Udostępnij za pośrednictwem

Rozwiązywanie problemów z bezproblemowym logowaniem jednokrotnym usługi Microsoft Entra

  • Artykuł

Ten artykuł pomaga znaleźć informacje dotyczące rozwiązywania problemów z typowymi problemami związanymi z Microsoft Entra seamless single sign-on (Bezproblemowe jednokrotne logowanie).

Znane problemy

  • W kilku przypadkach włączenie bezproblemowego logowania jednokrotnego może potrwać do 30 minut.
  • Jeśli wyłączysz i ponownie włączysz bezproblemowy jednokrotny login w dzierżawie, użytkownicy nie otrzymają doświadczenia logowania jednokrotnego, dopóki ich buforowane bilety Kerberos, zwykle ważne przez 10 godzin, nie wygasną.
  • Jeśli Seamless SSO powiedzie się, użytkownik nie ma możliwości wybrania opcji Pozostań zalogowany.
  • Klienci platformy Microsoft 365 Win32 (Outlook, Word, Excel i inni) z wersjami 16.0.8730.xxxx i nowszymi są obsługiwane przy użyciu przepływu nieinterakcyjnego. Inne wersje nie są obsługiwane; w tych wersjach użytkownicy będą wprowadzać swoje nazwy użytkowników, ale nie hasła, aby się zalogować. W przypadku usługi OneDrive należy aktywować funkcję konfiguracji dyskretnej usługi OneDrive w celu uzyskania środowiska logowania dyskretnego.
  • Bezproblemowe logowanie jednokrotne nie działa w trybie przeglądania prywatnego w przeglądarce Firefox.
  • Bezproblemowe logowanie jednokrotne nie działa w przeglądarce Internet Explorer, gdy włączony jest rozszerzony tryb chroniony.
  • Przeglądarka Microsoft Edge (starsza wersja) nie jest już obsługiwana
  • Bezproblemowe logowanie jednokrotne nie działa w przeglądarkach na urządzeniach przenośnych z systemami iOS i Android.
  • Jeśli użytkownik należy do zbyt wielu grup w usłudze Active Directory, jego bilet Kerberos prawdopodobnie będzie zbyt duży do przetworzenia, co spowoduje niepowodzenie logowania jednokrotnego bezproblemowego. Żądania Microsoft Entra HTTPS mogą mieć nagłówki o maksymalnym rozmiarze 50 KB; Bilety Kerberos muszą być mniejsze od tego limitu, aby pomieścić inne elementy Microsoft Entra (zazwyczaj 2–5 KB), takie jak ciasteczka. Naszym zaleceniem jest zmniejszenie członkostwa w grupach użytkowników i ponów próbę.
  • Jeśli synchronizujesz co najmniej 30 lasów usługi Active Directory, nie możesz włączyć bezproblemowego logowania jednokrotnego za pośrednictwem programu Microsoft Entra Connect. Aby obejść ten problem, możesz ręcznie włączyć tę funkcję w dzierżawie.
  • Dodanie adresu URL usługi Microsoft Entra (https://autologon.microsoftazuread-sso.com) do strefy Zaufane witryny zamiast lokalnej strefy intranetu uniemożliwia użytkownikom logowanie się.
  • Bezproblemowe logowanie jednokrotne obsługuje typy szyfrowania AES256_HMAC_SHA1, AES128_HMAC_SHA1 i RC4_HMAC_MD5 dla protokołu Kerberos. Zaleca się, aby typ szyfrowania konta AzureADSSOAcc$ był ustawiony na AES256_HMAC_SHA1 lub jeden z typów AES a RC4 dla dodatkowych zabezpieczeń. Typ szyfrowania jest przechowywany w atrybucie msDS-SupportedEncryptionTypes konta w usłudze Active Directory. Jeśli typ szyfrowania konta AzureADSSOAcc$ jest ustawiony na RC4_HMAC_MD5 i chcesz zmienić go na jeden z typów szyfrowania AES, upewnij się, że najpierw przerzucisz klucz odszyfrowywania Kerberos konta azureADSSOAcc$ zgodnie z opisem w dokumencie FAQ w ramach odpowiedniego pytania, w przeciwnym razie bezproblemowe logowanie jednokrotne nie nastąpi.
  • Jeśli masz więcej niż jeden las z zaufaniem między lasami, włączenie SSO (logowania jednokrotnego) w jednym z lasów włączy je we wszystkich zaufanych lasach. Jeśli włączysz logowanie jednokrotne w lesie, w którym logowanie jednokrotne jest już włączone, zostanie wyświetlony błąd informujący, że logowanie jednokrotne jest już włączone w lesie.
  • Zasada, która umożliwia Seamless SSO, ma limit 25600 znaków. Ten limit dotyczy wszystkiego, co obejmuje polisa, w tym nazw lasów, dla których ma być włączone bezproblemowe SSO. Jeśli masz dużą liczbę lasów w danym środowisku, możesz osiągnąć limit znaków. Jeśli lasy mają zaufanie między sobą, wystarczy włączyć bezproblemowe jednokrotne logowanie tylko w jednym z nich. Jeśli na przykład masz contoso.com i fabrikam.com i istnieje relacja zaufania między nimi, możesz włączyć bezproblemowe logowanie jednokrotne tylko w contoso.com i będzie miało zastosowanie również w fabrikam.com. Dzięki temu można zmniejszyć liczbę włączonych lasów katalogowych w zasadach i uniknąć przekroczenia limitu znaków w zasadach.

Sprawdzanie stanu funkcji

Sprawdź, czy funkcja Seamless SSO jest nadal włączona na Twoim koncie. Stan można sprawdzić, przechodząc do okienka Tożsamość>Zarządzanie hybrydowe>Microsoft Entra Connect>Synchronizacja Connect w centrum administracyjnym [Microsoft Entra admin center](https://portal.azure.com/).

Zrzut ekranu przedstawiający centrum administracyjne firmy Microsoft Entra: okienko Microsoft Entra Connect.

Kliknij, aby zobaczyć wszystkie lasy usługi AD, w których włączono bezproblemowe logowanie jednokrotne.

Zrzut ekranu przedstawiający centrum administracyjne firmy Microsoft Entra: bezproblemowe logowanie jednokrotne.

Przyczyny niepowodzenia logowania w centrum administracyjnym firmy Microsoft Entra (wymaga licencji Premium)

Jeśli dzierżawa ma skojarzoną licencję Microsoft Entra ID P1 lub P2, możesz również zapoznać się z raportem aktywności logowania w Microsoft Entra ID w centrum administracyjnym Microsoft Entra.

Zrzut ekranu przedstawiający centrum administracyjne firmy Microsoft Entra: raport logowania.

Przejdź do Tożsamość>Monitorowanie i kondycja>Logowania w centrum administracyjnym Microsoft Entra(https://portal.azure.com/), a następnie wybierz aktywność logowania konkretnego użytkownika. Poszukaj pola KOD BŁĘDU LOGOWANIA. Zamapuj wartość tego pola na przyczynę niepowodzenia i rozwiązanie, korzystając z poniższej tabeli:

Kod błędu logowania Przyczyna niepowodzenia zalogowania się Rozwiązanie
81001 Bilet Kerberos użytkownika jest zbyt duży. Zmniejsz liczbę członkostw użytkownika w grupach i spróbuj ponownie.
81002 Nie można zweryfikować biletu Kerberos użytkownika. Zobacz listę kontrolną rozwiązywania problemów.
81003 Nie można zweryfikować biletu Kerberos użytkownika. Zobacz listę kontrolną rozwiązywania problemów.
81004 Próba uwierzytelniania Kerberos nie powiodła się. Zobacz listę kontrolną rozwiązywania problemów.
81008 Nie można zweryfikować biletu Kerberos użytkownika. Zobacz listę kontrolną rozwiązywania problemów.
81009 Nie można zweryfikować biletu Kerberos użytkownika. Zobacz listę kontrolną rozwiązywania problemów.
81010 Bezproblemowe logowanie jednokrotne nie powiodło się, ponieważ ważność biletu Kerberos użytkownika wygasła lub bilet jest nieprawidłowy. Użytkownik musi się zalogować z urządzenia przyłączonego do domeny w sieci firmowej.
81011 Nie można znaleźć obiektu użytkownika w oparciu o informacje z biletu Kerberos użytkownika. Użyj programu Microsoft Entra Connect, aby zsynchronizować informacje użytkownika z identyfikatorem Entra firmy Microsoft.
81012 Użytkownik próbujący zalogować się do identyfikatora Entra firmy Microsoft różni się od zalogowanego użytkownika na urządzeniu. Użytkownik musi się zalogować z innego urządzenia.
81013 Nie można znaleźć obiektu użytkownika na podstawie informacji z biletu Kerberos. Użyj programu Microsoft Entra Connect, aby zsynchronizować informacje użytkownika z identyfikatorem Entra firmy Microsoft.

Lista kontrolna rozwiązywania problemów

Skorzystaj z poniższej listy kontrolnej, aby rozwiązać problemy z bezproblemowym logowaniem jednokrotnym:

  • Upewnij się, że funkcja bezproblemowego logowania jednokrotnego jest włączona w programie Microsoft Entra Connect. Jeśli nie możesz włączyć tej funkcji (na przykład z powodu zablokowanego portu), upewnij się, że zostały spełnione wszystkie wymagania wstępne.
  • Jeśli włączono zarówno łączenie Microsoft Entra, jak i bezproblemowe logowanie jednokrotne (SSO) w dzierżawie, upewnij się, że problem nie dotyczy łączenia Microsoft Entra. SSO z Microsoft Entra join ma pierwszeństwo przed Seamless SSO, jeśli urządzenie jest zarówno zarejestrowane w Microsoft Entra ID, jak i przyłączone do domeny. Po dołączeniu za pomocą SSO z Microsoft Entra, użytkownik widzi kafelek logowania z informacją "Connected to Windows".
  • Upewnij się, że adres URL entra firmy Microsoft (https://autologon.microsoftazuread-sso.com) jest częścią ustawień strefy intranetowej użytkownika.
  • Upewnij się, że urządzenie firmowe jest przyłączone do domeny usługi Active Directory. Urządzenie nie musi być dołączone do Microsoft Entra, aby funkcja bezproblemowego jednokrotnego logowania działała.
  • Upewnij się, że użytkownik jest zalogowany na urządzeniu za pośrednictwem konta domeny usługi Active Directory.
  • Upewnij się, że konto użytkownika pochodzi z lasu usługi Active Directory, w którym zostało skonfigurowane bezproblemowe logowanie jednokrotne.
  • Upewnij się, że urządzenie jest połączone z siecią firmową.
  • Upewnij się, że czas urządzenia jest zsynchronizowany z czasem w usłudze Active Directory i czasem na kontrolerach domeny oraz że różnica tych czasów nie jest większa niż 5 minut.
  • Upewnij się, że konto komputera AZUREADSSOACC jest obecne i włączone w każdym lesie usługi AD, dla którego chcesz włączyć bezproblemowe logowanie jednokrotne. Jeśli to konto komputera zostało usunięte lub go nie ma, możesz je ponownie utworzyć za pomocą poleceń cmdlet programu PowerShell.
  • Wyświetl listę istniejących na danym urządzeniu biletów protokołu Kerberos przy użyciu polecenia klist w wierszu polecenia. Upewnij się, że bilety wystawione dla konta komputera AZUREADSSOACC są dostępne. Bilety Kerberos użytkowników są zwykle ważne przez 10 godzin. Twoja usługa Active Directory może mieć inne ustawienia.
  • Jeśli wyłączysz i ponownie włączysz bezproblemowe logowanie jednokrotne w swojej dzierżawie, użytkownicy nie doświadczą logowania jednokrotnego, dopóki ich zbuforowane bilety Kerberos nie wygasną.
  • Usuń z urządzenia istniejące bilety Kerberos przy użyciu polecenia klist purge i spróbuj ponownie.
  • Aby ustalić, czy występują problemy związane z kodem JavaScript, przejrzyj dzienniki konsoli przeglądarki (w obszarze narzędzi deweloperskich).
  • Przejrzyj dzienniki kontrolera domeny.

Dzienniki kontrolera domeny

Jeśli włączysz kontrolę skuteczności na kontrolerze domeny, za każdym razem, gdy użytkownik loguje się poprzez Seamless SSO, wpis zdarzenia bezpieczeństwa jest rejestrowany w dzienniku zdarzeń. Te zdarzenia zabezpieczeń można znaleźć przy użyciu następującego zapytania. (Wyszukaj zdarzenie 4769 skojarzone z kontem komputera AzureADSSOAcc$).

  <QueryList>
    <Query Id="0" Path="Security">
      <Select Path="Security">*[EventData[Data[@Name='ServiceName'] and (Data='AZUREADSSOACC$')]]</Select>
    </Query>
  </QueryList>

Ręczne resetowanie funkcji

Jeśli rozwiązywanie problemów nie pomoże, możesz ręcznie zresetować funkcję na swoim koncie dzierżawcy. Wykonaj następujące kroki na serwerze lokalnym, na którym działa program Microsoft Entra Connect.

Krok 1: Importowanie modułu Seamless SSO programu PowerShell

  1. Najpierw pobierz i zainstaluj program Azure AD PowerShell.
  2. Przejdź do folderu %programfiles%\Microsoft Azure Active Directory Connect.
  3. Zaimportuj moduł Seamless SSO PowerShell przy użyciu tego polecenia: Import-Module .\AzureADSSO.psd1.

Krok 2. Pobieranie listy lasów usługi Active Directory, w których włączono bezproblemowe logowanie jednokrotne

  1. Uruchom program Powershell jako Administrator. W programie PowerShell wywołaj New-AzureADSSOAuthenticationContext. Po wyświetleniu monitu wprowadź poświadczenia administratora ds. hybrydowej tożsamości najemcy.
  2. Zadzwoń do Get-AzureADSSOStatus. To polecenie udostępnia listę lasów usługi Active Directory (przyjrzyj się liście „Domeny”), w których włączono tę funkcję.

Krok 3. Wyłącz bezproblemowe logowanie jednokrotne dla każdego lasu usługi Active Directory, w którym skonfigurowano tę funkcję

  1. Wywołaj $creds = Get-Credential. Po wyświetleniu monitu wprowadź poświadczenia administratora domeny docelowego lasu Active Directory.

    Uwaga

    Nazwę użytkownika poświadczeń administratora domeny należy wprowadzić w formacie nazwy konta SAM (contoso\johndoe lub contoso.com\johndoe). Używamy części nazwy użytkownika odpowiadającej domenie w celu zlokalizowania kontrolera domeny administratora tej domeny przy użyciu systemu DNS.

    Uwaga

    Używane konto administratora domeny nie może być członkiem grupy użytkowników chronionych. W przeciwnym razie operacja zakończy się niepowodzeniem.

  2. Zadzwoń Disable-AzureADSSOForest -OnPremCredentials $creds. To polecenie usuwa AZUREADSSOACC konto komputera z lokalnego kontrolera domeny dla tego konkretnego lasu usługi Active Directory.

    Uwaga

    Jeśli z jakiegoś powodu nie możesz uzyskać dostępu do lokalnej usługi AD, możesz pominąć kroki 3.1 i 3.2 , a zamiast tego wywołać metodę Disable-AzureADSSOForest -DomainFqdn <Domain name from the output list in step 2>.

  3. Powtórz powyższe kroki dla każdego lasu usługi Active Directory, w którym skonfigurowaliśmy tę funkcję.

Krok 4: Włączanie bezproblemowej konfiguracji Single Sign-On dla każdego lasu Active Directory

  1. Zadzwoń Enable-AzureADSSOForest. Po wyświetleniu monitu wprowadź poświadczenia administratora domeny dla odpowiedniego lasu usługi Active Directory.

    Uwaga

    Nazwa użytkownika poświadczeń administratora domeny musi mieć format nazwy konta SAM (contoso\johndoe lub contoso.com\johndoe). Używamy domenowej części nazwy użytkownika w celu zlokalizowania kontrolera domeny administratora domeny przy użyciu systemu DNS.

    Uwaga

    Używane konto administratora domeny nie może być członkiem grupy użytkowników chronionych. W przeciwnym razie operacja zakończy się niepowodzeniem.

  2. Powtórz poprzedni krok dla każdego lasu Active Directory, w którym chcesz skonfigurować funkcję.

Krok 5: Włącz funkcję w dzierżawie

Aby włączyć tę funkcję w tenant, wywołaj polecenie Enable-AzureADSSO -Enable $true.