Risolvere i problemi relativi all'accesso Single Sign-On facile di Azure Active DirectoryTroubleshoot Azure Active Directory Seamless Single Sign-On

Questo articolo consente di trovare informazioni utili per risolvere i problemi comuni relativi all'accesso Single Sign-On (SSO) facile di Azure Active Directory (Azure AD).This article helps you find troubleshooting information about common problems regarding Azure Active Directory (Azure AD) Seamless Single Sign-On (Seamless SSO).

Problemi notiKnown problems

  • In alcuni casi, l'abilitazione dell'accesso Single Sign-On facile può richiedere fino a 30 minuti.In a few cases, enabling Seamless SSO can take up to 30 minutes.
  • Se si disabilitare e riabilitare SSO trasparente per il tenant, gli utenti non riceverà l'esperienza single sign-on fino a quando i ticket Kerberos memorizzati nella cache, in genere valido per 10 ore, scaduti.If you disable and re-enable Seamless SSO on your tenant, users will not get the single sign-on experience till their cached Kerberos tickets, typically valid for 10 hours, have expired.
  • Non è disponibile il supporto per il browser Edge.Edge browser support is not available.
  • L'avvio dei client Office, soprattutto in scenari di computer condivisi, prevede procedure di accesso aggiuntive per gli utenti.Starting Office clients, especially in shared computer scenarios, causes extra sign-in prompts for users. Gli utenti devono immettere i nomi utente di frequente, ma non le relative password.Users must enter their usernames frequently, but not their passwords.
  • Se l'accesso SSO facile ha esito positivo, l'utente non ha la possibilità di scegliere Mantieni l'accesso.If Seamless SSO succeeds, the user does not have the opportunity to select Keep me signed in. A causa di questo comportamento, gli scenari di mapping di SharePoint e OneDrive non funzionano.Due to this behavior, SharePoint and OneDrive mapping scenarios don't work.
  • L'accesso SSO facile non funziona in modalità di esplorazione privata in Firefox.Seamless SSO doesn't work in private browsing mode on Firefox.
  • L'accesso Single Sign-On facile non funziona in Internet Explorer quando è attiva la modalità di protezione avanzata.Seamless SSO doesn't work in Internet Explorer when Enhanced Protected mode is turned on.
  • L'accesso Single Sign-On facile non funziona nei browser per dispositivi mobili basati su iOS e Android.Seamless SSO doesn't work on mobile browsers on iOS and Android.
  • Se si esegue la sincronizzazione di 30 o più foreste di Active Directory, non è possibile abilitare l'accesso SSO facile usando Azure AD Connect.If you're synchronizing 30 or more Active Directory forests, you can't enable Seamless SSO through Azure AD Connect. Per risolvere il problema, è possibile abilitare manualmente la funzionalità nel tenant in uso.As a workaround, you can manually enable the feature on your tenant.
  • L'aggiunta degli URL del servizio Azure AD (https://autologon.microsoftazuread-sso.com, https://aadg.windows.net.nsatc.net) alla zona Siti attendibili invece che alla zona Intranet locale impedisce agli utenti di eseguire l'accesso.Adding Azure AD service URLs (https://autologon.microsoftazuread-sso.com, https://aadg.windows.net.nsatc.net) to the Trusted sites zone instead of the Local intranet zone blocks users from signing in.

Controllare lo stato della funzionalitàCheck the status of the feature

Assicurarsi che la funzionalità di accesso SSO facile sia ancora abilitata nel tenant.Ensure that the Seamless SSO feature is still Enabled on your tenant. Per verificare lo stato, passare al riquadro Azure AD Connect nell'interfaccia di amministrazione di Azure Active Directory.You can check the status by going to the Azure AD Connect pane in the Azure Active Directory admin center.

Interfaccia di amministrazione di Azure Active Directory: riquadro Azure AD Connect

Motivi degli errori di accesso nell'interfaccia di amministrazione di Azure Active Directory (necessaria licenza Premium)Sign-in failure reasons in the Azure Active Directory admin center (needs a Premium license)

Se al tenant è associata una licenza di Azure AD Premium, è anche possibile esaminare il report delle attività di accesso nell'interfaccia di amministrazione di Azure Active Directory.If your tenant has an Azure AD Premium license associated with it, you can also look at the sign-in activity report in the Azure Active Directory admin center.

Interfaccia di amministrazione di Azure Active Directory: report sugli accessi

Passare ad Azure Active Directory > Accessi nell'interfaccia di amministrazione di Azure Active Directory e quindi fare clic sull'attività di accesso di un utente specifico.Browse to Azure Active Directory > Sign-ins in the Azure Active Directory admin center, and then select a specific user's sign-in activity. Individuare il campo CODICE ERRORE DI ACCESSO.Look for the SIGN-IN ERROR CODE field. Eseguire il mapping del valore del campo a un motivo e una risoluzione dell'errore usando la tabella seguente:Map the value of that field to a failure reason and resolution by using the following table:

Codice dell'errore di accessoSign-in error code Motivo dell'errore di accessoSign-in failure reason RisoluzioneResolution
8100181001 Il ticket Kerberos dell'utente è troppo grande.User's Kerberos ticket is too large. Ridurre l'appartenenza a gruppi dell'utente e riprovare.Reduce the user's group memberships and try again.
8100281002 Impossibile convalidare il ticket Kerberos dell'utente.Unable to validate the user's Kerberos ticket. Vedere l'elenco di controllo per la risoluzione dei problemi.See the troubleshooting checklist.
8100381003 Impossibile convalidare il ticket Kerberos dell'utente.Unable to validate the user's Kerberos ticket. Vedere l'elenco di controllo per la risoluzione dei problemi.See the troubleshooting checklist.
8100481004 Tentativo di autenticazione Kerberos non riuscito.Kerberos authentication attempt failed. Vedere l'elenco di controllo per la risoluzione dei problemi.See the troubleshooting checklist.
8100881008 Impossibile convalidare il ticket Kerberos dell'utente.Unable to validate the user's Kerberos ticket. Vedere l'elenco di controllo per la risoluzione dei problemi.See the troubleshooting checklist.
8100981009 Impossibile convalidare il ticket Kerberos dell'utente.Unable to validate the user's Kerberos ticket. Vedere l'elenco di controllo per la risoluzione dei problemi.See the troubleshooting checklist.
8101081010 Non è stato possibile usare l'accesso SSO facile perché il ticket Kerberos dell'utente è scaduto o non è valido.Seamless SSO failed because the user's Kerberos ticket has expired or is invalid. L'utente deve eseguire l'accesso da un dispositivo aggiunto a un dominio all'interno della rete aziendale.The user needs to sign in from a domain-joined device inside your corporate network.
8101181011 Impossibile trovare l'oggetto utente in base alle informazioni nel ticket Kerberos dell'utente.Unable to find the user object based on the information in the user's Kerberos ticket. Usare Azure AD Connect per sincronizzare le informazioni dell'utente in Azure AD.Use Azure AD Connect to synchronize the user's information into Azure AD.
8101281012 L'utente che sta tentando di accedere ad Azure AD è diverso dall'utente che ha eseguito l'accesso al dispositivo.The user trying to sign in to Azure AD is different from the user that is signed in to the device. L'utente deve eseguire l'accesso da un altro dispositivo.The user needs to sign in from a different device.
8101381013 Impossibile trovare l'oggetto utente in base alle informazioni nel ticket Kerberos dell'utente.Unable to find the user object based on the information in the user's Kerberos ticket. Usare Azure AD Connect per sincronizzare le informazioni dell'utente in Azure AD.Use Azure AD Connect to synchronize the user's information into Azure AD.

Elenco di controllo per la risoluzione dei problemiTroubleshooting checklist

Per la risoluzione dei problemi dell'accesso SSO facile, usare il seguente elenco di controllo:Use the following checklist to troubleshoot Seamless SSO problems:

  • Verificare se l'accesso SSO facile è abilitato in Azure AD Connect.Ensure that the Seamless SSO feature is enabled in Azure AD Connect. Se non è possibile abilitare la funzionalità, ad esempio a causa di una porta bloccata, verificare che tutti i prerequisiti siano soddisfatti.If you can't enable the feature (for example, due to a blocked port), ensure that you have all the prerequisites in place.
  • Se è stata abilitata sia aggiunta ad Azure AD e SSO trasparente per il tenant, verificare che il problema non viene impostato con l'aggiunta di Azure AD.If you have enabled both Azure AD Join and Seamless SSO on your tenant, ensure that the issue is not with Azure AD Join. SSO da aggiunta ad Azure AD ha la precedenza su SSO trasparente se il dispositivo è registrato con Azure AD e dominio.SSO from Azure AD Join takes precedence over Seamless SSO if the device is both registered with Azure AD and domain-joined. Con SSO da Azure AD aggiungere l'utente visualizza un riquadro di accesso che afferma "Connessi a Windows".With SSO from Azure AD Join the user sees a sign-in tile that says "Connected to Windows".
  • Verificare che entrambi gli URL di Azure AD https://autologon.microsoftazuread-sso.com e https://aadg.windows.net.nsatc.net facciano parte delle impostazioni della zona Intranet dell'utente.Ensure that both of these Azure AD URLs (https://autologon.microsoftazuread-sso.com and https://aadg.windows.net.nsatc.net) are part of the user's Intranet zone settings.
  • Verificare che il dispositivo aziendale sia aggiunto al dominio Active Directory.Ensure that the corporate device is joined to the Active Directory domain.
  • Verificare che l'utente sia connesso al dispositivo tramite un account di dominio di Active Directory.Ensure that the user is logged on to the device through an Active Directory domain account.
  • Verificare che l'account dell'utente sia presente in una foresta di Active Directory in cui è stato configurato l'accesso SSO facile.Ensure that the user's account is from an Active Directory forest where Seamless SSO has been set up.
  • Verificare che il dispositivo sia connesso alla rete aziendale.Ensure that the device is connected to the corporate network.
  • Verificare che l'ora del dispositivo sia sincronizzata con quella di Active Directory e dei controller di dominio e che si discosti al massimo di 5 minuti dalle stesse.Ensure that the device's time is synchronized with the time in both Active Directory and the domain controllers, and that they are within five minutes of each other.
  • Indicare i ticket Kerberos presenti nel dispositivo usando il comando klist da un prompt dei comandi.List the existing Kerberos tickets on the device by using the klist command from a command prompt. Verificare se sono presenti i ticket emessi per l'account del computer AZUREADSSOACCT.Ensure that the tickets issued for the AZUREADSSOACCT computer account are present. I ticket Kerberos degli utenti sono in genere validi per 10 ore.Users' Kerberos tickets are typically valid for 10 hours. È possibile che siano in uso impostazioni diverse in Active Directory.You might have different settings in Active Directory.
  • Se è disabilitato e riabilitati SSO trasparente per il tenant, gli utenti non riceveranno l'esperienza single sign-on fino a quando i ticket Kerberos memorizzati nella cache sono scaduti.If you disabled and re-enabled Seamless SSO on your tenant, users will not get the single sign-on experience till their cached Kerberos tickets have expired.
  • Eliminare i ticket Kerberos dal dispositivo usando il comando klist purge e riprovare.Purge existing Kerberos tickets from the device by using the klist purge command, and try again.
  • Esaminare i log della console del browser (in Strumenti di sviluppo) per determinare se esistono problemi relativi a JavaScript.To determine if there are JavaScript-related problems, review the console logs of the browser (under Developer Tools).
  • Esaminare i log del controller di dominio.Review the domain controller logs.

Log del controller di dominioDomain controller logs

Se si abilita il controllo delle operazioni riuscite nel controller di dominio, ogni volta che un utente esegue l'accesso usando la funzionalità di accesso SSO facile, viene registrata una voce di sicurezza nel log eventi.If you enable success auditing on your domain controller, then every time a user signs in through Seamless SSO, a security entry is recorded in the event log. È possibile trovare questi eventi di sicurezza usando la query seguente.You can find these security events by using the following query. Cercare l'evento 4769 associato all'account computer AzureADSSOAcc$.(Look for event 4769 associated with the computer account AzureADSSOAcc$.)

    <QueryList>
      <Query Id="0" Path="Security">
    <Select Path="Security">*[EventData[Data[@Name='ServiceName'] and (Data='AZUREADSSOACC$')]]</Select>
      </Query>
    </QueryList>

Reimpostazione manuale della funzionalitàManual reset of the feature

Se il problema persiste, è possibile reimpostare manualmente la funzionalità nel tenant.If troubleshooting didn't help, you can manually reset the feature on your tenant. Seguire questa procedura nel server locale in cui si esegue Azure AD Connect.Follow these steps on the on-premises server where you're running Azure AD Connect.

Passaggio 1: importare il modulo di PowerShell per l'accesso SSO facileStep 1: Import the Seamless SSO PowerShell module

  1. Scaricare e installare l'Assistente per l'accesso ai Microsoft Online Services.Download and install the Microsoft Online Services Sign-In Assistant.
  2. Scaricare e installare il modulo di Azure Active Directory a 64 bit per Windows PowerShell.Download and install the 64-bit Azure Active Directory module for Windows PowerShell.
  3. Passare alla cartella %programfiles%\Microsoft Azure Active Directory Connect.Browse to the %programfiles%\Microsoft Azure Active Directory Connect folder.
  4. Importare il modulo di PowerShell Seamless SSO usando il comando seguente: Import-Module .\AzureADSSO.psd1.Import the Seamless SSO PowerShell module by using this command: Import-Module .\AzureADSSO.psd1.

Passaggio 2: ottenere l'elenco di foreste di Active Directory in cui è stata abilitato l'accesso SSO facileStep 2: Get the list of Active Directory forests on which Seamless SSO has been enabled

  1. Eseguire PowerShell come amministratore.Run PowerShell as an administrator. In PowerShell eseguire la chiamata a New-AzureADSSOAuthenticationContext.In PowerShell, call New-AzureADSSOAuthenticationContext. Quando richiesto, immettere le credenziali di amministratore globale del tenant.When prompted, enter your tenant's global administrator credentials.
  2. Eseguire la chiamata a Get-AzureADSSOStatus.Call Get-AzureADSSOStatus. Questo comando consente di visualizzare l'elenco di foreste di Active Directory, ovvero l'elenco "Domini", in cui è stata abilitata questa funzionalità.This command provides you with the list of Active Directory forests (look at the "Domains" list) on which this feature has been enabled.

Passaggio 3: disabilitare l'accesso SSO facile per ogni foresta di Active Directory in cui la funzionalità è configurataStep 3: Disable Seamless SSO for each Active Directory forest where you've set up the feature

  1. Eseguire la chiamata a $creds = Get-Credential.Call $creds = Get-Credential. Quando richiesto, immettere le credenziali dell'amministratore di dominio per la foresta di Active Directory da usare.When prompted, enter the domain administrator credentials for the intended Active Directory forest.
  2. Eseguire la chiamata a Disable-AzureADSSOForest -OnPremCredentials $creds.Call Disable-AzureADSSOForest -OnPremCredentials $creds. Questo comando rimuove l'account computer AZUREADSSOACCT dal controller di dominio locale per questa foresta di Active Directory specifica.This command removes the AZUREADSSOACCT computer account from the on-premises domain controller for this specific Active Directory forest.
  3. Ripetere la procedura precedente per ogni foresta di Active Directory in cui la funzionalità è configurata.Repeat the preceding steps for each Active Directory forest where you’ve set up the feature.

Passaggio 4: abilitare l'accesso SSO facile per ogni foresta di Active DirectoryStep 4: Enable Seamless SSO for each Active Directory forest

  1. Eseguire la chiamata a Enable-AzureADSSOForest.Call Enable-AzureADSSOForest. Quando richiesto, immettere le credenziali dell'amministratore di dominio per la foresta di Active Directory da usare.When prompted, enter the domain administrator credentials for the intended Active Directory forest.
  2. Ripetere la procedura precedente per ogni foresta di Active Directory in cui si desidera configurare la funzionalità.Repeat the preceding step for each Active Directory forest where you want to set up the feature.

Passaggio 5.Step 5. Abilitare la funzionalità nel tenantEnable the feature on your tenant

Per abilitare la funzionalità nel tenant corrente, eseguire la chiamata a Enable-AzureADSSO e immettere true al prompt Enable:.To turn on the feature on your tenant, call Enable-AzureADSSO and enter true at the Enable: prompt.