Устранение неполадок

Устранение неполадок с единым входом в Azure Active Directory

При включении функции единого входа Seamless SSO Azure AD могут возникнуть следующие проблемы:

• Включение функции Seamless SSO занимает значительное время.
• Если функция Seamless SSO отключена и повторно включена на клиенте, пользователи не смогут использовать единый вход до тех пор, пока не истечет срок действия их кэшированных билетов Kerberos.
• При успешном использовании функции Seamless SSO пользователи не могут выбрать вариант Оставаться в системе. Из-за этого сценарии сопоставления SharePoint и OneDrive не работают.
• Функция Seamless SSO не работает в режиме приватного просмотра Mozilla Firefox.
• Функция Seamless SSO не работает в Internet Explorer, если включен режим расширенной защиты.
• Функция Seamless SSO не работает в мобильных браузерах на устройствах iOS и Android.
• Если пользователь входит в большое количество групп Active Directory (AD), билет Kerberos пользователя может оказаться слишком большим для обработки, и бесшовный единый вход может завершиться неудачей. Запросы HTTPS Azure AD могут иметь заголовки с максимальным размером 50 КБ; билеты Kerberos должны быть меньше этого ограничения. Решение - сократить число членов группы пользователя и повторить попытку.
• При синхронизации 30 и более лесов AD можно включить функцию Seamless SSO через Azure AD Connect. Эту функцию также можно включить вручную на стороне арендатора.
• Добавление URL-адреса службы Azure AD (https://autologon.microsoftazuread-sso.com) в зону "Надежные сайты" вместо зоны "Местная интрасеть" может помешать пользователям войти в систему.

Контрольный список устранения неполадок

Используйте следующий контрольный список для устранения неполадок функции Seamless SSO:

• Убедитесь, что функция Seamless SSO включена в Azure AD Connect. Если не удается включить функцию (например, из-за заблокированного порта), убедитесь, что соблюдены все предварительные условия.
• Если вы включили на клиенте и Azure AD Join, и Seamless SSO, убедитесь, что проблема не связана с Azure AD Join. Единый вход из Azure AD Join имеет приоритет над Seamless SSO, если устройство зарегистрировано в Azure AD и присоединено к домену. При использовании единого входа через Azure AD Join пользователь видит плитку входа с надписью "Подключено к Windows".
• Убедитесь, что URL-адрес Azure AD (https://autologon.microsoftazuread-sso.com) является частью настроек зоны интрасети пользователя.
• Убедитесь, что корпоративное устройство присоединено к домену AD. Для работы функции Seamless SSO устройство не обязательно должно быть присоединено к Azure AD.
• Убедитесь, что пользователь вошел в систему устройства через учетную запись домена AD.
• Убедитесь, что учетная запись пользователя находится в лесу AD, в котором включена функция Seamless SSO.
• Убедитесь, что устройство подключено к корпоративной сети.
• Убедитесь, что время устройства синхронизировано со временем как в AD, так и на контроллерах домена, а отклонение составляет не более пяти минут.
• Убедитесь, что учетная запись компьютера AZUREADSSOACC присутствует и включена в каждом лесу AD, в котором требуется включить функцию Seamless SSO. Если учетная запись компьютера была удалена или отсутствует, можно использовать командлеты PowerShell для ее повторного создания.
• Выведите список существующих билетов Kerberos на устройстве с помощью команды klist из командной строки. Убедитесь, что имеются билеты, выпущенные для учетной записи компьютера AZUREADSSOACC. Билеты Kerberos пользователя обычно действительны в течение 10 часов. У вас могут быть другие настройки в AD.
• Если функция Seamless SSO была отключена и повторно включена на клиенте, пользователи не смогут воспользоваться функцией единого входа до тех пор, пока не истечет срок действия их кэшированных билетов Kerberos.
• Удалите существующие билеты Kerberos с устройства с помощью команды klist purge и повторите попытку.
• Чтобы определить, есть ли проблемы, связанные с JavaScript, просмотрите журналы консоли браузера (в разделе Инструменты разработчика).
• Проверьте журналы контроллера домена.

Настройка единого входа в Azure AD Connect - сложный процесс. Настройка и устранение неполадок включают в себя несколько шагов и команд. ADSelfService Plus, решение Active Directory для самостоятельного управления паролями и единого входа (SSO), предлагает функцию SSO, которая позволяет пользователям входить в домен AD и получать доступ к Azure AD/Office 365 без повторного предоставления своих учетных данных. Включение этой функции требует минимальных действий. Ознакомьтесь с этим руководством, чтобы узнать подробнее.