簡介

本文討論如何針對 Microsoft 雲端服務(例如 Office 365、Microsoft Intune 或 Microsoft Azure)中的單一登入設定問題進行疑難排解。在 Azure Active Directory (Azure AD)說明文件中提供單一登入(SSO)的詳細實現指導方針。 如果您在使用本指南設定 SSO 時遇到問題,您可以參閱本文。 它提供一個藍圖,協助您針對每個設定步驟的常見問題進行疑難排解。

過程

如何針對 SSO 設定進行疑難排解

步驟1:準備 Active Directory

設定指導方針

前往下列 Microsoft 網站:

準備單一登入

步驟1驗證

使用 [評估目錄同步處理設定診斷嚮導] 來掃描 Active Directory,以尋找可能會造成目錄同步處理問題的問題。

針對步驟1驗證的問題進行疑難排解

  1. 注意: 無法正確準備 Active Directory,或無法解決工具所識別的問題,可能會導致目錄同步處理問題。 請依照評估目錄同步處理設定診斷嚮導所提供的疑難排解指南,以修正問題,並確認 [診斷嚮導] 執行時沒有任何錯誤。 這樣可以避免在稍後的實現中發生下列問題:

    • 2392130 針對聯盟使用者登入 Office 365、Azure 或 Intune 時所發生的使用者名稱問題進行疑難排解

    • 2001616 在目錄同步處理之後,使用者的 Office 365 電子郵件地址意外包含底線字元

    • 2643629 使用 Azure Active Directory 同步處理工具時,無法同步處理一或多個物件

  2. 重新執行 [診斷嚮導],檢查問題是否已解決。

步驟2: Active Directory Federation Services (AD FS)架構

設定 指導方針 移至下列 Microsoft 網站: 記事 Microsoft 支援人員不會協助客戶在這些連結中執行設定指導方針。

步驟3:適用于 SSO 的 Windows PowerShell 的 Azure Active Directory 模組

設定指導方針

前往下列 Microsoft 網站:

安裝 Windows PowerShell 以進行單一登入與 AD FS

步驟3驗證

若要驗證適用于 Windows PowerShell 的 Azure Active Directory 模組,請遵循下列步驟:

  1. 以系統管理員身分執行 Windows PowerShell 的 Azure Active Directory 模組。

  2. 輸入下列命令,並確認輸入每個命令後按下 Enter 鍵:

    1. $cred=Get-Credential 記事 出現提示時,請輸入您的雲端服務管理員認證。

    2. Connect-MsolService -Credential $cred 

      注意這個命令會將您連至 Azure AD。 您必須先建立內容,將您連線至 Azure AD,然後再執行任何由適用于 Windows PowerShell 的 Azure Active Directory 模組所安裝的任何其他 Cmdlet。

    3. Set-MsolAdfscontext -Computer < AD FS 2.0 primary server > 

      注意事項

      • 如果您已在主要 Active Directory Federation Services (AD FS)伺服器上安裝適用于 Windows PowerShell 的 Azure Active Directory 模組,您就不需要執行此 Cmdlet。

      • 在這個命令中,預留位置 <AD FS 2.0 主要伺服器> 代表主要 AD FS 伺服器的內部完整功能變數名稱(FQDN)。 這個命令會建立將您連線到 AD FS 的內容。

    4. Get-MSOLFederationProperty -DomainName < federated domain name > 

      注意: 在這個命令中,<同盟 domain name> 預留位置代表在設定步驟中聯盟的功能變數名稱。

  3. 比較您在步驟2D 中執行之 [MSOLFederationProperty] 命令的第一個半端(來源: AD FS 伺服器)和最後半部(來源: Microsoft Office 365)。 來源與FederationServiceDisplayName以外的所有專案都應該相符。 如果不相符,請使用下列 Microsoft 知識庫文章中的「解決」一節來更新信賴方信任資料:2647020 「很抱歉,但當聯盟使用者嘗試登入 Office 365、Azure 或 Intune 時,無法登入「80041317」或「80043431」錯誤

針對步驟3的驗證問題進行疑難排解若要進行疑難排解,請執行下列步驟:

  1. 根據您的情況,使用下列 Microsoft 知識庫文章來疑難排解常見驗證問題:

    • 2461873 您無法開啟適用于 Windows PowerShell 的 Azure Active Directory 模組

    • 2494043您無法使用適用于 Windows PowerShell 的 Azure Active Directory 模組進行連接

    • 2587730 當您使用 MsolADFSCoNtext Cmdlet 時,發生「連線至 <ServerName> Active Directory Federation Services 2.0 server 失敗」錯誤

    • 2279117 系統管理員無法將網域新增至 Office 365 帳戶

    • 第二次執行 新的 MsolFederatedDomain Cmdlet 時發生錯誤,因為網域驗證失敗。 如需此案例的詳細資訊,請參閱下列知識庫文章:

      2515404 疑難排解 Office 365 中的網域驗證問題

    • 2618887 「在 AD FS 2.0 伺服器中指定的同盟服務識別碼已在使用中」。當您嘗試在 Office 365、Azure 或 Intune 中設定另一個聯盟網域時,發生錯誤

    • 時間問題會造成 新的 MSOLFederatedDomain Cmdlet 或 Convert MSOLDomainToFederated Cmdlet 的問題。 如需此案例的詳細資訊,請參閱下列知識庫文章:

      2578667 「很抱歉,當同盟使用者嘗試登入 Office 365、Azure 或 Intune 時,當您無法登入 "和" 80045C06 "錯誤時,會出現問題。

  2. 重新執行驗證步驟,檢查問題是否已解決。

步驟4:實現 Active Directory 同步處理

設定指導方針

移至下列 Microsoft 網站:

步驟4驗證

若要驗證,請執行下列步驟:

  1. 以系統管理員身分執行 Windows PowerShell 的 Azure Active Directory 模組。

  2. 輸入下列命令。 輸入每個命令之後,請務必按下 Enter。

    1. $cred=Get-Credential 記事 出現提示時,請輸入您的雲端服務管理員認證。

    2. Connect-MsolService -Credential $cred 記事 這個命令會將您連至 Azure AD。您必須先建立內容,將您連線至 Azure AD,然後再執行任何由適用于 Windows PowerShell 的 Azure Active Directory 模組所安裝的任何其他 Cmdlet。

    3. Get-MSOLCompanyInformation

  3. 從先前命令的輸出檢查 LastDirSync時間 值,並確認它會在安裝 Azure Active Directory 同步處理工具之後顯示同步處理。注意: 此值的日期和時間戳記會以協調通用時間(格林尼治平均時間)顯示。

  4. 如果 LastDirSyncTime未更新,請監視安裝了 Azure Active Directory 同步處理工具之伺服器的應用程式記錄,以進行下列事件:

    • 來源:目錄同步處理

    • 事件 ID:4

    • 階層:資訊

    這個事件表示伺服器已完成目錄同步處理。 發生這種情況時,請執行這些步驟,確認 LastDirSyncTime 值已適當更新。

疑難排解步驟4的驗證問題根據您的情況,使用下列 Microsoft 知識庫文章來疑難排解常見驗證問題:

  • 2386445  當您執行 Azure Active Directory 同步處理工具時發生錯誤:「您的 Windows Azure Active Directory 同步處理設定向導已過時」

  • 2310320 當您嘗試執行 Azure Active Directory 同步處理工具設定向導時發生錯誤:「無法驗證您的認證。 請重新輸入您的認證,然後再試一次。

  • 在 Azure Active Directory 同步處理工具設定向導中輸入企業系統管理員認證之後, 2508225 "LogonUser ()失敗,錯誤碼: 1789"

  • 2502710當您執行 Azure Active Directory 同步處理工具設定向導時發生「Microsoft Online Services 登入小幫手發生未知錯誤」錯誤

  • 2419250當您嘗試安裝 Azure Active Directory 同步處理工具時,出現「必須加入網域的電腦」錯誤

  • 2643629 使用 Azure Active Directory 同步處理工具時,無法同步處理一或多個物件

  • 2641663 如何使用 SMTP 相符以將內部部署使用者帳戶與 Office 365 使用者帳戶相符,以進行目錄同步處理

  • 2492140 您無法在 Office 365 入口網站中將聯盟網域指派給使用者

步驟5: Office 365 用戶端準備

設定指導方針
  1. 檢查 Office 365 的用戶端必備元件。 如需 Office 365 系統需求的詳細資訊,請移至 office 365 系統需求

  2. 在使用胖用戶端應用程式的所有用戶端電腦上,執行 Office 365 桌面設定。 胖用戶端應用程式包括 Microsoft Outlook、Microsoft Lync 2010、Microsoft Office 專業增強版2010,以及適用于 Windows PowerShell 的 Azure Active Directory 模組。 Office 桌面應用程式及 Microsoft SharePoint 整合應用程式。 注意: 您可以在 HTTP://g.microsoftonline.com/0BX10en/436?!Office365DesktopSetup.application上使用 Office 365 桌面設定。

  3. 如果在網域加入與網域連線的用戶端電腦預期無縫、無提示的體驗,請將 AD FS Federation Services URL 新增到 Windows Internet Explorer 中的 [本機內聯網] 區域。 例如,請執行下列動作:

    1. 在 Internet Explorer 的 [ 工具 ] 功能表上,按一下 [ 網際網路選項]。

    2. 按一下 [ 安全性 ] 索引標籤,按一下 [ 本機內部網路],按一下 [ 網站],然後按一下 [ 高級]。

    3. 在 [將此網站新增到區域] 方塊中輸入HTTPs://sts.contoso.com ,然後按一下 [新增]。記事 "sts.contoso.com" 代表 AD FS 識別身分同盟服務的 FQDN。

    如需此設定的詳細資訊,請參閱下列 Microsoft 知識庫文章:

    2535227 系統會將聯盟使用者意外提示輸入其公司或學校帳號憑證

  4. 如果已加入網域且網域連線的用戶端電腦使用 proxy 伺服器(而非內部、分割大腦 DNS)來解析網際網路資源,請將 AD FS Federation Services URL 新增到您的 Internet Explorer 將略過 proxy 篩選的清單中。 以下是如何將 URL 新增至 Internet Explorer 例外清單的範例:

    1. 在 Internet Explorer 的 [ 工具 ] 功能表上,按一下 [ 網際網路選項]。

    2. 按一下 [連線] 索引卷 標上的 [ 局域網設定],然後按一下 [ 高級]。

    3. 在 [ 例外 ] 方塊中,使用 [AD FS 服務端點名稱] 的完整 DNS 名稱輸入值。 例如,輸入 sts.contoso.com。

步驟5驗證 若要驗證,請執行下列步驟:

  1. 確認已安裝並執行 Microsoft Online Services 登入小幫手服務。 若要執行這項操作,請依照下列步驟執行:

    1. 按一下 [ 開始],按一下 [ 執行],輸入 Services.msc,然後按一下 [確定]

    2. 找出 Microsoft Online Services 登入小幫手專案,然後確認該服務正在執行。

    3. 如果服務未在執行,請以滑鼠右鍵按一下該專案,然後選取 [ 開始]。

  2. 移至 AD FS MEX 網站,確定該端點是 Internet Explorer intranet 安全區域的一部分。 若要執行這項操作,請依照下列步驟執行:

    1. 啟動 Internet Explorer,然後移至 [AD FS 服務端點] 網站。 下列是服務端點網站的範例:

      https://sts.contoso.com/federationmetadata/2007-06/federationmetadata.xml

    2. 核取視窗底部的狀態列,確定此 URL 所顯示的安全區域是「 本機 intranet」。

步驟6:最終驗證

在已設定的用戶端電腦上,測試預期的 SSO 驗證體驗。 若要這樣做,請使用同盟使用者帳戶進行驗證。 在下列案例中,您可能會想要測試聯盟使用者的驗證:

  • 在內部部署的網路中,且已驗證到內部部署的 Active Directory

  • 從網際網路中立的 IP 位置,而不是以內部部署的 Active Directory 進行驗證

若要驗證,請執行下列步驟:

  1. 測試 web 驗證。 若要解決此問題,請使用下列其中一種方法:

    • 使用本機 Active Directory 認證,以聯盟使用者身分登入雲端服務入口網站。

    • 以具有 Exchange Online 信箱的聯盟使用者(使用本機 Active Directory 認證)登入 Outlook Web App。 例如,在下列 URL 登入 Outlook Web App:

      https://outlook.com/owa/contoso.com注意在此 URL 中,"contoso.com" 代表聯盟網功能變數名稱稱。

    • 以聯盟使用者(使用本機 Active Directory 認證)登入 Microsoft SharePoint Online,這些使用者可以存取小組網站集合。 例如,在下列 URL 登入 SharePoint Online:

      http://contoso.sharepoint.com注意: 在此 URL 中,"contoso" 代表您組織的名稱。

  2. 測試胖用戶端或作用中的請求程式驗證。 若要執行這項操作,請依照下列步驟執行:

    1. 針對同盟使用者帳戶設定商務用 Skype Online (舊稱 Lync Online)用戶端設定檔,然後使用本機 Active Directory 認證登入該帳戶。

    2. 使用具備MSOLService Cmdlet 之全域管理員認證的同盟使用者帳戶,登入 Windows PowerShell 的 Azure Active Directory 模組。

  3. 使用 Microsoft 遠端連線分析程式來測試 Exchange Online 基本驗證。 如需如何使用遠端連線分析程式的詳細資訊,請參閱 Microsoft 知識庫中的下列文章:

    2650717  如何使用遠端連線分析程式來針對 Office 365、Azure 或 Intune 的單一登入問題進行疑難排解

是否仍需要協助? 移至 [ Microsoft 社區 ] 或 [ Azure Active Directory 論壇 網站]。

需要更多協助?

擴展您的技能
探索訓練
優先取得新功能
加入 Microsoft 測試人員

這項資訊有幫助嗎?

您對翻譯品質的滿意度為何?

會影響您使用體驗的因素為何?

是否還有其他的意見反應? (選填)

感謝您的意見反應!

×