de s-on com AD FS

Validação para o passo 3

Para validar o Módulo de Diretório Ativo Azure para Windows PowerShell para SSO, siga estes passos:

  1. Executar o Módulo de Diretório Ativo Azure para Windows PowerShell como administrador.

  2. Digite os seguintes comandos e certifique-se de que pressiona Enter depois de escrever cada comando:

    1. $cred=Get-Credential Nota Quando for solicitado, escreva as suas credenciais de administração de serviços de nuvem.

    2. Connect-MsolService -Credential $cred 

      NotaEste comando liga-o ao Azure AD. Tem de criar um contexto que o ligue ao Azure AD antes de executar qualquer um dos cmdlets adicionais que são instalados pelo Módulo de Diretório Ativo Azure para o Windows PowerShell.

    3. Set-MsolAdfscontext -Computer < AD FS 2.0 primary server > 

      Notas

      • Se instalou o Módulo de Diretório Ativo Azure para o Windows PowerShell no servidor principal da Federação de Diretórios Ativos (AD FS), não terá de executar este cmdlet.

      • Neste comando, o espaço reservado <servidor primário AD FS 2.0> representa o nome de domínio interno totalmente qualificado (FQDN) do servidor principal AD FS. Este comando cria um contexto que o liga ao AD FS.

    4. Get-MSOLFederationProperty -DomainName < federated domain name > 

      Nota Neste comando, o espaço reservado <nome de domínio federado> representa o nome de domínio que foi federado nas etapas de configuração.

  3. Compare o primeiro semestre (Fonte: AD FS Server) e a última metade (Fonte: Microsoft Office 365) da saída do comando Get-MSOLFederationProperty que executou no passo 2D. Todas as entradas, com exceção da Fonte e do FederationServiceDisplayName, devem coincidir. Se não corresponderem, utilize a secção "Resolução" do seguinte artigo da Base de Conhecimento do Microsoft para atualizar os dados da confiança da parte:2647020 "Desculpe, mas estamos com dificuldades em inscrever-se" e "80041317" ou "80043431" quando um utilizador federado tenta assinar no Office 365, Azure ou Intune

Problemas de resolução de problemas com validação para o passo 3Para resolver problemas, siga estes passos:

  1. Resolver problemas comuns de validação utilizando os seguintes artigos da Base de Conhecimento do Microsoft, conforme apropriado para a sua situação:

    • 2461873 Não é possível abrir o Módulo de Diretório Ativo Azure para Windows PowerShell

    • 2494043Não é possível ligar utilizando o Módulo de Diretório Ativo Azure para Windows PowerShell

    • 2587730 "A ligação ao <ServerName> serviços da Federação de Diretório Ativo 2.0 falhou" quando utiliza o cmdlet Set-MsolADFSContext

    • 2279117 Um administrador não pode adicionar um domínio a uma conta do Office 365

    • Erro quando executar o cmdlet New-MsolFederatedDomain pela segunda vez porque a verificação de domínio falha. Para obter mais informações sobre este cenário, consulte o seguinte artigo base de conhecimento:

      2515404 Problemas de verificação de domínio de resolução de problemas no Office 365

    • 2618887 "O identificador de serviço da Federação especificado no servidor AD FS 2.0 já está em uso." erro quando tenta configurar outro domínio federado no Office 365, Azure ou Intune

    • Os problemas de tempo causam problemas com o cmdlet New-MSOLFederatedDomain ou com o cmdlet Converte-MSOLDomainToFederated. Para obter mais informações sobre este cenário, consulte o seguinte artigo base de conhecimento:

      2578667 "Desculpe, mas estamos com dificuldades em contratá-lo" e erro "80045C06" quando um utilizador federado tenta assinar no Office 365, Azure ou Intune

  2. Reexame as etapas de validação para verificar se a questão está resolvida.

Passo 4: Implementar a sincronização do Diretório Ativo

Orientação de configuração

Aceda aos seguintes websites da Microsoft:

Validação para o passo 4

Para validar, siga estes passos:

  1. Executar o Módulo de Diretório Ativo Azure para Windows PowerShell como administrador.

  2. Digite os seguintes comandos. Certifique-se de que prime Enter depois de escrever cada comando.

    1. $cred=Get-Credential Nota Quando for solicitado, escreva as suas credenciais de administração de serviços de nuvem.

    2. Connect-MsolService -Credential $cred Nota Este comando liga-o ao Azure AD. Tem de criar um contexto que o ligue ao Azure AD antes de executar qualquer um dos cmdlets adicionais que são instalados pelo Módulo de Diretório Ativo Azure para o Windows PowerShell.

    3. Get-MSOLCompanyInformation

  3. Verifique o valor dotempo LastDirSynca partir da saída dos comandos anteriores e certifique-se de que mostra uma sincronização após a instalação da Ferramenta de Sincronização do Diretório Ativo Azure.Nota A data e a hora para este valor são apresentadas no Tempo Universal Coordenado (Hora Média de Greenwich).

  4. Se o LastDirSyncTime não for atualizado, monitorize o registo de aplicação do servidor no qual a Ferramenta de Sincronização do Diretório Ativo Azure está instalada para o seguinte evento:

    • Fonte: Sincronização do Diretório

    • ID do evento: 4

    • Nível: Informação

    Este evento indica que a sincronização do diretório terminou no servidor. Quando isto acontecer, reexecute estes passos para se certificar de que o valor LastDirSyncTime foi atualizado adequadamente.

Problemas de resolução de problemas com validação para o passo 4Resolver problemas comuns de validação utilizando os seguintes artigos da Base de Conhecimento do Microsoft, conforme apropriado para a sua situação:

  • 2386445  Erro quando executou a ferramenta Azure Ative Directory Sync: "A sua versão do Assistente de Configuração de Sincronização de Sincronização de Diretório Ativo do Windows Azure está desatualizada"

  • 2310320 Erro quando tenta executar o Assistente de Configuração da Ferramenta de Sincronização do Diretório Ativo Azure: "As suas credenciais não podiam ser autenticadas. Retipe as suas credenciais e tente de novo"

  • 2508225 "LogonUser() Falha com código de erro: 1789" depois de introduzir credenciais de administrador da empresa no Assistente de Configuração de Configuração de Sincronização de Sincronização de Diretório Ativo Azure

  • 2502710 "Ocorreu um erro desconhecido com o erro do Assistente de Inscrição dos Serviços Online da Microsoft" quando executou o Assistente de Configuração de Ferramenta sincronização de sincronização de sincronização do Azure Ative Directory

  • 2419250 "O computador deve ser associado a um erro de domínio" quando tenta instalar a Ferramenta de Sincronização do Diretório Ativo Azure

  • 2643629 Um ou mais objetos não sincronizam quando utilizam a ferramenta Azure Ative Directory Sync

  • 2641663 Como utilizar a correspondência SMTP para combinar contas de utilizadores no local com as contas de utilizador do Office 365 para a Sincronização do Diretório

  • 2492140 Não é possível atribuir um domínio federado a um utilizador no portal do Office 365

Passo 5: Preparação do cliente do Office 365

Orientação de configuração
  1. Verifique os pré-requisitos do cliente para o Office 365. Para obter mais informações sobre os requisitos do sistema para o Office 365, aceda aos requisitos do sistema do Office 365.

  2. Executar a configuração do Ambiente de Trabalho 365 em todos os computadores clientes que utilizam aplicações de clientes ricas. As aplicações de clientes ricos incluem o Microsoft Outlook, o Microsoft Lync 2010, o Microsoft Office Professional Plus 2010, o Módulo de Diretório Ativo Azure para o Windows PowerShell. Aplicações de desktop do office e aplicações de integração do Microsoft SharePoint. Nota O Office 365 Desktop Setup está disponível em http://g.microsoftonline.com/0BX10en/436?!Office365DesktopSetup.application.

  3. Se for esperada uma experiência sem problemas e sem solicitação para computadores clientes ligados a domínios e ligados ao domínio, adicione o URL do Serviço da Federação AD FS à zona intranet local no Windows Internet Explorer. Por exemplo, faça o seguinte:

    1. No Internet Explorer, no menu Ferramentas, clique em Opções de Internet.

    2. Clique no separador Segurança, clique na intranet local,clique em Sitese, em seguida, clique em Advanced.

    3. Digite https://sts.contoso.com no Adicionar este site à caixa de zona e, em seguida, clique em Adicionar.Nota "sts.contoso.com" representa a FQDN do Serviço da Federação FS da AD.

    Para obter mais informações sobre esta configuração, consulte o seguinte artigo da Base de Conhecimento do Microsoft:

    2535227 Um utilizador federado é solicitado inesperadamente a entrar nas suas credenciais de trabalho ou conta escolar

  4. Se os computadores clientes ligados ao domínio e ligados ao domínio acederem aos recursos da Internet utilizando um servidor proxy que resolve os endereços de Internet utilizando consultas de DNS públicas (e não DNS internos, cérebro dividido), adicione o URL do Serviço da Federação de FS AD à lista para a qual o Internet Explorer irá contornar a filtragem de procuração. Segue-se um exemplo de como adicionar o URL à lista de exceções do Internet Explorer:

    1. No Internet Explorer, no menu Ferramentas, clique em Opções de Internet.

    2. No separador 'Ligações', clique nas definições de LANe, em seguida, clique em Advanced.

    3. Na caixa Exceções, insira o valor utilizando o nome DNS totalmente qualificado do nome de ponto final do serviço AD FS. Por exemplo, introduza sts.contoso.com.

Validação para o passo 5 Para validar, siga estes passos:

  1. Certifique-se de que o serviço de assistência de sômidação dos serviços online da Microsoft está instalado e em funcionamento. Para tal, siga estes passos:

    1. Clique em Iniciar,clique em Executar,digite Services.msce, em seguida, clique em OK.

    2. Localize a entrada do Assistente de Acesso ao Serviço Online da Microsoft e certifique-se de que o serviço está em execução.

    3. Se o serviço não estiver em funcionamento, clique à direita na entrada e, em seguida, selecione Iniciar.

  2. Vá ao site da AD FS MEX para se certificar de que o ponto final faz parte da zona de segurança intranet do Internet Explorer. Para tal, siga estes passos:

    1. Inicie o Internet Explorer e, em seguida, vá ao site de ponto final do serviço AD FS. Segue-se um exemplo de um website de ponto final de serviço:

      https://sts.contoso.com/federationmetadata/2007-06/federationmetadata.xml

    2. Verifique a barra de estado na parte inferior da janela para se certificar de que a zona de segurança indicada para este URL é intranet local.

Passo 6: Validação final

Num computador cliente configurado, teste a experiência de autenticação SSO esperada. Para tal, autentica utilizando uma conta de utilizador federada. Pode querer testar a autenticação de um utilizador federado nos seguintes cenários:

  • Na rede no local e autenticado no Ative Directory

  • A partir de uma localização IP neutra na Internet e não autenticado para o Ative Directory no local

Para validar, siga estes passos:

  1. Teste a autenticação da web. Para tal, utilize um dos métodos seguintes:

    • Inscreva-se no portal de serviço na nuvem como utilizador federado utilizando credenciais locais do Ative Directory.

    • Inscreva-se na Outlook Web App como utilizador federado (utilizando credenciais locais de Ative Directory) que tem uma caixa de correio Exchange Online. Por exemplo, inscreva-se na App Web Outlook no seguinte URL:

      https://outlook.com/owa/contoso.comNotaNeste URL, "contoso.com" representa o nome de domínio federado.

    • Inscreva-se no Microsoft SharePoint Online como um utilizador federado (utilizando credenciais locais de Ative Directory) que tem acesso à coleção do Team Site. Por exemplo, inscreva-se no SharePoint Online no seguinte URL:

      http://contoso.sharepoint.comNota Nesta URL, "contoso" representa o nome da sua organização.

  2. Teste cliente rico ou autenticação de solicitação ativa. Para tal, siga estes passos:

    1. Configure um perfil de cliente Skype for Business Online (anteriormente Lync Online) para uma conta de utilizador federada e, em seguida, inscreva-se na conta utilizando credenciais locais do Ative Directory.

    2. Inscreva-se no Módulo de Diretório Ativo Azure para o Windows PowerShell utilizando uma conta de utilizador federada que possui credenciais de administração global através do cmdlet connect-MSOLService.

  3. Teste Exchange A autenticação básica online utilizando o Microsoft Remote Connectivity Analyzer. Para obter mais informações sobre como utilizar o Analisador de Conectividade Remota, consulte o seguinte artigo na Base de Conhecimento da Microsoft:

    2650717  Como utilizar o Analisador de Conectividade Remota para resolver problemas de resolução de problemas para o Office 365, Azure ou Intune

Ainda precisa de ajuda? Vá ao Microsoft Community ou ao website Azure Ative Directory Forums.

Precisa de mais ajuda?

Aumente os seus conhecimentos
Explore as formações
Seja o primeiro a obter novas funcionalidades
Aderir ao Microsoft insiders

As informações foram úteis?

Obrigado pelos seus comentários!

Obrigado pelo seu feedback! Parece que poderá ser benéfico reencaminhá-lo para um dos nossos agentes de suporte do Office.

×