Conectați-vă cu Microsoft
Conectați-vă sau creați un cont
Salut,
Selectați un alt cont.
Aveți mai multe conturi
Alegeți contul cu care doriți să vă conectați.

INTRODUCERE

Acest articol discută despre cum să depanați problemele de configurare sign-on unic într-un serviciu cloud Microsoft, cum ar fi Office 365, Microsoft Intune sau Microsoft Azure. Ghidul de implementare detaliată pentru sign-on unic (SSO) este disponibil în documentația de ajutor Azure Active Directory (Azure AD). Dacă întâmpinați o problemă atunci când configurați SSO utilizând acea orientare, puteți face referire la acest articol. Oferă o foaie de parcurs pentru a ajuta la depanarea problemelor comune cu fiecare pas de configurare.

PROCEDURĂ

Cum se depanează configurarea SSO

Pasul 1: Pregătirea Active Directory

Ghid de configurare

Mergeți la următorul site web Microsoft:

Pregătirea pentru sign-on unic

Validare pentru pasul 1

Utilizați Expertul de diagnosticare a instalării sincronizării directorului pentru a scana Active Directory pentru probleme care pot provoca probleme de sincronizare a directorului.

Depanarea problemelor cu validarea pentru pasul 1

  1. Notă Pregătirea incorectă a Active Directory sau nereușita de a rezolva problemele pe care le identifică instrumentul poate avea ca rezultat probleme de sincronizare a directorului. Urmați instrucțiunile de depanare oferite de Expertul de diagnosticare a instalării sincronizării directorului pentru a corecta problemele și asigurați-vă că expertul diagnosticare rulează fără erori. Acest lucru împiedică apariția următoarelor probleme mai târziu în implementare:

    • 2392130 Depanarea problemelor de nume de utilizator care apar pentru utilizatorii federativi atunci când se conectează la Office 365, Azure sau Intune

    • 2001616 Adresa de e-mail a unui utilizator Office 365 conține în mod neașteptat un caracter de subliniere după sincronizarea directorului

    • 2643629 Unul sau mai multe obiecte nu se sincronizează atunci când utilizați instrumentul de sincronizare Azure Active Directory

  2. Executați din nou Expertul diagnosticare pentru a verifica dacă problema este rezolvată.

Pasul 2: arhitectura Active Directory Federation Services (AD FS)

Ghid de configurare Accesați următoarele site-uri Web Microsoft: Notă Asistența Microsoft nu va ajuta clienții cu executarea ghidării de configurare în aceste linkuri.

Pasul 3: modul Azure Active Directory pentru Windows PowerShell pentru SSO

Ghid de configurare

Mergeți la următorul site web Microsoft:

Instalarea Windows PowerShell pentru sign-on unic cu AD FS

Validare pentru pasul 3

Pentru a valida modulul Azure Active Directory pentru Windows PowerShell pentru SSO, urmați acești pași:

  1. Rularea modulului Azure Active Directory pentru Windows PowerShell ca administrator.

  2. Tastați următoarele comenzi și asigurați-vă că apăsați pe Enter după ce tastați fiecare comandă:

    1. $cred=Get-Credential Notă Când vi se solicită, tastați acreditările de administrator pentru serviciul cloud.

    2. Connect-MsolService -Credential $cred

      Notă Această comandă vă conectează la Azure AD. Trebuie să creați un context care vă conectează la Azure AD înainte de a executa oricare dintre cmdleturile suplimentare care sunt instalate de modulul Azure Active Directory pentru Windows PowerShell.

    3. Set-MsolAdfscontext -Computer < AD FS 2.0 primary server >

      Note

      • Dacă ați instalat modulul Azure Active Directory pentru Windows PowerShell pe serverul principal Active Directory Federation Services (AD FS), nu trebuie să ruleze acest cmdlet.

      • În această comandă, substituentul <server principal 2,0 AD fs> reprezintă numele de domeniu intern complet (FQDN) al serverului AD FS principal. Această comandă creează un context care vă conectează la AD FS.

    4. Get-MSOLFederationProperty -DomainName < federated domain name >

      Notă În această comandă, substituentul <nume de domeniu federativ> reprezintă numele de domeniu care a fost federativ în pașii de configurare.

  3. Comparați prima jumătate (sursa: AD FS Server) și ultima jumătate (sursă: Microsoft Office 365) de ieșire din comanda Get-MSOLFederationProperty pe care ați rulat-o în pasul 2D. Toate intrările, cu excepția sursei și FederationServiceDisplayName , trebuie să se potrivească. Dacă nu se potrivește, utilizați secțiunea "Rezolvare" din următorul articol din baza de cunoștințe Microsoft pentru a actualiza datele de încredere ale terților:2647020 "Ne pare rău, dar avem probleme la conectarea la" și "80041317" sau "80043431" atunci când un utilizator federativ încearcă să se conecteze la Office 365, Azure sau Intune

Depanarea problemelor cu validarea pentru pasul 3Pentru a depana, urmați acești pași:

  1. Depanați problemele uzuale de validare utilizând următoarele articole din baza de cunoștințe Microsoft, după cum este cazul în situația dvs.:

    • 2461873 Nu puteți deschide modulul Azure Active Directory pentru Windows PowerShell

    • 2494043Nu vă puteți conecta utilizând modulul Azure Active Directory pentru Windows PowerShell

    • 2587730 "conexiunea la <server de> a serverului de federalizare Active Directory Federation Services 2,0 nu a reușit" atunci când utilizați cmdletul Set-MsolADFSContext

    • 2279117 Un administrator nu poate adăuga un domeniu la un cont Office 365

    • Eroare atunci când rulează cmdletul New-MSOLFederatedDomain pentru a doua oară, deoarece verificarea domeniului nu reușește. Pentru mai multe informații despre acest scenariu, consultați următorul articol din baza de cunoștințe:

      2515404 Depanarea problemelor de verificare a domeniului în Office 365

    • 2618887 "identificator de serviciu federal specificat în serverul AD FS 2,0 este deja în uz." eroare atunci când încercați să configurați un alt domeniu federativ în Office 365, Azure sau Intune

    • Problemele de timp cauzează probleme cu cmdletul New-MSOLFederatedDomain sau cmdletul Convert-MsolDomainToFederated . Pentru mai multe informații despre acest scenariu, consultați următorul articol din baza de cunoștințe:

      2578667 "Ne pare rău, dar avem probleme cu conectarea la" și "80045 c 06" atunci când un utilizator federativ încearcă să se conecteze la Office 365, Azure sau Intune

  2. Executați din nou pașii de validare pentru a verifica dacă problema este rezolvată.

Pasul 4: implementarea sincronizării Active Directory

Ghid de configurare

Accesați următoarele site-uri Web Microsoft:

Validare pentru pasul 4

Pentru a valida, urmați acești pași:

  1. Rularea modulului Azure Active Directory pentru Windows PowerShell ca administrator.

  2. Tastați următoarele comenzi. Asigurați-vă că apăsați Enter după ce tastați fiecare comandă.

    1. $cred=Get-Credential Notă Când vi se solicită, tastați acreditările de administrator pentru serviciul cloud.

    2. Connect-MsolService -Credential $cred Notă Această comandă vă conectează la Azure AD. Trebuie să creați un context care vă conectează la Azure AD înainte de a executa oricare dintre cmdleturile suplimentare care sunt instalate de modulul Azure Active Directory pentru Windows PowerShell.

    3. Get-MSOLCompanyInformation

  3. Verificați valoarea detimp LastDirSyncdin producția comenzilor anterioare și asigurați-vă că afișează o sincronizare după ce s-a instalat instrumentul de sincronizare Azure Active Directory.Notă Ștampila dată și oră pentru această valoare este afișată în ora universală coordonată (ora medie Greenwich).

  4. Dacă LastDirSyncTime nu este actualizat, monitorizați Jurnalul de aplicații al serverului pe care este instalat instrumentul de sincronizare Azure Active Directory pentru următorul eveniment:

    • Sursă: sincronizarea directoarelor

    • ID eveniment: 4

    • Nivel: informații

    Acest eveniment indică faptul că sincronizarea directorului s-a terminat pe server. Atunci când se întâmplă acest lucru, executați din nou acești pași pentru a vă asigura că valoarea LastDirSyncTime a fost actualizată corespunzător.

Depanarea problemelor cu validarea pentru pasul 4Depanați problemele uzuale de validare utilizând următoarele articole din baza de cunoștințe Microsoft, după cum este cazul în situația dvs.:

  • 2386445  Eroare atunci când rulează instrumentul de sincronizare Azure Active Directory: "versiunea de expert de configurare a sincronizării Active Directory Windows Azure este depășită"

  • 2310320 Eroare atunci când încercați să execuți Expertul de configurare a instrumentului de sincronizare Azure Active Directory: "acreditările nu au putut fi autentificate. Retastați acreditările și încercați din nou "

  • 2508225 "LogonUser () nu a reușit cu codul de eroare: 1789" după ce introduceți acreditările de administrator de întreprindere în Expertul de configurare a instrumentului de sincronizare Azure Active Directory

  • 2502710 "s-a produs o eroare necunoscută cu asistentul de sign in Microsoft Online Services" atunci când rulează Expertul de configurare a instrumentului de sincronizare Azure Active Directory

  • 2419250 "computerul trebuie să fie asociat la un domeniu" eroare atunci când încercați să instalați instrumentul de sincronizare Azure Active Directory

  • 2643629 Unul sau mai multe obiecte nu se sincronizează atunci când utilizați instrumentul de sincronizare Azure Active Directory

  • 2641663 Cum să utilizați corespondența SMTP pentru a se potrivi cu conturile de utilizator locale în conturile de utilizator Office 365 pentru sincronizarea directoarelor

  • 2492140 Nu puteți atribui un domeniu federativ unui utilizator din portalul Office 365

Pasul 5: pregătirea pentru clientul Office 365

Ghid de configurare

  1. Consultați cerințe preliminare pentru clienți pentru Office 365. Pentru mai multe informații despre cerințele de sistem pentru Office 365, accesați cerințe de sistem pentru office 365.

  2. Rulează instalarea Office 365 pentru desktop pe toate computerele client care utilizează aplicații client îmbogățite. Aplicațiile client bogate includ Microsoft Outlook, Microsoft Lync 2010, Microsoft Office Professional Plus 2010, modulul Azure Active Directory pentru Windows PowerShell. Aplicațiile desktop Office și aplicațiile de integrare Microsoft SharePoint. Notă Instalarea Office 365 pentru desktop este disponibilă la http://g.microsoftonline.com/0BX10en/436?!Office365DesktopSetup.Application.

  3. Dacă este așteptată o experiență fără întreruperi, nu se așteaptă pentru computerele client de domeniu și conectate la domeniu, adăugați URL-ul serviciului de federalizare AD FS în zona intranet local din Windows Internet Explorer. De exemplu, procedați astfel:

    1. În Internet Explorer, în meniul Instrumente , faceți clic pe Opțiuni Internet.

    2. Faceți clic pe fila Securitate , pe intranet local, pe site-uri, apoi pe Complex.

    3. Tastați https://STS.contoso.com în caseta Adăugați acest site web la zonă , apoi faceți clic pe Adăugare.Notă "sts.contoso.com" reprezintă FQDN-ul serviciului de federalizare AD FS.

    Pentru mai multe informații despre această configurație, consultați următorul articol din baza de cunoștințe Microsoft:

    2535227 Unui utilizator federativ i se solicită în mod neașteptat să introducă acreditările de cont de la locul de muncă sau de la școală

  4. Dacă computerele client asociate domeniului și conectate la domeniu accesează resursele de Internet utilizând un server proxy care rezolvă adresele de Internet utilizând interogări DNS publice (și nu DNS intern, Split-Brain), adăugați URL-ul serviciului de federalizare AD FS în lista pentru care Internet Explorer va ocoli filtrarea proxy. Iată un exemplu de adăugare a URL-ului la lista de excepții Internet Explorer:

    1. În Internet Explorer, în meniul Instrumente , faceți clic pe Opțiuni Internet.

    2. Pe fila conexiuni , faceți clic pe Setări LAN, apoi faceți clic pe Complex.

    3. În caseta excepții , introduceți valoarea utilizând numele DNS complet calificat al numelui punct final serviciu AD FS. De exemplu, introduceți STS.contoso.com.

Validare pentru pasul 5 Pentru a valida, urmați acești pași:

  1. Asigurați-vă că serviciul asistent de conectare Microsoft Online Services este instalat și rulează. Pentru a face acest lucru, urmați acești pași:

    1. Faceți clic pe Start, pe rulare, tastați Services. msc, apoi faceți clic pe OK.

    2. Găsiți intrarea asistentului de conectare Microsoft Online Services, apoi asigurați-vă că serviciul rulează.

    3. Dacă serviciul nu este în execuție, faceți clic cu butonul din dreapta pe intrare, apoi selectați Start.

  2. Accesați site-ul web AD FS MEX pentru a vă asigura că punctul final face parte din zona de securitate Internet Explorer intranet. Pentru a face acest lucru, urmați acești pași:

    1. Porniți Internet Explorer, apoi accesați site-ul web punct final serviciu AD FS. Iată un exemplu de site web Endpoint serviciu:

      https://sts.contoso.com/federationmetadata/2007-06/federationmetadata.xml

    2. Bifați bara de stare din partea de jos a ferestrei pentru a vă asigura că zona de securitate care este indicată pentru acest URL este intranet local.

Pasul 6: validarea finală

Pe un computer client configurat, testați experiența de autentificare SSO estimată. Pentru a face acest lucru, autentificați-vă utilizând un cont de utilizator federativ. Poate doriți să testați autentificarea unui utilizator federativ în următoarele scenarii:

  • În rețeaua locală și autentificat în Active Directory local

  • Dintr-o locație IP neutră pe Internet și neautentificată în Active Directory local

Pentru a valida, urmați acești pași:

  1. Testarea autentificării web. Pentru aceasta, utilizați una dintre următoarele metode:

    • Conectați-vă la portalul de servicii cloud ca utilizator federativ, utilizând acreditările locale Active Directory.

    • Conectați-vă la Outlook Web App ca utilizator federativ (utilizând acreditările locale Active Directory) care are o cutie poștală Exchange Online. De exemplu, conectați-vă la Outlook Web App la următoarea adresă URL:

      https://outlook.com/owa/contoso.comNotă În acest URL, "contoso.com" reprezintă numele de domeniu federativ.

    • Conectați-vă la Microsoft SharePoint Online ca utilizator federativ (utilizând acreditările locale Active Directory) care are acces la colecția de site-uri de echipă. De exemplu, conectați-vă la SharePoint Online la următoarea adresă URL:

      http://contoso.sharepoint.comNotă În acest URL, "contoso" reprezintă numele organizației dvs.

  2. Testați clientul bogat sau autentificarea activă a solicitărilor. Pentru a face acest lucru, urmați acești pași:

    1. Configurați un profil client Skype for Business Online (denumit anterior Lync online) pentru un cont de utilizator federativ, apoi conectați-vă la cont utilizând acreditările Active Directory locale.

    2. Conectați-vă la Azure Active Directory Module pentru Windows PowerShell utilizând un cont de utilizator federativ care are acreditări de administrator global prin cmdletul Connect-MsolService .

  3. Testați autentificarea de bază Exchange Online utilizând Microsoft Remote Connectivity Analyzer. Pentru mai multe informații despre cum se utilizează Remote Connectivity Analyzer, consultați următorul articol din baza de cunoștințe Microsoft:

    2650717  Cum se utilizează Analyzer Remote Connectivity pentru a depana problemele de sign-on unic pentru Office 365, Azure sau Intune

Încă aveți nevoie de ajutor? Accesați comunitatea Microsoft sau site-ul web forumuri Azure Active Directory .

Facebook LinkedIn E-mail
ABONAȚI-VĂ LA FLUXURI RSS

Aveți nevoie de ajutor suplimentar?

Doriți mai multe opțiuni?

Descoperiți Comunitate

Explorați avantajele abonamentului, navigați prin cursurile de instruire, aflați cum să vă securizați dispozitivul și multe altele.

Beneficiile abonamentului Microsoft 365

Instruire Microsoft 365

Securitate Microsoft

Centru de accesibilitate

Comunitățile vă ajută să adresați întrebări și să răspundeți la întrebări, să oferiți feedback și să primiți feedback de la experți cu cunoștințe bogate.

Întrebați Comunitatea Microsoft

Comunitatea tehnică Microsoft

Utilizatorii Windows Insider

Utilizatori Insider Microsoft 365

Au fost utile aceste informații?

Cât de mulțumit sunteți de calitatea limbajului?
Ce v-a afectat experiența?
Apăsând pe Trimitere, feedbackul dvs. va fi utilizat pentru a îmbunătăți produsele și serviciile Microsoft. Administratorul dvs. IT va avea posibilitatea să colecteze aceste date. Angajamentul de respectare a confidențialității.

Vă mulțumim pentru feedback!

×