Устранение неполадок с настройкой единого входа в Office 365, Intune или Azure

Руководство по настройке

Перейдите на следующий веб-сайт корпорации Майкрософт:

Подготовка к единому входу

Проверка для шага 1

Используйте мастер диагностики оценки синхронизации каталогов, чтобы проверить Active Directory на наличие проблем, которые могут привести к проблемам с синхронизацией каталогов.

Устранение неполадок с проверкой на шаге 1

1. Примечание. Неправильная подготовка Active Directory или сбой при устранении проблем, определяемых средством, может привести к проблемам с синхронизацией каталогов. Следуйте указаниям по устранению неполадок, предлагаемым мастером диагностики оценки настройки синхронизации каталогов, чтобы устранить проблемы и убедиться, что мастер диагностики работает без ошибок. Это предотвращает возникновение следующих проблем в реализации в дальнейшем:

   • 2392130 Устранение проблем с именами пользователей, возникающих у федеративных пользователей при входе в Office 365, Azure или Intune

   • 2001616 Office 365 адрес электронной почты пользователя неожиданно содержит символ подчеркивания после синхронизации каталога

   • 2643629 Один или несколько объектов не синхронизируются при использовании средства синхронизации Azure Active Directory

2. Повторно запустите мастер диагностики, чтобы проверить, устранена ли проблема.

Руководство по настройке

Перейдите на следующий веб-сайт корпорации Майкрософт:

Установка Windows PowerShell для единого входа в AD FS

Проверка для шага 3

Чтобы проверить модуль Azure Active Directory для Windows PowerShell для единого входа, выполните следующие действия.

1. Запустите модуль Azure Active Directory для Windows PowerShell от имени администратора.

2. Введите следующие команды и убедитесь, что после ввода каждой команды нажимайте клавишу ВВОД:

   1. $cred=Get-Credential
      Примечание При появлении запроса введите учетные данные администратора облачной службы.

   2. Connect-MsolService -Credential $cred 

      
      Примечание. Эта команда подключает вас к Azure AD. Перед выполнением дополнительных командлетов, установленных модулем Azure Active Directory для Windows PowerShell, необходимо создать контекст, который соединяет вас с Azure AD.

   3. Set-MsolAdfscontext -Computer < AD FS 2.0 primary server > 

      
      
      Заметки

      • Если вы установили модуль Azure Active Directory для Windows PowerShell на сервере основного службы федерации Active Directory (AD FS) (AD FS), этот командлет выполнять не нужно.

      • В этой команде заполнитель <сервера-источника AD FS 2.0> представляет внутреннее полное доменное имя (FQDN) основного сервера AD FS. Эта команда создает контекст, который связывает вас с AD FS.

   4. Get-MSOLFederationProperty -DomainName < federated domain name > 

      
      Примечание. В этой команде заполнитель <федеративного доменного имени> представляет доменное имя, которое было федеративно на этапах установки.

3. Сравните первую половину (источник: сервер AD FS) и последнюю половину (источник: Microsoft Office 365) выходных данных команды Get-MSOLFederationProperty, выполненной на шаге 2D. Все записи, кроме Source и FederationServiceDisplayName, должны совпадать. Если они не совпадают, используйте раздел "Разрешение" следующей статьи базы знаний Майкрософт, чтобы обновить данные доверия проверяющей стороны:
   
   2647020 "Извините, но у нас возникают проблемы со входом" и "80041317" или "80043431", когда федеративный пользователь пытается войти в Office 365, Azure или Intune

Устранение неполадок с проверкой на шаге 3

Чтобы устранить неполадки, выполните следующие действия.

1. Устраните распространенные проблемы с проверкой, используя следующие статьи базы знаний Майкрософт в соответствии с вашей ситуацией:

   • 2461873 Невозможно открыть модуль Azure Active Directory для Windows PowerShell

   • 2494043Невозможно подключиться с помощью модуля Azure Active Directory для Windows PowerShell

   • 2587730 ошибка "Сбой подключения к серверу <serverName> службы федерации Active Directory (AD FS) 2.0" при использовании командлета Set-MsolADFSContext

   • 2279117 Администратор не может добавить домен в учетную запись Office 365

   • Ошибка при выполнении командлета New-MsolFederatedDomain во второй раз из-за сбоя проверки домена. Дополнительные сведения об этом сценарии см. в следующей статье базы знаний:

     2515404 Устранение проблем с проверкой домена в Office 365

   • 2618887 ошибка "Идентификатор службы федерации, указанный на сервере AD FS 2.0, уже используется". При попытке настроить другой федеративный домен в Office 365, Azure или Intune

   • Проблемы с временем вызывают проблемы с командлетом New-MSOLFederatedDomain или командлетом Convert-MSOLDomainToFederated.

2. Повторно выполните шаги проверки, чтобы проверить, устранена ли проблема.

Руководство по настройке

Перейдите на следующие веб-сайты Майкрософт:

• Стратегия синхронизации каталогов

• Синхронизация каталогов и источник полномочий

Проверка для шага 4

Чтобы проверить, выполните следующие действия.

1. Запустите модуль Azure Active Directory для Windows PowerShell от имени администратора.

2. Введите следующие команды. Убедитесь, что после ввода каждой команды нажимайте клавишу ВВОД.

   1. $cred=Get-Credential
      
      Примечание При появлении запроса введите учетные данные администратора облачной службы.

   2. Connect-MsolService — $cred
      
      учетных данных Примечание. Эта команда подключает вас к Azure AD. Перед выполнением дополнительных командлетов, установленных модулем Azure Active Directory для Windows PowerShell, необходимо создать контекст, который соединяет вас с Azure AD.

   3. Get-MSOLCompanyInformation

3. Проверьте значение LastDirSyncTime из выходных данных предыдущих команд и убедитесь, что после установки средства синхронизации Azure Active Directory отображается синхронизация.
   
   Примечание. Метка даты и времени для этого значения отображается в разделе Координированное универсальное время (среднее время по Гринвичу).

4. Если LastDirSyncTime не обновлено, отслеживайте журнал приложений сервера, на котором установлено средство синхронизации Azure Active Directory, для получения следующего события:

   • Источник: синхронизация каталогов

   • Идентификатор события: 4

   • Уровень: сведения

   Это событие указывает, что синхронизация каталогов на сервере завершена. В этом случае повторите эти действия, чтобы убедиться, что значение LastDirSyncTime было обновлено соответствующим образом.

Устранение неполадок с проверкой на шаге 4

Устраните распространенные проблемы с проверкой, используя следующие статьи базы знаний Майкрософт в соответствии с вашей ситуацией:

• 2508225 "LogonUser() Failed with error code: 1789", после ввода учетных данных администратора предприятия в мастере настройки средства синхронизации Azure Active Directory

• 2502710 ошибка "Произошла неизвестная ошибка с помощником по входу в Microsoft Online Services" при запуске мастера настройки средства синхронизации Azure Active Directory

• 2419250 ошибка "Компьютер должен быть присоединен к домену" при попытке установить средство синхронизации Azure Active Directory

• 2643629 Один или несколько объектов не синхронизируются при использовании средства синхронизации Azure Active Directory

• 2641663 Использование сопоставления SMTP для сопоставления локальных учетных записей пользователей с Office 365 учетными записями пользователей для синхронизации каталогов

• 2492140 Вы не можете назначить федеративный домен пользователю на портале Office 365

Руководство по настройке

1. Проверьте предварительные требования клиента для Office 365. Дополнительные сведения о требованиях к системе для Office 365 см. в статье Office 365 требования к системе.

2. Запустите программу установки Office 365 рабочего стола на всех клиентских компьютерах, использующих расширенные клиентские приложения. К расширенным клиентским приложениям относятся Microsoft Outlook, Microsoft Lync 2010, Microsoft Office профессиональный плюс 2010, модуль Azure Active Directory для Windows PowerShell. Классические приложения Office и приложения интеграции Microsoft SharePoint.

3. Если для клиентских компьютеров, присоединенных к домену и подключенных к домену, добавьте URL-адрес службы федерации AD FS в зону локальной интрасети в Windows Internet Explorer. Например, сделайте следующее:

   1. В Internet Explorer в меню Сервис выберите пункт Свойства браузера.

   2. Перейдите на вкладку Безопасность , выберите Локальная интрасеть, Сайты и Дополнительно.

   3. Введите https://sts.contoso.com в поле Добавить этот веб-сайт в зону и нажмите кнопку Добавить.
      
      Примечание "sts.contoso.com" представляет полное доменное имя службы федерации AD FS.

   Дополнительные сведения об этой конфигурации см. в следующей статье базы знаний Майкрософт:

   2535227 Федеративный пользователь неожиданно предлагает ввести свои учетные данные рабочей или учебной учетной записи.

4. Если присоединенные к домену и подключенные к домену клиентские компьютеры получают доступ к интернет-ресурсам с помощью прокси-сервера, который разрешает интернет-адреса с помощью общедоступных запросов DNS (а не внутренних разделенных dns), добавьте URL-адрес службы федерации AD FS в список, для которого Internet Explorer будет обходить фильтрацию прокси-сервера. Ниже приведен пример добавления URL-адреса в список исключений Internet Explorer.

   1. В Internet Explorer в меню Сервис выберите пункт Свойства браузера.

   2. На вкладке Подключения выберите параметры локальной сети, а затем — Дополнительно.

   3. В поле Исключения введите значение, используя полное DNS-имя конечной точки службы AD FS. Например, введите sts.contoso.com.

Проверка для шага 5

Чтобы проверить, выполните следующие действия.

1. Убедитесь, что служба помощника по входу в Microsoft Online Services установлена и запущена. Для этого выполните следующие действия:

   1. Нажмите кнопку Пуск, нажмите кнопку Выполнить, введите Services.msc, а затем нажмите кнопку ОК.

   2. Найдите запись Помощник по входу в Microsoft Online Services и убедитесь, что служба запущена.

   3. Если служба не запущена, щелкните запись правой кнопкой мыши и выберите Запустить.

2. Перейдите на веб-сайт AD FS MEX, чтобы убедиться, что конечная точка является частью зоны безопасности интрасети Internet Explorer. Для этого выполните следующие действия:

   1. Запустите Internet Explorer и перейдите на веб-сайт конечной точки службы AD FS. Ниже приведен пример веб-сайта конечной точки службы.

      https://sts.contoso.com/federationmetadata/2007-06/federationmetadata.xml

   2. Проверьте строку состояния в нижней части окна, чтобы убедиться, что зона безопасности, указанная для этого URL-адреса, — Локальная интрасеть.