如何使用遠端連線分析器針對 Microsoft 365、Azure 或 Intune 的單一登錄問題進行疑難解答

簡介

本文說明如何診斷單一登錄 (SSO) Microsoft 雲端服務中的登入問題，例如 Microsoft 365、Microsoft Azure 或使用 Microsoft 遠端連線分析器 Microsoft Intune。 它也包含常見 SSO 失敗原因的相關信息，並列出如何針對問題進行疑難解答的資源連結。

遠端連線分析器是雲端式服務的免費連線測試平臺。 它會從因特網對這些服務採取行動，以測試必要同盟服務端點的可用性，以取得預期的行為。

其他相關資訊

任何 SSO 通訊的數據流都是可預測的。 預期的數據流模式可以與實際數據流的擷取進行比較或對比，該數據流是在 SSO 嘗試失敗時所發生的，以判斷進程可能發生什麼問題。

如何執行遠端連線分析器以測試 SSO 驗證

若要執行遠端連線分析器來測試 SSO 驗證，請遵循下列步驟：

1. 開啟網頁瀏覽器，然後瀏覽至 https://www.testconnectivity.microsoft.com/tests/SingleSignOn/input。

2. 輸入您的使用者識別碼和密碼，按下以選取 [安全性通知] 複選框，輸入驗證碼，然後按兩下 [ 執行測試]。

   注意事項

   • 您的使用者識別碼是UPN) (用戶主體名稱。
   • 您必須輸入與您要測試之 SSO 實作相關聯的實際認證。

   

3. 如果連線測試未順利完成，請依照錯誤圖示展開 [ 測試詳細 數據] 結果樹狀結構，以識別測試遇到的第一個錯誤。 針對偵測到的任何錯誤狀態，將測試結果樹狀結構展開至特定錯誤，然後按兩下 [ 深入瞭解此問題及如何解決]。

   下表列出常見 SSO 失敗的原因，以及可用來協助解決問題的資源。

   測試	常見原因和失敗來源	說明	可能的解決方式
   嘗試擷取網域註冊，並驗證使用者的同盟狀態資訊。 分析使用者收到的網域註冊	在網域註冊中發現錯誤。	這表示做為使用者 UPN 後綴的網域尚未同盟。	同盟 UPN 後綴網域。 針對網域同盟和用戶帳戶問題進行疑難解答。 如需詳細資訊，請參閱針對 Microsoft 365、Azure 或 Intune 中同盟使用者的帳戶問題進行疑難解答。 更新使用者的UPN以使用正確的同盟網域後綴。 如需詳細資訊，請參閱針對同盟使用者登入 Microsoft 365、Azure 或 Intune 時所發生的使用者名稱問題進行疑難解答。
   嘗試解析同盟的主機名。DNS 中的 contoso.com	無法解析主機名。	AD FS 服務端點的公用 DNS 解析失敗。	如需如何針對此問題進行疑難解答的詳細資訊，請參閱針對 Microsoft 365、Intune 或 Azure 中的單一登錄設定問題進行疑難解答。 如需不公開 AD FS 限制的詳細資訊，請參閱在 Microsoft 365、Azure 或 Intune 中使用 AD FS 設定單一登錄的支援案例。
   在主機 sts.contoso.com 上測試 TCP 連接埠 443，以確定其正在接聽並開啟	指定的埠會遭到封鎖、未接聽或未產生預期的回應。	AD FS 回應所依賴的一或多個服務已停止、已停止，或以某種方式無法使用。	重新啟動服務。 如需詳細資訊，請參閱 因特網瀏覽器無法顯示同盟使用者的AD FS登入網頁。 調查可能的 AD FS 記憶體流失。 如需詳細資訊， 請參閱當您將 HTTP SOAP 要求傳送至執行 Windows Server 2008 R2 或 Windows Server 2008 之電腦上的 “/adfs/services/trust/mex” 端點時，會傳回 “500” 錯誤碼。 調查防火牆發佈的 AD FS 服務問題。 如需詳細資訊，請參閱如何針對使用者登入 Microsoft 365、Intune 或 Azure 時的 AD FS 端點連線問題進行疑難解答。
   從元數據交換 URL https://fed.contoso.com/adfs/services/trust/mex|ExRCA 擷取 AD FS 元數據資訊無法擷取 AD FS 元數據。	AD FS 回應所依賴的一或多個服務已停止、已停止，或以某種方式無法使用。	重新啟動服務。 如需詳細資訊，請參閱當同盟用戶嘗試登入 Microsoft 365、Azure 或 Intune 時，因特網瀏覽器無法顯示 AD FS 網頁。 調查 AD FS Proxy 伺服器的問題。 如需詳細資訊，請參閱如何針對使用者登入 Microsoft 365、Intune 或 Azure 時的 AD FS 端點連線問題進行疑難解答。 調查可能的 AD FS 記憶體流失。 如需詳細資訊， 請參閱當您將 HTTP SOAP 要求傳送至執行 Windows Server 2008 R2 或 Windows Server 2008 之電腦上的 “/adfs/services/trust/mex” 端點時，會傳回 “500” 錯誤碼。
   驗證憑證名稱	憑證名稱驗證失敗。	SSL 憑證的問題會限制AD FS驗證。	使用 SSL 憑證對問題進行疑難解答。 如需詳細資訊，請參閱當您嘗試登入 Microsoft 365、Azure 或 Intune 時，收到來自 AD FS 的憑證警告。
   憑證信任正在驗證中。	憑證信任驗證失敗。	SSL 憑證的問題會限制AD FS驗證。	使用 SSL 憑證對問題進行疑難解答。 如需詳細資訊，請參閱當您嘗試登入 Microsoft 365、Azure 或 Intune 時，收到來自 AD FS 的憑證警告。
   ExRCA 嘗試向 contoso 的安全性令牌服務https://sts.進行驗證.com/adfs/services/trust/2005/usernamemixed	已從安全性令牌服務收到SOAP錯誤回應。 發生 Web 例外狀況，因為收到來自未知的 HTTP 503 - 服務無法使用回應。	使用同盟信任對 AD FS 端點的驗證功能不正確。	檢查並重建同盟信任。 如需詳細資訊，請參閱同盟使用者登入 Microsoft 365、Azure 或 Intune 時的「80041317」或「80043431」錯誤。 檢查並修復令牌簽署憑證問題。 如需詳細資訊，請參閱當同盟使用者登入 Microsoft 365、Azure 或 Intune 時，從 AD FS 存取網站時發生錯誤。

是否仍需要協助？ 移至 Microsoft 社群或 Microsoft Entra 論壇網站。