Bỏ qua để tới nội dung chính
Hỗ trợ
Đăng nhập
Đăng nhập với Microsoft
Đăng nhập hoặc tạo một tài khoản.
Xin chào,
Chọn một tài khoản khác.
Bạn có nhiều tài khoản
Chọn tài khoản bạn muốn đăng nhập.

GIỚI THIỆU

Bài viết này thảo luận cách khắc phục sự cố thiết lập đăng nhập đơn trong dịch vụ điện toán đám mây của Microsoft chẳng hạn như Office 365, Microsoft InTune hoặc Microsoft Azure. hướng dẫn thực hiện chi tiết cho đăng nhập đơn (SSO) sẵn dùng trong tài liệu trợ giúp Azure Active Directory (Azure AD). Nếu bạn gặp phải sự cố khi thiết lập SSO bằng cách dùng hướng dẫn đó, bạn có thể tham khảo bài viết này. Nó cung cấp một lộ trình để giúp khắc phục sự cố phổ biến với từng bước thiết lập.

GIẢI

Cách khắc phục sự cố thiết lập SSO

Bước 1: chuẩn bị Active Directory

Hướng dẫn thiết lập

Đi đến trang web Microsoft sau đây:

Chuẩn bị cho đăng nhập đơn

Xác thực cho bước 1

Sử dụng trình hướng dẫn chẩn đoán thiết lập thư mục để quét thư mục hoạt động cho các vấn đề có thể khiến các vấn đề về đồng bộ hóa thư mục.

Khắc phục sự cố về xác thực cho bước 1

  1. Lưu ý Việc chuẩn bị không chính xác cho Active Directory hoặc không giải quyết được các vấn đề mà công cụ xác định có thể gây ra các vấn đề về đồng bộ hóa thư mục. Làm theo hướng dẫn khắc phục sự cố được cung cấp bởi trình hướng dẫn chẩn đoán thiết lập thư mục để sửa các vấn đề và đảm bảo rằng trình hướng dẫn chẩn đoán chạy mà không có bất kỳ lỗi nào. Thao tác này sẽ ngăn không cho các vấn đề sau đây xảy ra sau trong việc thực hiện:

    • 2392130 Khắc phục sự cố tên người dùng xảy ra đối với người dùng được liên kết khi họ đăng nhập vào Office 365, Azure hoặc InTune

    • 2001616 Địa chỉ email Office 365 của người dùng đột ngột có chứa một ký tự gạch dưới sau khi đồng bộ hóa thư mục

    • 2643629 Một hoặc nhiều đối tượng không đồng bộ khi sử dụng công cụ đồng bộ Azure Active Directory

  2. Chạy trình hướng dẫn chẩn đoán để kiểm tra xem vấn đề đã được giải quyết không.

Bước 2: kiến trúc dịch vụ liên kết Active Directory (AD FS)

Hướng dẫnthiết lập Đi đến các trang web Microsoft sau đây: Ghi chú Hỗ trợ của Microsoft sẽ không giúp khách hàng thực hiện các hướng dẫn thiết lập trong các nối kết này.

Bước 3: phân hệ Azure Active Directory cho Windows PowerShell dành cho SSO

Hướng dẫn thiết lập

Đi đến trang web Microsoft sau đây:

Cài đặt Windows PowerShell cho đăng nhập một lần bằng AD FS

Xác thực cho bước 3

Để xác nhận mô-đun Azure Active Directory cho Windows PowerShell cho SSO, hãy làm theo các bước sau đây:

  1. Chạy mô-đun Azure Active Directory cho Windows PowerShell với vai trò là người quản trị.

  2. Nhập các lệnh sau đây và đảm bảo rằng bạn nhấn Enter sau khi bạn nhập từng lệnh:

    1. $cred=Get-Credential Ghi chú Khi bạn được nhắc, hãy nhập thông tin xác thực người quản trị dịch vụ đám mây của bạn.

    2. Connect-MsolService -Credential $cred

      Lưu ý Lệnh này kết nối bạn với Azure AD. Bạn phải tạo một ngữ cảnh kết nối bạn với Azure AD trước khi bạn chạy bất kỳ lệnh ghép ngắn bổ sung nào được cài đặt bởi mô-đun Azure Active Directory cho Windows PowerShell.

    3. Set-MsolAdfscontext -Computer < AD FS 2.0 primary server >

      Lưu ý́

      • Nếu bạn đã cài đặt mô-đun Azure Active Directory cho Windows PowerShell trên máy chủ Dịch vụ liên kết Active Directory (AD FS) chính, bạn không cần phải chạy lệnh ghép ngắn này.

      • Trong lệnh này, chỗ dành sẵn <AD FS 2,0 máy chủ chính> đại diện cho tên miền nội bộ đầy đủ điều kiện (FQDN) của máy chủ AD FS chính. Lệnh này tạo một ngữ cảnh kết nối bạn với AD FS.

    4. Get-MSOLFederationProperty -DomainName < federated domain name >

      Lưu ý Trong lệnh này, chỗ dành sẵn <tên miền được liên kết> đại diện cho tên miền đã được liên kết trong các bước thiết lập.

  3. So sánh nửa đầu tiên (nguồn: AD FS Server) và nửa cuối (nguồn: Microsoft Office 365) của đầu ra của lệnh Get-Msolfederationthuộc tính mà bạn đã chạy trong bước 2D. Tất cả các mục nhập ngoại trừ nguồn và Federationservicedisplaysẽ khớp. Nếu họ không khớp, hãy dùng mục "độ phân giải" của bài viết cơ sở kiến thức Microsoft sau để cập nhật dữ liệu tin cậy bên:2647020 "xin lỗi, nhưng chúng tôi đang gặp khó khăn khi đăng nhập bạn trong" and "80041317" hoặc "80043431" lỗi khi người dùng liên kết cố gắng đăng nhập vào Office 365, Azure hoặc InTune

Khắc phục sự cố về xác thực cho bước 3Để khắc phục sự cố, hãy làm theo các bước sau đây:

  1. Khắc phục các vấn đề về xác thực chung bằng cách sử dụng các bài viết cơ sở kiến thức Microsoft sau đây, phù hợp với tình huống của bạn:

    • 2461873 Bạn không thể mở mô-đun Azure Active Directory cho Windows PowerShell

    • 2494043Bạn không thể kết nối bằng cách sử dụng mô-đun Azure Active Directory cho Windows PowerShell

    • 2587730 "kết nối đến <servername> Active Directory Federation Services 2,0 Server không thành công" khi bạn dùng lệnh ghép ngắn Set-MsolADFSContext

    • 2279117 Người quản trị không thể thêm tên miền vào tài khoản Office 365

    • Lỗi khi bạn chạy lệnh ghép ngắn Msolfederatetdomain mới cho lần thứ hai vì xác nhận tên miền không thành công. Để biết thêm thông tin về kịch bản này, hãy xem bài viết cơ sở kiến thức sau đây:

      2515404 Khắc phục sự cố xác nhận tên miền trong Office 365

    • 2618887 "định danh dịch vụ liên kết được xác định trong máy chủ AD FS 2,0 đã được sử dụng". lỗi khi bạn cố gắng thiết lập một miền được liên kết khác trong Office 365, Azure hoặc InTune

    • Các vấn đề về thời gian gây ra sự cố với lệnh ghép ngắn Msolfederatetdomain mới hoặc lệnh ghép ngắn Convert-Msoldomaintoliên kết. Để biết thêm thông tin về kịch bản này, hãy xem bài viết cơ sở kiến thức sau đây:

      2578667 "xin lỗi, nhưng chúng tôi đang gặp sự cố khi bạn đăng nhập vào" và "80045Cpc" lỗi khi người dùng liên kết cố gắng đăng nhập vào Office 365, Azure hoặc InTune

  2. Chạy lại các bước xác thực để kiểm tra xem vấn đề đã được giải quyết không.

Bước 4: thực hiện đồng bộ hóa Active Directory

Hướng dẫn thiết lập

Đi đến các trang web Microsoft sau đây:

Xác thực cho bước 4

Để xác thực, hãy làm theo các bước sau đây:

  1. Chạy mô-đun Azure Active Directory cho Windows PowerShell với vai trò là người quản trị.

  2. Nhập các lệnh sau đây. Hãy đảm bảo rằng bạn nhấn Enter sau khi bạn nhập từng lệnh.

    1. $cred=Get-Credential Ghi chú Khi bạn được nhắc, hãy nhập thông tin xác thực người quản trị dịch vụ đám mây của bạn.

    2. Connect-MsolService -Credential $cred Ghi chú Lệnh này kết nối bạn với Azure AD. Bạn phải tạo một ngữ cảnh kết nối bạn với Azure AD trước khi bạn chạy bất kỳ lệnh ghép ngắn bổ sung nào được cài đặt bởi mô-đun Azure Active Directory cho Windows PowerShell.

    3. Get-MSOLCompanyInformation

  3. Hãy kiểm tra giá trịthời gian lastdirsynctừ đầu ra của các lệnh trước đó và đảm bảo rằng nó hiển thị đồng bộ hóa sau khi cài đặt công cụ đồng bộ Azure Active Directory.Lưu ý Dấu ngày và thời gian cho giá trị này được hiển thị trong thời gian phối hợp quốc tế (thời gian có nghĩa là Greenwich).

  4. Nếu Lastdirsynctime không được Cập Nhật, hãy theo dõi Nhật ký ứng dụng của máy chủ mà công cụ đồng bộ Azure Active Directory được cài đặt cho sự kiện sau đây:

    • Nguồn: đồng bộ hóa thư mục

    • ID sự kiện: 4

    • Mức độ: thông tin

    Sự kiện này cho biết rằng đồng bộ hóa thư mục đã hoàn tất trên máy chủ. Khi điều này xảy ra, hãy chạy lại các bước này để đảm bảo rằng giá trị Lastdirsynctime đã được Cập Nhật thích hợp.

Khắc phục sự cố về xác thực cho bước 4Khắc phục các vấn đề về xác thực chung bằng cách sử dụng các bài viết cơ sở kiến thức Microsoft sau đây, phù hợp với tình huống của bạn:

  • 2386445  Lỗi khi bạn chạy công cụ đồng bộ Azure Active Directory: "Phiên bản trình hướng dẫn cấu hình đồng bộ Windows Azure Active Directory là lỗi"

  • 2310320 Lỗi khi bạn tìm cách chạy trình hướng dẫn cấu hình công cụ đồng bộ Azure Active Directory: "thông tin xác thực của bạn không thể xác thực. Nhập lại thông tin xác thực của bạn và thử lại "

  • 2508225 "logonuser () không thành công với mã lỗi: 1789" sau khi bạn nhập thông tin xác thực người quản trị doanh nghiệp trong trình hướng dẫn cấu hình công cụ đồng bộ Azure Active Directory

  • 2502710 "lỗi không xác định xảy ra với trợ lý đăng nhập dịch vụ trực tuyến của Microsoft" khi bạn chạy trình hướng dẫn cấu hình công cụ đồng bộ Azure Active Directory

  • 2419250 "máy tính phải được gia nhập vào lỗi" tên miền khi bạn tìm cách cài đặt công cụ đồng bộ Azure Active Directory

  • 2643629 Một hoặc nhiều đối tượng không đồng bộ khi sử dụng công cụ đồng bộ Azure Active Directory

  • 2641663 Làm thế nào để sử dụng kết hợp SMTP để khớp với tài khoản người dùng tại cơ sở cho các tài khoản người dùng Office 365 để đồng bộ hóa thư mục

  • 2492140 Bạn không thể gán tên miền được liên kết cho người dùng trong cổng thông tin Office 365

Bước 5: chuẩn bị khách hàng trong Office 365

Hướng dẫn thiết lập

  1. Kiểm tra điều kiện tiên quyết của máy khách đối với Office 365. Để biết thêm thông tin về các yêu cầu hệ thống cho Office 365, hãy đi đến các yêu cầu hệ thống office 365.

  2. Chạy thiết lập Office 365 trên máy tính của bạn trên tất cả các máy tính khách sử dụng các ứng dụng máy khách phong phú. Các ứng dụng máy khách phong phú bao gồm Microsoft Outlook, Microsoft Lync 2010, Microsoft Office Professional Plus 2010, Azure Active Directory module cho Windows PowerShell. Ứng dụng Office trên máy tính và ứng dụng Microsoft SharePoint tích hợp. Lưu ý Thiết lập Office 365 trên máy tính có tại http://g.microsoftonline.com/0BX10en/436?!Office365DesktopSetup.Application.

  3. Nếu một trải nghiệm không nhắc đến, được dự kiến cho máy tính khách được kết nối tên miền, hãy thêm URL dịch vụ liên kết AD FS đến vùng intranet Cục bộ trong Windows Internet Explorer. Ví dụ, hãy thực hiện các thao tác sau:

    1. Trong Internet Explorer, trên menu công cụ , bấm tùy chọn Internet.

    2. Bấm vào tab bảo mật , bấm vào mạng nội bộ cục bộ, bấm site, rồi bấm nâng cao.

    3. Nhập https://Sts.contoso.com vào hộp Thêm trang web này vào vùng , rồi bấm Thêm.Ghi chú "sts.contoso.com" đại diện cho FQDN của dịch vụ liên kết AD FS.

    Để biết thêm thông tin về cấu hình này, hãy xem bài viết cơ sở kiến thức Microsoft sau:

    2535227 Người dùng liên kết được nhắc đột ngột nhập thông tin xác thực tài khoản cơ quan hoặc trường học của họ

  4. Nếu máy tính khách được kết nối tên miền và máy tính truy nhập vào tài nguyên Internet bằng cách sử dụng máy chủ proxy mà xử lý địa chỉ Internet bằng cách dùng truy vấn DNS công cộng (và không nằm trong, chia DNS não), hãy thêm URL dịch vụ liên kết AD FS vào danh sách mà Internet Explorer sẽ bỏ qua việc lọc proxy. Sau đây là một ví dụ về cách thêm URL vào danh sách ngoại lệ của Internet Explorer:

    1. Trong Internet Explorer, trên menu công cụ , bấm tùy chọn Internet.

    2. Trên tab kết nối , hãy bấm thiết đặt Lan, rồi bấm nâng cao.

    3. Trong hộp ngoại lệ , hãy nhập giá trị bằng cách sử dụng tên DNS đầy đủ điều kiện của tên điểm cuối dịch vụ AD FS. Ví dụ, nhập Sts.contoso.com.

Xác thực cho bước 5 Để xác thực, hãy làm theo các bước sau đây:

  1. Đảm bảo rằng dịch vụ Trợ giúp đăng nhập dịch vụ trực tuyến của Microsoft được cài đặt và chạy. Để thực hiện việc này, hãy làm theo các bước sau:

    1. Bấm vào bắt đầu, bấm vào chạy, nhập Services. msc, rồi bấm OK.

    2. Định vị mục nhập trợ lý đăng nhập dịch vụ trực tuyến của Microsoft, rồi đảm bảo rằng dịch vụ đang chạy.

    3. Nếu dịch vụ không chạy, hãy bấm chuột phải vào mục nhập, rồi chọn bắt đầu.

  2. Đi đến trang web AD FS MEX để đảm bảo điểm cuối là một phần của vùng bảo mật Intranet của Internet Explorer. Để thực hiện việc này, hãy làm theo các bước sau:

    1. Khởi động Internet Explorer, rồi đi tới trang web của dịch vụ điểm cuối của AD FS. Sau đây là ví dụ về trang web điểm cuối dịch vụ:

      https://sts.contoso.com/federationmetadata/2007-06/federationmetadata.xml

    2. Kiểm tra thanh trạng thái ở phía dưới cùng của cửa sổ để đảm bảo rằng vùng bảo mật được chỉ định cho URL này là mạng nội bộ cục bộ.

Bước 6: xác thực cuối cùng

Trên máy tính khách được cấu hình, hãy kiểm tra trải nghiệm xác thực SSO dự kiến. Để thực hiện điều này, hãy xác thực bằng cách sử dụng tài khoản người dùng đã liên kết. Bạn có thể muốn kiểm tra xác thực của người dùng đã liên kết trong những tình huống sau đây:

  • Trong mạng tại cơ sở và được xác thực đối với Active Directory tại chỗ

  • Từ một vị trí IP trung độ Internet và không được xác thực đối với Active Directory tại chỗ

Để xác thực, hãy làm theo các bước sau đây:

  1. Kiểm tra xác thực web. Để thực hiện việc này, hãy sử dụng một trong các phương pháp sau:

    • Đăng nhập vào cổng thông tin dịch vụ điện toán đám mây như người dùng được liên kết bằng cách sử dụng thông tin đăng nhập cục bộ Active Directory.

    • Đăng nhập vào Outlook Web App là người dùng liên kết (bằng thông tin đăng nhập Active Directory cục bộ) có hộp thư Exchange Online. Ví dụ, đăng nhập vào Outlook Web App tại URL sau:

      https://outlook.com/owa/contoso.comLưu ý Trong URL này, "contoso.com" đại diện cho tên miền được liên kết.

    • Đăng nhập vào Microsoft SharePoint Online với tư cách là người dùng liên kết (bằng thông tin đăng nhập Active Directory cục bộ) ai có quyền truy nhập vào tuyển tập site nhóm. Ví dụ, đăng nhập vào SharePoint Online tại URL sau:

      http://contoso.sharepoint.comLưu ý Trong URL này, "contoso" đại diện cho tên tổ chức của bạn.

  2. Kiểm tra khách hàng phong phú hoặc xác thực requestor hiện hoạt. Để thực hiện việc này, hãy làm theo các bước sau:

    1. Đặt cấu hình hồ sơ máy khách Skype for Business Online (trước đây là Lync Online) cho tài khoản người dùng đã liên kết, sau đó đăng nhập vào tài khoản bằng thông tin đăng nhập Active Directory cục bộ.

    2. Đăng nhập vào công việc Azure Active Directory module cho Windows PowerShell bằng tài khoản người dùng liên kết có thông tin xác thực quản trị toàn cầu thông qua lệnh ghép ngắn Connect-MSOLService .

  3. Kiểm tra xác thực cơ bản của Exchange Online bằng cách sử dụng trình phân tích kết nối từ xa của Microsoft. Để biết thêm thông tin về cách sử dụng bộ phân tích kết nối từ xa, hãy xem bài viết sau đây trong cơ sở kiến thức Microsoft:

    2650717  Cách dùng phân tích kết nối từ xa để khắc phục sự cố đăng nhập đơn cho Office 365, Azure hoặc InTune

Bạn vẫn cần trợ giúp? Đi đến cộng đồng Microsoft hoặc Website diễn đàn Active Directory của Azure .

Facebook LinkedIn Email
ĐĂNG KÝ NGUỒN CẤP DỮ LIỆU RSS

Bạn cần thêm trợ giúp?

Bạn muốn xem các tùy chọn khác?

Khám phá Cộng đồng

Khám phá các lợi ích của gói đăng ký, xem qua các khóa đào tạo, tìm hiểu cách bảo mật thiết bị của bạn và hơn thế nữa.

Lợi ích đăng ký Microsoft 365

Nội dung đào tạo về Microsoft 365

Bảo mật Microsoft

Trung tâm trợ năng

Cộng đồng giúp bạn đặt và trả lời các câu hỏi, cung cấp phản hồi và lắng nghe ý kiến từ các chuyên gia có kiến thức phong phú.

Hỏi Cộng đồng Microsoft

Cộng đồng Kỹ thuật Microsoft

Người dùng Nội bộ Windows

Người dùng nội bộ Microsoft 365

Thông tin này có hữu ích không?

Bạn hài lòng đến đâu với chất lượng dịch thuật?
Điều gì ảnh hưởng đến trải nghiệm của bạn?
Khi nhấn gửi, phản hồi của bạn sẽ được sử dụng để cải thiện các sản phẩm và dịch vụ của Microsoft. Người quản trị CNTT của bạn sẽ có thể thu thập dữ liệu này. Điều khoản về quyền riêng tư.

Cảm ơn phản hồi của bạn!

×