SORUN
Yeni federasyon kullanıcısı Office 365, Microsoft Azure veya Microsoft Intune gibi bir Microsoft bulut hizmetinde oturum açamaz. Kullanıcı aşağıdaki belirtilerden biriyle karşılaşır:
-
Kullanıcı login.microsoftonline.com web sayfasına kullanıcı kimliğini girdikten sonra, kullanıcı kimliği ev bölgesi bulma tarafından federasyon kullanıcısı olarak tanımlanamaz ve kullanıcı otomatik olarak çoklu oturum açma (SSO) aracılığıyla oturum açmak üzere yeniden yönlendirilmiyor.
-
Active Directory Federasyon Hizmetleri (AD FS) kimlik doğrulaması (AD FS) başarısız olur ve kullanıcı aşağıdaki form tabanlı kimlik doğrulama hata iletisini alır:
Kullanıcı adı veya parola yanlış
-
Kullanıcı login.microsoftonline.com web sayfasında aşağıdaki hata iletisini alır:
Üzgünüz, ancak oturumu kapatma konusunda sorun yaşıyoruz
NEDEN
Bu belirtiler hatalı pilot SSO özellikli kullanıcı kimliği nedeniyle ortaya çıkabilir. SSO özellikli bir kullanıcı kimliğini pilot uygulamayla ilgili genel gereksinimler şunlardır:
-
şirket içi Active Directory kullanıcı hesabı, kullanıcı asıl adı (UPN) soneki olarak federasyon etki alanı adını kullanmalıdır.
-
İlişkili Microsoft Exchange Online posta kutusunun kullanıcı kimliği ve birincil e-posta adresi aynı etki alanı sonekini paylaşmaz.
-
Azure Active Directory Eşitleme aracının şirket içi Active Directory kullanıcı hesabını bulut tabanlı bir kullanıcı kimliğiyle eşitlemesi gerekir.
-
şirket içi Active Directory kullanıcı hesabının UPN'si ve bulut tabanlı kullanıcı kimliği eşleşmelidir.
Bu sorunun nedeninin hatalı pilot SSO özellikli bir kullanıcı kimliği olduğunu varsaymadan önce aşağıdaki koşulların doğru olduğundan emin olun:
-
Kullanıcı sık karşılaşılan bir oturum açma sorunuyla karşılaşmıyor. Yaygın oturum açma sorunlarını giderme hakkında daha fazla bilgi için aşağıdaki Microsoft Bilgi Bankası makalesine bakın:
2412085 Office 365, Azure veya Intune gibi kuruluş hesabınızda oturum alamazsınız
-
Federasyon etki alanı aşağıdaki gibi SSO'nun desteklendiği doğru şekilde hazırlanmıştır:
-
Federasyon etki alanı DNS tarafından genel olarak çözümlenebilir. (Bu, varsayılan "onmicrosoft.com" etki alanını içermez.)
-
Federasyon etki alanı, aşağıdaki Microsoft web sitelerine göre SSO için hazırlanmıştır.
Not Etki alanı federasyon dönüştürmenin yayılması biraz zaman alabilir. Etki alanı yapılandırmasının hatalı olduğunu varsaymadan önce bir etki alanını federasyona ekledikten sonra iki saat beklemeniz gerekir.
-
ÇÖZÜM
Bu sorunu çözmek için kullanıcı hesabının SSO özellikli bir kullanıcı kimliği olarak doğru şekilde pilot şekilde çalıştığından emin olun. Bunu yapmak için aşağıdaki yöntemlerden birini veya daha fazlasını kullanın:
Yöntem 1: Kullanıcıların "Üzgünüz, ancak oturum açarken sorun yaşıyoruz" hatasını alıp almadığınızı 2615736 Bilgi Bankası makalesine bakın
Kullanıcı "Üzgünüz, ancak oturum açarken sorun yaşıyoruz" hata iletisi alıyorsa, sorunu gidermek için aşağıdaki Microsoft Bilgi Bankası makalesini kullanın:
Kullanıcı Office 365, Azure veya Intune oturum açmaya çalıştığında "Üzgünüz, ancak oturum açarken sorun yaşıyoruz" hatasını 2615736
Yöntem 2: Şirket içi kullanıcı hesabının UPN'sini sonek olarak federasyon etki alanını kullanacak şekilde güncelleştirin
Uyarı Active Directory kullanıcı hesabının UPN'sini değiştirmek, kullanıcının şirket içi Active Directory işlevselliği üzerinde önemli bir etkiye sahip olabilir. UPN değişiklikleri hakkında dikkatli ve sınırlandırma kullanmanızı öneririz.
Etki potansiyel olarak aşağıdakileri içerir:
-
Önbelleğe alınmış kimlik bilgilerini kullanarak işletim sisteminde oturum açan dolaşım kullanıcıları tarafından şirket içi kaynaklara uzaktan erişim
-
Kullanıcı sertifikalarını kullanarak uzaktan erişim kimlik doğrulama teknolojileri
-
Güvenli MIME (SMIME), bilgi hakları yönetimi (IRM) teknolojileri ve NTFS'nin Şifreleme Dosya Sistemi (EFS) özelliği gibi kullanıcı sertifikalarını temel alan şifreleme teknolojileri
-
Akıllı kart işlevselliği
UPN'nin güncelleştirilmesinin kullanıcı erişimini nasıl etkilediğini daha iyi anlamak için tek bir kullanıcı hesabı üzerinde pilot çalışmanızı kesinlikle öneririz. Bu bilgiler, bu teknolojileri kullanarak verilere erişilebilirliği korumak için gereken sertifika yeniden sağlama, veri kurtarma ve diğer düzeltmeleri önceden planlamak veya azaltmak için yararlıdır.
Kullanıcı hesabı UPN'sini hem şirket içi Active Directory ortamında hem de Azure AD federasyon etki alanı sonekini yansıtacak şekilde güncelleştirmeniz gerekir. Bunu yapmak için şu adımları izleyin:
-
Federasyon etki alanının UPN soneki olarak eklendiğinden emin olun:
-
şirket içi Active Directory etki alanı denetleyicisinde Başlat'a tıklayın, Tüm Programlar'ın üzerine gelin, Yönetim Araçları'na tıklayın ve ardından Active Directory Etki Alanları ve Güvenleri'ne tıklayın.
-
Active Directory Etki Alanları ve Güvenleri'nin kök düğümüne sağ tıklayın, Özellikler'i seçin ve SSO için kullanılan etki alanı adının mevcut olduğundan emin olun.
Not Domain.internal veya domain.microsoftonline.com etki alanı gibi yönlendirilebilir olmayan bir etki alanı soneki, SSO işlevselliğinden veya federasyon hizmetlerinden yararlanamaz. Bu adımda yönlendirilemeyen bir etki alanı soneki kullanılmamalıdır.
-
-
Sorunlu kullanıcı hesabının UPN sonekini el ile güncelleştirin:
-
şirket içi Active Directory etki alanı denetleyicisinde Başlat'a tıklayın, Tüm Programlar'ın üzerine gelin, Yönetimsel Araçlar'a tıklayın ve sonra da Active Directory Kullanıcıları ve Bilgisayarları'e tıklayın.
-
Sorunlu kullanıcı hesabını bulun, hesaba sağ tıklayın ve ardından Özellikler'e tıklayın.
-
Hesap sekmesinde, sol üst köşedeki açılan listeyi kullanarak UPN sonekini özel etki alanıyla değiştirin ve ardından Tamam'a tıklayın.
-
Yöntem 3: Exchange Online posta kutusunun kullanıcı kimliğiyle birincil Basit Posta Aktarım Protokolü (SMTP) adresinin aynı etki alanına sahip olduğundan emin olun
Şirket içi kullanıcının birincil SMTP adresini Yöntem 2'de açıklanan UPN özniteliğinin aynı etki alanına ayarlamak için şirket içi Exchange yönetim araçlarını kullanın. Daha fazla bilgi için aşağıdaki Microsoft TechNet web sitelerine gidin:
E-posta Adres İlkesini
Düzenleme Kullanıcı ve Kaynak Posta Kutusu Özelliklerini Yapılandırma Exchange şirket içi ortamda yüklü değilse, Active Directory Kullanıcıları ve Bilgisayarları kullanarak SMTP adresi değerini yönetebilirsiniz. Bunu yapmak için şu adımları izleyin:
-
Active Directory Kullanıcıları ve Bilgisayarları'da kullanıcı nesnesine sağ tıklayın ve ardından Özellikler'e tıklayın.
-
Genel sekmesinde, E-Posta alanını güncelleştirin ve ardından Tamam'a tıklayın.
Yöntem 4: Kullanıcı hesabı UPN için Active Directory eşitlemesini ayarlama
SSO'nun doğru çalışmasını sağlamak için Active Directory eşitleme istemcisini ayarlamanız gerekir. Active Directory eşitlemesini ayarlama hakkında daha fazla bilgi için aşağıdaki Microsoft web sitesine gidin:
Active Directory eşitlemesi: Yol HaritasıEşitlemeyi zorlama ve doğrulama hakkında daha fazla bilgi için aşağıdaki Microsoft web sitelerine gidin:
Yöntem 5: Belirli bir kullanıcı hesabı için UPN güncelleştirme sorunlarını giderme
Eşitleme doğrulanabilir ancak pilot kullanıcı kimliğinin UPN'si hala güncelleştirilmediyse, eşitleme sorunu belirli bir kullanıcı için oluşabilir.
Belirli bir Active Directory nesnesini eşitlemeyle ilgili olası sorunları giderme hakkında daha fazla bilgi için aşağıdaki Microsoft Bilgi Bankası makalesine bakın:
2643629 Azure Active Directory Eşitleme aracı kullanılırken bir veya daha fazla nesne eşitlenmiyor
Yine de yardım mı gerekiyor? Microsoft Topluluğu'na veya Azure Active Directory Forumları web sitesine gidin.