Устранение неполадок с простым единым входом через Microsoft Entra
Эта статья поможет найти сведения об устранении распространенных проблем, связанных с простым единым входом Microsoft Entra (простой единый вход).
Известные проблемы
- В некоторых случаях включение простого единого входа может занять до 30 минут.
- Если вы отключите и повторно включите простой единый вход в клиенте, пользователи не получат возможность единого входа до истечения срока действия кэшированных билетов Kerberos, которые обычно действительны в течение 10 часов.
- Если простой единый вход успешно выполнен, у пользователя нет возможности выбрать "Сохранить вход".
- Для поддержки клиентов Microsoft 365 для 32-разрядной версии Windows (Outlook, Word, Excel и др.) версии 16.0.8730.xxxx и более поздних используется неинтерактивный поток. Другие версии не поддерживаются; В этих версиях пользователи вводят имена пользователей, но не пароли для входа. Для OneDrive необходимо активировать функцию автоматической настройки OneDrive для автоматического входа.
- Простой единый вход не работает в конфиденциальном режиме просмотра в Firefox.
- Простой единый вход не работает в Internet Explorer с включенным режимом повышенной защиты.
- Microsoft Edge (устаревшая версия) больше не поддерживается
- Простой единый вход не работает в браузерах на мобильных устройствах с iOS и Android.
- Если пользователь входит в состав слишком большого количества групп в Active Directory, скорее всего, билет Kerberos этого пользователя будет слишком большим для обработки, что приведет к сбою простого единого входа. HttpS-запросы Microsoft Entra могут иметь заголовки с максимальным размером 50 КБ; Билеты Kerberos должны быть меньше, чем это ограничение для размещения других артефактов Microsoft Entra (как правило, 2 –5 КБ), таких как файлы cookie. Рекомендуем сократить количество членов в группах и повторить попытку.
- Если вы синхронизируете 30 или более лесов Active Directory, вы не можете включить простой единый вход через Microsoft Entra Connect. Чтобы избежать этого, можно вручную включить эту функцию на своем клиенте.
- Добавление URL-адреса службы Microsoft Entra в
https://autologon.microsoftazuread-sso.com
зону надежных сайтов вместо зоны локальной интрасети блокирует вход пользователей. - Простой единый вход поддерживает типы шифрования AES256_HMAC_SHA1, AES128_HMAC_SHA1 и RC4_HMAC_MD5 для Kerberos. Рекомендуется использовать тип шифрования для учетной записи AzureADSOAcc$ AES256_HMAC_SHA1 или один из типов AES и RC4 для дополнительной безопасности. Тип шифрования хранится в атрибуте msDS-SupportedEncryptionTypes учетной записи в доменных службах Active Directory. Если для типа шифрования учетной записи AzureADSSOAcc$ задано значение RC4_HMAC_MD5, и вы хотите изменить его на один из типов шифрования AES, убедитесь, что вы сначала перевернете ключ расшифровки Kerberos учетной записи AzureADSSOAcc$, как описано в документе часто задаваемых вопросов, в противном случае простой единый вход не произойдет.
- Если у вас есть несколько лесов с доверием лесов, то, включив единый вход в одном из них, вы включите эту функцию во всех доверенных лесах. Если вы включите единый вход в лесу, где эта возможность уже включена, то появится соответствующее сообщение об ошибке.
- Политика, разрешающая простой единый вход, имеет ограничение в 25 600 символов. Это ограничение зависит от всех включенных в политику имен лесов, в том числе имен лесов, для которых требуется включить простой единый вход. Если в вашей среде содержится большое количество лесов, может быть достигнуто ограничение по символам. Если между вашими лесами есть доверие, достаточно включить простой единый вход только в одном лесу. Например, если у вас есть contoso.com и fabrikam.com и между этими двумя лесами существует доверие, простой единый вход можно включить только для contoso.com, который также будет применяться к fabrikam.com. Таким образом можно сократить количество лесов, включенных в политике, и избежать достижения предельного числа символов.
Проверка состояния функции
Убедитесь, что функция простого единого входа по-прежнему включена в клиенте. Чтобы проверить состояние, перейдите в область синхронизации Microsoft Entra Connect Connect>для гибридного управления>удостоверениями>в [Центре администрирования Microsoft Entra]().https://portal.azure.com/
С помощью мыши просмотрите все леса AD, которые были настроены для использования простого единого входа.
Причины сбоя входа в Центре администрирования Microsoft Entra (требуется лицензия Premium)
Если у вашего клиента есть лицензия Microsoft Entra ID P1 или P2, вы также можете просмотреть отчет о действиях входа внутри идентификатора Microsoft Entra в Центре администрирования Microsoft Entra.
Перейдите к элементам мониторинга удостоверений и входа в систему работоспособности>> в [Центре администрирования Microsoft Entra](https://portal.azure.com/), а затем выберите действие входа определенного пользователя. Найдите поле КОД ОШИБКИ ВХОДА. Сопоставьте значение этого поля c причиной сбоя и способом разрешения с помощью следующей таблицы.
Код ошибки входа | Причина ошибки входа | Разрешение |
---|---|---|
81001 | Билет Kerberos пользователя слишком большой. | Сократите список членства пользователя в группах и повторите попытку. |
81002 | Не удалось проверить билет Kerberos пользователя. | Изучите контрольный список по устранению неполадок. |
81003 | Не удалось проверить билет Kerberos пользователя. | Изучите контрольный список по устранению неполадок. |
81004 | Проверка подлинности Kerberos завершилась сбоем. | Изучите контрольный список по устранению неполадок. |
81008 | Не удалось проверить билет Kerberos пользователя. | Изучите контрольный список по устранению неполадок. |
81009 | Не удалось проверить билет Kerberos пользователя. | Изучите контрольный список по устранению неполадок. |
81010 | Не удалось выполнить простой единый вход, так как срок действия билета Kerberos пользователя истек или этот билет недопустим. | Пользователю следует войти с устройства, присоединенного к домену, в корпоративной сети. |
81011 | Не удалось найти объект-пользователь на основе сведений в билете Kerberos пользователя. | Используйте Microsoft Entra Connect для синхронизации сведений пользователя с идентификатором Microsoft Entra. |
81012 | Пользователь, пытающийся войти в Microsoft Entra ID, отличается от пользователя, вошедшего на устройство. | Пользователю нужно войти с другого устройства. |
81013 | Не удалось найти объект-пользователь на основе сведений в билете Kerberos пользователя. | Используйте Microsoft Entra Connect для синхронизации сведений пользователя с идентификатором Microsoft Entra. |
Контрольный список по устранению неполадок
Используйте следующий контрольный список для устранения неполадок простого единого входа.
- Убедитесь, что функция простого единого входа включена в Microsoft Entra Connect. Если функцию не удается включить (например, из-за заблокированного порта), обеспечьте соблюдение всех предварительных требований.
- Если вы включили присоединение к Microsoft Entra и простой единый вход в клиенте, убедитесь, что проблема не связана с присоединением к Microsoft Entra. Единый вход с присоединением к Microsoft Entra имеет приоритет над простым единым входом, если устройство зарегистрировано в Microsoft Entra ID и присоединено к домену. При едином входе с присоединением к Microsoft Entra отображается плитка входа с надписью "Подключено к Windows".
- Убедитесь, что URL-адрес Microsoft Entra (
https://autologon.microsoftazuread-sso.com
) является частью параметров зоны интрасети пользователя. - Убедитесь, что корпоративное устройство присоединено к домену Active Directory. Устройство не должно быть присоединено к Microsoft Entra для работы простого единого входа.
- Убедитесь, что пользователь вошел в систему с этого устройства с помощью доменной учетной записи Active Directory.
- Убедитесь, что учетная запись пользователя относится к лесу Active Directory, в котором настроен простой единый вход.
- Убедитесь, что устройство подключено к корпоративной сети.
- Убедитесь, что время на устройстве синхронизировано с временем в Active Directory и на контроллерах доменов, и что разница между временем на контроллерах домена не превышает пяти минут.
- Убедитесь, что учетная запись компьютера
AZUREADSSOACC
существует и включена в каждом лесу AD, для которого нужно включить простой единый вход. Если учетная запись компьютера удалена или отсутствует, ее можно создать повторно с помощью командлетов PowerShell. - Выведите список билетов Kerberos на устройстве с помощью команды
klist
из командной строки. Убедитесь в наличии билетов, выданных для учетной записи компьютераAZUREADSSOACC
. Билеты Kerberos пользователей обычно действительны в течение 10 часов. В Active Directory могут быть заданы другие параметры. - Если вы отключили и снова включили простой единый вход в клиенте, пользователи не получат возможность единого входа до истечения срока действия кэшированных билетов Kerberos.
- Удалите имеющиеся билеты Kerberos с устройства с помощью команды
klist purge
и повторите попытку. - Чтобы определить наличие проблем, связанных с JavaScript, просмотрите журналы консоли из браузера (в разделе Средства разработчика).
- Просмотрите журналы контроллеров домена.
Журналы контроллеров домена
Если на контроллере домена включен аудит успешных попыток, то каждый раз, когда пользователь входит в систему с использованием простого единого входа, в журнал событий заносится запись безопасности. Эти события безопасности можно найти с помощью приведенного ниже запроса. (Найдите событие 4769, связанное с учетной записью компьютера AzureADSSOAcc$.)
<QueryList>
<Query Id="0" Path="Security">
<Select Path="Security">*[EventData[Data[@Name='ServiceName'] and (Data='AZUREADSSOACC$')]]</Select>
</Query>
</QueryList>
Ручной сброс функции
Если устранение неполадок не помогло, можно сбросить вручную эту функцию на клиенте. Выполните следующие действия на локальном сервере, на котором выполняется Microsoft Entra Connect.
Шаг 1. Импортируйте модуль PowerShell для простого единого входа
- Сначала скачайте и установите Azure PowerShell.
- Перейдите в папку
%programfiles%\Microsoft Azure Active Directory Connect
. - Импортируйте модуль PowerShell для простого единого входа с помощью следующей команды:
Import-Module .\AzureADSSO.psd1
.
Шаг 2. Получение списка лесов Active Directory, для которых включен простой единый вход
- Запустите PowerShell с правами администратора. В PowerShell вызовите
New-AzureADSSOAuthenticationContext
. При появлении запроса введите учетные данные администратора гибридного удостоверения клиента. - Вызовите процедуру
Get-AzureADSSOStatus
. Эта команда выводит список лесов Active Directory (см. список "Домены"), в которых включена эта функция.
Шаг 3. Отключение простого единого входа для каждого леса Active Directory, в котором настроена эта функция
Вызовите процедуру
$creds = Get-Credential
. При запросе введите свои учетные данные администратора домена для нужного леса Active Directory.Примечание.
Имя пользователя администратора домена необходимо вводить в формате имени учетной записи SAM (contoso\johndoe или contoso.com\johndoe). Мы используем доменную часть имени пользователя, чтобы через DNS найти контроллер домена для администратора домена.
Примечание.
Указанная учетная запись не должна входить в группу защищенных пользователей. В противном случае операция завершится ошибкой.
Вызовите процедуру
Disable-AzureADSSOForest -OnPremCredentials $creds
. Эта команда удаляет учетную запись компьютераAZUREADSSOACC
с локального контроллера домена для конкретного леса Active Directory.Примечание.
Если по какой-либо причине вы не можете локально получить доступ к службе AD, можно пропустить шаги 3.1 и 3.2, а вместо этого вызвать
Disable-AzureADSSOForest -DomainFqdn <Domain name from the output list in step 2>
.Повторите предыдущие шаги для каждого леса Active Directory, в котором настроена эта функция.
Шаг 4. Включение простого единого входа для каждого леса Active Directory
Вызовите процедуру
Enable-AzureADSSOForest
. При запросе введите свои учетные данные администратора домена для нужного леса Active Directory.Примечание.
Имя пользователя администратора домена необходимо вводить в формате имени учетной записи SAM (contoso\johndoe или contoso.com\johndoe). Мы используем доменную часть имени пользователя, чтобы через DNS найти контроллер домена для администратора домена.
Примечание.
Указанная учетная запись не должна входить в группу защищенных пользователей. В противном случае операция завершится ошибкой.
Повторите предыдущие шаги для каждого леса Active Directory, в котором должна быть настроена эта функция.
Шаг 5. Включение функции в клиенте
Чтобы включить эту функцию на клиенте, вызовите Enable-AzureADSSO -Enable $true
.