疑難排解 Office 365、Intune 或 Azure 中的單一登入設定問題

設定指導方針

前往下列 Microsoft 網站：

準備單一登入

步驟 1 的驗證

使用 [評估目錄同步處理設定診斷] 精靈來掃描 Active Directory 中可能會導致目錄同步處理問題的問題。

疑難排解步驟 1 的驗證問題

1. 注意：未正確準備 Active Directory 或無法解決工具識別的問題，可能會導致目錄同步處理問題。 請依照評估目錄同步處理設定診斷精靈提供的疑難排解指導方針來修正問題，並確認診斷精靈執行時沒有任何錯誤。 這可避免後續實作發生下列問題：

   • 2392130 針對同盟使用者登入 Office 365、Azure 或 Intune 時發生的使用者名稱問題進行疑難排解

   • 2001616 使用者的Office 365電子郵件地址在目錄同步處理後意外包含底線字元

   • 2643629 使用 Azure Active Directory 同步處理工具時，一或多個物件無法同步處理

2. 重新執行診斷精靈以檢查問題是否已解決。

設定指導方針

前往下列 Microsoft 網站：

使用 AD FS 安裝單一登入的Windows PowerShell

步驟 3 的驗證

若要驗證 SSO Windows PowerShell 適用的 Azure Active Directory 模組，請遵循下列步驟：

1. 以系統管理員身分執行 Windows PowerShell 的 Azure Active Directory 模組。

2. 輸入下列命令，並確認您在輸入每個命令後按 Enter：

   1. $cred=Get-Credential
      注意 當系統提示時，請輸入您的雲端服務系統管理員認證。

   2. Connect-MsolService -Credential $cred 

      
      注意：此命令會將您連線到 Azure AD。 您必須在執行 Azure Active Directory Module 為 Windows PowerShell 安裝的任何其他 Cmdlet 之前，先建立將您連線至 Azure AD 的上下文。

   3. Set-MsolAdfscontext -Computer < AD FS 2.0 primary server > 

      
      
      筆記

      • 如果您在主要 Active Directory 同盟服務 (AD FS) 伺服器上安裝了適用于 Windows PowerShell 的 Azure Active Directory 模組，則不需要執行此 Cmdlet。

      • 在此命令中， AD FS 2.0 主要伺服器><預留位置代表主要 AD FS 伺服器的內部完整功能變數名稱 (FQDN) 。 此命令會建立關聯至 AD FS 的操作內容。

   4. Get-MSOLFederationProperty -DomainName < federated domain name > 

      
      附注 在此命令中，同盟 功能變數名稱 <>預留位置代表設定步驟中同盟的功能變數名稱。

3. 比較前半部 (來源：AD FS Server) 和後半部 (來源：Microsoft Office 365您在步驟 2D 執行的Get-MSOLFederationProperty命令輸出) 。 Source 和 FederationServiceDisplayName 以外的所有專案都應該相符。 如果相符，請使用下列 Microsoft 知識庫文章的「解決方案」一節來更新仰賴方信任資料：
   
   2647020「很抱歉，但無法將您登入」，以及同盟使用者嘗試登入 Office 365、Azure 或 Intune 時發生「80041317」或「80043431」錯誤

疑難排解步驟 3

的驗證問題 若要進行疑難排解，請遵循下列步驟：

1. 根據您的情況，使用下列 Microsoft 知識庫文章疑難排解常見的驗證問題：

   • 2461873 您無法開啟 Windows PowerShell 的 Azure Active Directory 模組

   • 2494043您無法使用適用于 Windows PowerShell 的 Azure Active Directory 模組連線

   • 2587730使用 Set-MsolADFSContext Cmdlet 時發生「<ServerName 連線> Active Directory 同盟服務 2.0 伺服器失敗」錯誤

   • 2279117 系統管理員無法將網域新增至Office 365帳戶

   • 第二次執行 New-MsolFederatedDomain Cmdlet 時發生錯誤，因為網域驗證失敗。 如需此案例的詳細資訊，請參閱下列知識庫文章：

     2515404 疑難排解 Office 365 中的網域驗證問題

   • 2618887在 Office 365、Azure 或 Intune 中嘗試設定另一個同盟網域時，發生「AD FS 2.0 伺服器中指定的同盟服務識別碼已在使用中」錯誤Intune

   • 時間問題會導致New-MSOLFederatedDomain Cmdlet 或 Convert-MSOLDomainToFederated Cmdlet 的問題。

2. 重新執行驗證步驟，檢查問題是否已解決。

設定指導方針

移至下列 Microsoft 網站：

• 目錄同步處理藍圖

• 目錄同步處理和授權來源

步驟 4 的驗證

若要驗證，請遵循下列步驟：

1. 以系統管理員身分執行 Windows PowerShell 的 Azure Active Directory 模組。

2. 輸入下列命令。 輸入每個命令之後，請務必按下 Enter。

   1. $cred=Get-Credential
      
      注意 當系統提示時，請輸入您的雲端服務系統管理員認證。

   2. Connect-MsolService -認證$cred
      
      注意：此命令會將您連線到 Azure AD。 您必須在執行 Azure Active Directory Module 為 Windows PowerShell 安裝的任何其他 Cmdlet 之前，先建立將您連線至 Azure AD 的上下文。

   3. Get-MSOLCompanyInformation

3. 從上一個命令的輸出中檢查 LastDirSyncTime 值，並確認在安裝 Azure Active Directory 同步處理工具之後顯示同步處理。
   
   附注 此值的日期和時間戳記會顯示在 (格陵威治標準時間) 中。

4. 如果 LastDirSyncTime 未更新，請監控安裝 Azure Active Directory 同步處理工具之伺服器的應用程式記錄檔，以進行下列事件：

   • 來源：目錄同步處理

   • 事件識別碼：4

   • 層級：資訊

   此事件表示在伺服器上完成目錄同步處理。 發生這種情況時，請重新執行這些步驟，以確保 LastDirSyncTime 值已正確更新。

疑難排解步驟 4

的驗證問題 根據您的情況，使用下列 Microsoft 知識庫文章疑難排解常見的驗證問題：

• 在 Azure Active Directory 同步處理工具設定精靈中輸入企業系統管理員認證後，2508225「LogonUser () 失敗，錯誤碼：1789」。

• 2502710執行 Azure Active Directory 同步處理工具設定精靈時，發生「Microsoft Online Services 登入小幫手發生未知的錯誤」 錯誤

• 2419250嘗試安裝 Azure Active Directory 同步處理工具時發生「電腦必須加入網域」錯誤

• 2643629 使用 Azure Active Directory 同步處理工具時，一或多個物件無法同步處理

• 2641663 如何使用 SMTP 比對來比對內部部署使用者帳戶，以Office 365使用者帳戶進行目錄同步處理

• 2492140 您無法在Office 365入口網站中指派同盟網域給使用者

設定指導方針

1. 檢查用戶端Office 365先決條件。 如需Office 365系統需求的詳細資訊，請移至Office 365系統需求。

2. 在使用豐富用戶端應用程式的所有用戶端電腦上執行Office 365桌面設定。 豐富的用戶端應用程式包括適用于 Windows PowerShell 的 Microsoft Outlook、Microsoft Lync 2010、Microsoft Office Professional Plus 2010、Azure Active Directory 模組。 Office 桌面應用程式和 Microsoft SharePoint 整合應用程式。

3. 如果加入網域和連接網域的用戶端電腦可獲得順暢且無提示的體驗，請將 AD FS 同盟服務 URL 新增至 Windows Internet Explorer 中的本機內部網路區域。 例如，執行下列動作：

   1. 在 Internet Explorer 的 [ 工具] 功能表上，按一下 [ 網際網路選項]。

   2. 按一下 [安全性] 索 引標籤、按一下 [ 本機內部網路]、按一下 [ 網站]，然後按一下 [ 進階]。

   3. 在 [ 將此網站新增至區域 ] 方塊中輸入 HTTPs://sts.contoso.com，然後按一下 [ 新增]。
      
      注意：「sts.contoso.com」代表 AD FS 同盟服務的 FQDN。

   如需有關此設定的詳細資訊，請參閱下列 Microsoft 知識庫文章：

   2535227 同盟使用者會意外地輸入其公司或學校帳號憑證

4. 如果加入網域且連線網域的用戶端電腦是使用 Proxy 伺服器存取網際網路資源，該伺服器會使用公用 DNS 查詢 (而不是內部 DNS 查詢來解析網際網路位址，請) 將 AD FS 同盟服務 URL 新增到 Internet Explorer 略過 Proxy 篩選的清單中。 以下是如何將 URL 新增至 Internet Explorer 例外清單的範例：

   1. 在 Internet Explorer 的 [ 工具] 功能表上，按一下 [ 網際網路選項]。

   2. 在 [ 連線] 索引 標籤上，按一下 [LAN 設定]，然後按一下 [ 進階]。

   3. 在 [ 例外] 方塊 中，使用 AD FS 服務端點名稱的完整 DNS 名稱輸入值。 例如，輸入 sts.contoso.com。

步驟 5

的驗證 若要驗證，請遵循下列步驟：

1. 確定已安裝並執行 Microsoft Online Services 登入小幫手服務。 如果要執行這項操作，請依照下列步驟執行：

   1. 按一下 [開始]，按一下 [ 執行]，輸入 Services.msc，然後按一下 [ 確定]。

   2. 找出 Microsoft Online Services 登入小幫手專案，然後確定服務正在執行中。

   3. 如果服務未執行，請以滑鼠右鍵按一下該專案，然後選取 [ 開始]。

2. 移至 AD FS MEX 網站，確定端點是 Internet Explorer 內部網路安全區的一部分。 如果要執行這項操作，請依照下列步驟執行：

   1. 啟動 Internet Explorer，然後移至 AD FS 服務端點網站。 以下是服務端點網站的範例：

      HTTPs://sts.contoso.com/federationmetadata/2007-06/federationmetadata.xml

   2. 檢查視窗底部的狀態列，確定此 URL 所指示的安全性區域為 本機內部網路。