Устранение проблем с установкой единого входа в Office 365, Intune и Azure

ВВЕДЕНИЕ

В этой статье объясняется, как устранить проблемы с установкой единого входа в облачной службе Microsoft, например в Office 365, Microsoft Intune или Microsoft Azure. подробное руководство по внедрению единого входа (SSO) доступно в справочной документации Azure Active Directory (Azure AD). Если вы столкнулись с проблемой при настройке единого входа с помощью этого руководства, вы можете обратиться к этой статье. Она содержит руководство по устранению распространенных проблем, возникающих при каждом этапе настройки.

ПРОЦЕДУРА

Устранение неполадок с настройкой единого входа

Шаг 1: Подготовка службы каталогов Active Directory

Руководство по настройке

Перейдите на следующий веб-сайт корпорации Майкрософт:

Подготовка к единому входу

Проверка для шага 1

Использование мастера диагностики настройки синхронизации каталогов для поиска проблем, которые могут привести к проблемам с синхронизацией каталогов, в Active Directory.

Устранение неполадок, связанных с проверкой подлинности для шага 1

  1. Примечание. Неправильная подготовка Active Directory или отказ от устранения проблем, которые обнаруживает средство, может привести к проблемам с синхронизацией службы каталогов. Следуйте указаниям по устранению неполадок, предлагаемым мастером оценки настройки синхронизации каталогов для устранения проблем, и убедитесь в том, что мастер диагностики запускается без каких бы то ни было ошибок. Это предотвращает следующие проблемы, возникающие в реализации позже.

    • 2392130 Устранение неполадок, возникающих при входе в Office 365, Azure или Intune с учетом федеративных пользователей.

    • 2001616 В адресе электронной почты пользователя Office 365 неожиданно содержится символ подчеркивания после синхронизации службы каталогов

    • 2643629 Не удается синхронизировать один или несколько объектов при использовании средства синхронизации Azure Active Directory

  2. Перезапустите мастер диагностики, чтобы проверить, устранена ли неполадка.

Действие 2: Архитектура служб федерации Active Directory (AD FS)

Руководство по настройке Перейдите на следующие веб-сайты Майкрософт. Примечание Служба поддержки Майкрософт не поможет пользователям выполнить инструкции по настройке в этих ссылках.

Шаг 3: модуль Azure Active Directory для Windows PowerShell для единого входа

Руководство по настройке

Перейдите на следующий веб-сайт корпорации Майкрософт:

Установка Windows PowerShell для единого входа с помощью AD FS

Проверка для шага 3

Чтобы проверить модуль Azure Active Directory для Windows PowerShell для единого входа, выполните указанные ниже действия.

  1. Запустите модуль Azure Active Directory для Windows PowerShell в качестве администратора.

  2. Введите указанные ниже команды и убедитесь, что после ввода каждой команды нажимается клавиша ВВОД.

    1. $cred=Get-Credential Примечание Когда появится соответствующий запрос, введите свои учетные данные администратора облачной службы.

    2. Connect-MsolService -Credential $cred 

      Примечание.Эта команда подключает вас к Azure AD. Вы должны создать контекст, который подключается к Azure AD, прежде чем запускать дополнительные командлеты, установленные модулем Azure Active Directory для Windows PowerShell.

    3. Set-MsolAdfscontext -Computer < AD FS 2.0 primary server > 

      Примечания.

      • Если вы установили модуль Azure Active Directory для Windows PowerShell на основном сервере служб федерации Active Directory (AD FS), вам не потребуется запускать этот командлет.

      • В этой команде заполнитель <> основного сервера AD fs 2,0 представляет внутреннее полное доменное имя (FQDN) основного сервера AD FS. Эта команда создает контекст, который подключает вас к AD FS.

    4. Get-MSOLFederationProperty -DomainName < federated domain name > 

      Примечание. В этой команде заполнитель доменного имени <федеративного домена> представляет доменное имя, которое было федеративным в ходе настройки.

  3. Сравните первый полукруг (Источник: сервер AD FS) и последнюю половину (Source: Microsoft Office 365) выходных данных команды Get-MSOLFederationProperty , выполненной в действии 2D. Все записи, кроме исходного и FederationServiceDisplayName , должны совпадать. Если это не так, воспользуйтесь разделом "решение" следующей статьи Microsoft Knowledge Base для обновления данных доверия проверяющей стороны:2647020 "к сожалению, при попытке войти в Office 365, Azure или Intune возникла ошибка" и "80041317" или "80043431".

Устранение проблем с проверкой подлинности для шага 3Чтобы устранить неполадки, выполните указанные ниже действия.

  1. Устранение распространенных проблем с проверкой с помощью указанных ниже статей Microsoft Knowledge Base в зависимости от ситуации.

    • 2461873 Не удается открыть модуль Azure Active Directory для Windows PowerShell

    • 2494043Не удается подключиться с помощью модуля Azure Active Directory для Windows PowerShell

    • 2587730 "не удалось подключиться к серверу <ServerName> сервер служб федерации Active Directory 2,0" при использовании командлета Set-MsolADFSContext

    • 2279117 Администратор не может добавить домен в учетную запись Office 365

    • Ошибка при запуске командлета New-MsolFederatedDomain на второй раз из-за сбоя проверки домена. Дополнительные сведения об этом сценарии можно найти в следующей статье Microsoft Knowledge Base:

      2515404 Устранение проблем с проверкой доменов в Office 365

    • 2618887 "идентификатор службы федерации, указанный в сервере AD FS 2,0, уже используется." при попытке настроить другой федеративный домен в Office 365, Azure или Intune

    • Проблемы со временем приводят к возникновению проблем с командлетом New-MSOLFederatedDomain или командлетом Convert-MSOLDomainToFederated . Дополнительные сведения об этом сценарии можно найти в следующей статье Microsoft Knowledge Base:

      2578667 "к сожалению, возникла ошибка при попытке войти в службу" и "80045C06", когда федеративное пользователь попытается войти в Office 365, Azure или Intune

  2. Чтобы проверить, удалось ли устранить проблему, повторно выполните шаги проверки.

Шаг 4: реализация синхронизации Active Directory

Руководство по настройке

Перейдите на следующие веб-сайты Майкрософт.

Проверка для шага 4

Для проверки выполните указанные ниже действия.

  1. Запустите модуль Azure Active Directory для Windows PowerShell в качестве администратора.

  2. Введите следующие команды. После ввода каждой команды убедитесь, что нажимаете клавишу ВВОД.

    1. $cred=Get-Credential Примечание Когда появится соответствующий запрос, введите свои учетные данные администратора облачной службы.

    2. Connect-MsolService -Credential $cred Примечание Эта команда подключает вас к Azure AD. Вы должны создать контекст, который подключается к Azure AD, прежде чем запускать дополнительные командлеты, установленные модулем Azure Active Directory для Windows PowerShell.

    3. Get-MSOLCompanyInformation

  3. Проверьте значение LastDirSynctime из результатов предыдущих команд и убедитесь, что в нем показана синхронизация после установки средства синхронизации Azure Active Directory.Примечание. Метка даты и времени для этого значения отображается в формате UTC (среднее время по Гринвичу).

  4. Если LastDirSyncTime не обновляется, проследите за журналом приложений сервера, на котором установлено средство синхронизации Azure Active Directory, для следующего события:

    • Источник: Синхронизация службы каталогов

    • Код события: 4

    • Уровень: сведения

    Это событие указывает на то, что на сервере завершена синхронизация каталогов. В этом случае выполните эти действия, чтобы убедиться в том, что значение LastDirSyncTime было обновлено надлежащим образом.

Устранение проблем с проверкой подлинности для шага 4Устранение распространенных проблем с проверкой с помощью указанных ниже статей Microsoft Knowledge Base в зависимости от ситуации.

  • 2386445  Ошибка при запуске средства синхронизации Azure Active Directory: "Ваша версия мастера конфигурации синхронизации Windows Azure Active Directory устарела"

  • 2310320 Ошибка при попытке запустить мастер настройки средства синхронизации Azure Active Directory: "не удалось проверить подлинность ваших учетных данных. Еще раз введите свои учетные данные и повторите попытку "

  • 2508225 "LogonUser () сбой с кодом ошибки: 1789" после ввода учетных данных администратора предприятия в мастере настройки средства синхронизации Azure Active Directory

  • 2502710 "произошла ошибка" Неизвестная ошибка помощника по входу в Microsoft Online Services "при запуске мастера настройки средства синхронизации Azure Active Directory

  • 2419250 "при попытке установить средство синхронизации Azure Active Directory появляется сообщение об ошибке" компьютер должен быть присоединен к домену "

  • 2643629 Не удается синхронизировать один или несколько объектов при использовании средства синхронизации Azure Active Directory

  • 2641663 Использование сопоставления SMTP для сопоставления локальных учетных записей пользователей с учетными записями пользователей Office 365 для синхронизации службы каталогов

  • 2492140 Вы не можете назначить федеративный домен для пользователя на портале Office 365

Шаг 5: готовность клиента Office 365

Руководство по настройке
  1. Проверка требований клиента для Office 365. Дополнительные сведения о требованиях к системе для Office 365 можно найти в разделе требования к системе для office 365.

  2. Запустите программу установки Office 365 на всех клиентских компьютерах, использующих клиентские приложения с богатыми возможностями. Клиентские приложения с богатыми возможностями включают Microsoft Outlook, Microsoft Lync 2010, Microsoft Office профессиональный плюс 2010, модуль Azure Active Directory для Windows PowerShell. Классические приложения Office и приложения интеграции Microsoft SharePoint. Примечание. Настройка Office 365 для настольных компьютеров доступна по адресу http://g.microsoftonline.com/0BX10en/436?!Office365DesktopSetup.Application.

  3. Если для компьютеров-пользователей, подключенных к домену и домена, ожидается неправильное отображение, добавьте URL-адрес службы федерации AD FS в зону "Местная интрасеть" в Windows Internet Explorer. Например, сделайте следующее:

    1. В Internet Explorer в меню Сервис выберите пункт Свойства браузера.

    2. На вкладке Безопасность нажмите кнопку Местная интрасеть, выберите пункт сайтыи нажмите кнопку Дополнительно.

    3. Введите https://STS.contoso.com в поле Добавить веб-сайт в зону и нажмите кнопку добавить.Примечание "sts.contoso.com" — полное доменное имя службы федерации AD FS.

    Дополнительные сведения об этой конфигурации можно найти в следующей статье Microsoft Knowledge Base:

    2535227 У федеративных пользователей неожиданно появляется запрос на ввод учетных данных своей рабочей или учебной учетной записи

  4. Если на клиентских компьютерах, подключенных к домену, и клиентском компьютере есть доступ к Интернет-ресурсам с помощью прокси-сервера, который разрешает Интернет-адреса с помощью общедоступных DNS-запросов (а не внутренних, разделенных DNS-имен), добавьте URL-адрес службы федерации AD FS в список, для которого Internet Explorer будет пропускать фильтрацию прокси-сервера. Ниже приведен пример того, как добавить URL-адрес в список исключений Internet Explorer.

    1. В Internet Explorer в меню Сервис выберите пункт Свойства браузера.

    2. На вкладке подключения нажмите кнопку Настройка сети, а затем — Дополнительно.

    3. В поле исключения введите значение с помощью полного DNS-имени конечной точки службы AD FS. Например, введите STS.contoso.com.

Проверка для шага 5 Для проверки выполните указанные ниже действия.

  1. Убедитесь, что служба помощника по входу в Microsoft Online Services установлена и запущена. Для этого выполните следующие действия:

    1. Нажмите кнопку Пуск, выберите выполнить, введите Services. mscи нажмите кнопку ОК.

    2. Найдите запись помощника по входу в Microsoft Online Services и убедитесь, что служба запущена.

    3. Если служба не запущена, щелкните ее правой кнопкой мыши и выберите команду начать.

  2. Перейдите на веб-сайт AD FS MEX и убедитесь, что конечная точка входит в зону безопасности Internet Explorer в интрасети. Для этого выполните следующие действия:

    1. Запустите Internet Explorer и перейдите на веб-сайт конечной точки службы AD FS. Ниже приведен пример веб-сайта конечной точки службы:

      https://sts.contoso.com/federationmetadata/2007-06/federationmetadata.xml

    2. Проверьте строку состояния в нижней части окна, чтобы убедиться в том, что зона безопасности, указанная для этого URL-адреса, — Местная интрасеть.

Шаг 6: Последняя проверка

На настроенном клиентском компьютере протестируйте ожидаемый интерфейс проверки подлинности SSO. Для этого необходимо выполнить проверку подлинности с помощью федеративной учетной записи пользователя. Проверка подлинности федеративного пользователя может потребоваться в указанных ниже случаях.

  • В локальной сети и проверки подлинности в локальной службе каталогов Active Directory

  • Из IP-адреса, нейтрального к Интернету и не прошедших проверку подлинности в локальной службе каталогов Active Directory

Для проверки выполните указанные ниже действия.

  1. Проверка подлинности веб-сайта. Это можно сделать одним из описанных ниже способов.

    • Войдите на портал облачной службы в качестве федеративного пользователя, используя локальные учетные данные Active Directory.

    • Войдите в Outlook Web App как федеративный пользователь (с помощью локальных учетных данных Active Directory), у которого есть почтовый ящик Exchange Online. Например, войдите в Outlook Web App по следующему URL-адресу:

      https://outlook.com/owa/contoso.comПримечание.В этом URL-адресе "contoso.com" представляет собой имя федеративного домена.

    • Войдите в Microsoft SharePoint Online в качестве федеративного пользователя (с использованием локальных учетных данных Active Directory), у которого есть доступ к семейству веб-сайтов группы. Например, войдите в SharePoint Online по следующему URL-адресу:

      http://contoso.sharepoint.comПримечание. В этом URL-адресе "contoso" представляет название вашей организации.

  2. Проверка подлинности в многофункциональной клиентской или активной запрашивающей стороне. Для этого выполните следующие действия:

    1. Настройте профиль клиента Skype для бизнеса Online (прежнее название — Lync Online) для Федеративной учетной записи пользователя, а затем войдите в учетную запись с помощью локальных учетных данных Active Directory.

    2. Войдите в модуль Azure Active Directory для Windows PowerShell с помощью учетной записи федеративного администратора, обладающей глобальными учетными данными с помощью командлета Connect-MSOLService .

  3. Проверка обычной проверки подлинности Exchange Online с помощью анализатора удаленного подключения (Майкрософт). Дополнительные сведения об использовании анализатора удаленных подключений можно найти в следующей статье базы знаний Майкрософт:

    2650717  Устранение проблем с единым входом для Office 365, Azure или Intune с помощью анализатора удаленных подключений

Требуется дополнительная помощь? Перейдите на веб-сайт сообщества Майкрософт и форум Azure Active Directory .

Нужна дополнительная помощь?

Совершенствование навыков
Перейти к обучению
Первоочередный доступ к новым возможностям
Присоединение к программе предварительной оценки Майкрософт

Были ли сведения полезными?

Спасибо за ваш отзыв!

Благодарим за отзыв! Возможно, будет полезно связать вас с одним из наших специалистов службы поддержки Office.

×