Risolvere i problemi relativi all'accesso Single Sign-On facile di Azure Active DirectoryTroubleshoot Azure Active Directory Seamless Single Sign-On

Questo articolo consente di trovare informazioni utili per risolvere i problemi comuni relativi all'accesso Single Sign-On (SSO) facile di Azure Active Directory (Azure AD).This article helps you find troubleshooting information about common problems regarding Azure Active Directory (Azure AD) Seamless Single Sign-On (Seamless SSO).

Problemi notiKnown issues

  • In alcuni casi, l'abilitazione dell'accesso Single Sign-On facile può richiedere fino a 30 minuti.In a few cases, enabling Seamless SSO can take up to 30 minutes.
  • Se si disabilita e si abilita di nuovo l'accesso Single Sign-On facile nel tenant, gli utenti non potranno usare l'accesso Single Sign-On fino alla scadenza dei ticket Kerberos memorizzati nella cache, validi in genere per 10 ore.If you disable and re-enable Seamless SSO on your tenant, users will not get the single sign-on experience till their cached Kerberos tickets, typically valid for 10 hours, have expired.
  • Non è disponibile il supporto per il browser Microsoft Edge.Edge browser support is not available.
  • Se l'accesso SSO facile ha esito positivo, l'utente non ha la possibilità di scegliere Mantieni l'accesso.If Seamless SSO succeeds, the user does not have the opportunity to select Keep me signed in. A causa di questo comportamento, gli scenari di mapping di SharePoint e OneDrive non funzionano.Due to this behavior, SharePoint and OneDrive mapping scenarios don't work.
  • I client Office con versione precedente alla 16.0.8730.xxxx non supportano l'accesso non interattivo con l'accesso Single Sign-On facile.Office clients below version 16.0.8730.xxxx don't support non-interactive sign-in with Seamless SSO. Per eseguire l'accesso in quei client, gli utenti devono immettere il nome utente ma non la password.On those clients, users must enter their usernames, but not passwords, to sign-in.
  • L'accesso SSO facile non funziona in modalità di esplorazione privata in Firefox.Seamless SSO doesn't work in private browsing mode on Firefox.
  • L'accesso Single Sign-On facile non funziona in Internet Explorer quando è attiva la modalità di protezione avanzata.Seamless SSO doesn't work in Internet Explorer when Enhanced Protected mode is turned on.
  • L'accesso Single Sign-On facile non funziona nei browser per dispositivi mobili basati su iOS e Android.Seamless SSO doesn't work on mobile browsers on iOS and Android.
  • Se un utente fa parte di troppi gruppi in Active Directory, il ticket Kerberos dell'utente sarà probabilmente troppo grande per l'elaborazione e ciò causerà l'esito negativo dell'accesso Single Sign-On facile.If a user is part of too many groups in Active Directory, the user's Kerberos ticket will likely be too large to process, and this will cause Seamless SSO to fail. Le richieste HTTPS di Azure AD possono avere intestazioni con una dimensione massima di 16 KB. I ticket Kerberos devono essere molto più piccoli rispetto a tale dimensione per contenere altri artefatti di Azure AD, come i cookie.Azure AD HTTPS requests can have headers with a maximum size of 16 KB; Kerberos tickets need to be much smaller than that number to accommodate other Azure AD artifacts such as cookies. Si consiglia di ridurre le appartenenze a gruppi dell'utente e riprovare.Our recommendation is to reduce user's group memberships and try again.
  • Se si esegue la sincronizzazione di 30 o più foreste di Active Directory, non è possibile abilitare l'accesso SSO facile usando Azure AD Connect.If you're synchronizing 30 or more Active Directory forests, you can't enable Seamless SSO through Azure AD Connect. Per risolvere il problema, è possibile abilitare manualmente la funzionalità nel tenant in uso.As a workaround, you can manually enable the feature on your tenant.
  • L'aggiunta degli URL del servizio Azure AD (https://autologon.microsoftazuread-sso.com) alla zona Siti attendibili anziché alla zona Intranet locale impedisce agli utenti di eseguire l'accesso.Adding the Azure AD service URL (https://autologon.microsoftazuread-sso.com) to the Trusted sites zone instead of the Local intranet zone blocks users from signing in.
  • La disattivazione dell'uso del tipo di crittografia RC4_HMAC_MD5 per Kerberos nelle impostazioni di Active Directory interromperà l'accesso SSO facile.Disabling the use of the RC4_HMAC_MD5 encryption type for Kerberos in your Active Directory settings will break Seamless SSO. Nello strumento Editor Gestione Criteri di gruppo assicurarsi che il valore dei criteri per RC4_HMAC_MD5 in Configurazione computer > Impostazioni di Windows > Impostazioni di sicurezza > Criteri locali > Opzioni di sicurezza -> "Sicurezza di rete: configura tipi di crittografia consentiti per Kerberos" sia "Abilitato".In your Group Policy Management Editor tool ensure that the policy value for RC4_HMAC_MD5 under Computer Configuration -> Windows Settings -> Security Settings -> Local Policies -> Security Options -> "Network Security: Configure encryption types allowed for Kerberos" is "Enabled".

Controllare lo stato della funzionalitàCheck status of feature

Assicurarsi che la funzionalità di accesso SSO facile sia ancora abilitata nel tenant.Ensure that the Seamless SSO feature is still Enabled on your tenant. Per verificare lo stato, passare al riquadro Azure AD Connect nell'interfaccia di amministrazione di Azure Active Directory.You can check the status by going to the Azure AD Connect pane in the Azure Active Directory admin center.

Interfaccia di amministrazione di Azure Active Directory: riquadro Azure AD Connect

Fare clic per visualizzare tutte le foreste di AD abilitate per l'accesso SSO facile.Click through to see all the AD forests that have been enabled for Seamless SSO.

Interfaccia di amministrazione di Azure Active Directory: riquadro per l'accesso SSO facile

Motivi degli errori di accesso nell'interfaccia di amministrazione di Azure Active Directory (necessaria licenza Premium)Sign-in failure reasons in the Azure Active Directory admin center (needs a Premium license)

Se al tenant è associata una licenza di Azure AD Premium, è anche possibile esaminare il report delle attività di accesso nell'interfaccia di amministrazione di Azure Active Directory.If your tenant has an Azure AD Premium license associated with it, you can also look at the sign-in activity report in the Azure Active Directory admin center.

Interfaccia di amministrazione di Azure Active Directory: report sugli accessi

Passare ad Azure Active Directory > Accessi nell'interfaccia di amministrazione di Azure Active Directory e quindi fare clic sull'attività di accesso di un utente specifico.Browse to Azure Active Directory > Sign-ins in the Azure Active Directory admin center, and then select a specific user's sign-in activity. Individuare il campo CODICE ERRORE DI ACCESSO.Look for the SIGN-IN ERROR CODE field. Eseguire il mapping del valore del campo a un motivo e una risoluzione dell'errore usando la tabella seguente:Map the value of that field to a failure reason and resolution by using the following table:

Codice dell'errore di accessoSign-in error code Motivo dell'errore di accessoSign-in failure reason RisoluzioneResolution
8100181001 Il ticket Kerberos dell'utente è troppo grande.User's Kerberos ticket is too large. Ridurre l'appartenenza a gruppi dell'utente e riprovare.Reduce the user's group memberships and try again.
8100281002 Impossibile convalidare il ticket Kerberos dell'utente.Unable to validate the user's Kerberos ticket. Vedere l'elenco di controllo per la risoluzione dei problemi.See the troubleshooting checklist.
8100381003 Impossibile convalidare il ticket Kerberos dell'utente.Unable to validate the user's Kerberos ticket. Vedere l'elenco di controllo per la risoluzione dei problemi.See the troubleshooting checklist.
8100481004 Tentativo di autenticazione Kerberos non riuscito.Kerberos authentication attempt failed. Vedere l'elenco di controllo per la risoluzione dei problemi.See the troubleshooting checklist.
8100881008 Impossibile convalidare il ticket Kerberos dell'utente.Unable to validate the user's Kerberos ticket. Vedere l'elenco di controllo per la risoluzione dei problemi.See the troubleshooting checklist.
8100981009 Impossibile convalidare il ticket Kerberos dell'utente.Unable to validate the user's Kerberos ticket. Vedere l'elenco di controllo per la risoluzione dei problemi.See the troubleshooting checklist.
8101081010 Non è stato possibile usare l'accesso SSO facile perché il ticket Kerberos dell'utente è scaduto o non è valido.Seamless SSO failed because the user's Kerberos ticket has expired or is invalid. L'utente deve eseguire l'accesso da un dispositivo aggiunto a un dominio all'interno della rete aziendale.The user needs to sign in from a domain-joined device inside your corporate network.
8101181011 Impossibile trovare l'oggetto utente in base alle informazioni nel ticket Kerberos dell'utente.Unable to find the user object based on the information in the user's Kerberos ticket. Usare Azure AD Connect per sincronizzare le informazioni dell'utente in Azure AD.Use Azure AD Connect to synchronize the user's information into Azure AD.
8101281012 L'utente che sta tentando di accedere ad Azure AD è diverso dall'utente che ha eseguito l'accesso al dispositivo.The user trying to sign in to Azure AD is different from the user that is signed in to the device. L'utente deve eseguire l'accesso da un altro dispositivo.The user needs to sign in from a different device.
8101381013 Impossibile trovare l'oggetto utente in base alle informazioni nel ticket Kerberos dell'utente.Unable to find the user object based on the information in the user's Kerberos ticket. Usare Azure AD Connect per sincronizzare le informazioni dell'utente in Azure AD.Use Azure AD Connect to synchronize the user's information into Azure AD.

Elenco di controllo per la risoluzione dei problemiTroubleshooting checklist

Per la risoluzione dei problemi dell'accesso SSO facile, usare il seguente elenco di controllo:Use the following checklist to troubleshoot Seamless SSO problems:

  • Verificare se l'accesso SSO facile è abilitato in Azure AD Connect.Ensure that the Seamless SSO feature is enabled in Azure AD Connect. Se non è possibile abilitare la funzionalità, ad esempio a causa di una porta bloccata, verificare che tutti i prerequisiti siano soddisfatti.If you can't enable the feature (for example, due to a blocked port), ensure that you have all the prerequisites in place.
  • Se nel tenant sono stati abilitati sia Aggiunta ad Azure AD che l'accesso Single Sign-On facile, assicurarsi che il problema non dipenda da Aggiunta ad Azure AD.If you have enabled both Azure AD Join and Seamless SSO on your tenant, ensure that the issue is not with Azure AD Join. SSO da Aggiunta ad Azure AD ha la precedenza su SSO facile se il dispositivo è sia registrato con Azure AD che aggiunto a un dominio.SSO from Azure AD Join takes precedence over Seamless SSO if the device is both registered with Azure AD and domain-joined. Con SSO da Aggiunta ad Azure AD l'utente visualizza un riquadro di accesso con il messaggio "Connesso a Windows".With SSO from Azure AD Join the user sees a sign-in tile that says "Connected to Windows".
  • Verificare che l'URL di Azure AD (https://autologon.microsoftazuread-sso.com) faccia parte delle impostazioni della zona Intranet dell'utente.Ensure that the Azure AD URL (https://autologon.microsoftazuread-sso.com) is part of the user's Intranet zone settings.
  • Verificare che il dispositivo aziendale sia aggiunto al dominio Active Directory.Ensure that the corporate device is joined to the Active Directory domain.
  • Verificare che l'utente sia connesso al dispositivo tramite un account di dominio di Active Directory.Ensure that the user is logged on to the device through an Active Directory domain account.
  • Verificare che l'account dell'utente sia presente in una foresta di Active Directory in cui è stato configurato l'accesso SSO facile.Ensure that the user's account is from an Active Directory forest where Seamless SSO has been set up.
  • Verificare che il dispositivo sia connesso alla rete aziendale.Ensure that the device is connected to the corporate network.
  • Verificare che l'ora del dispositivo sia sincronizzata con quella di Active Directory e dei controller di dominio e che si discosti al massimo di 5 minuti dalle stesse.Ensure that the device's time is synchronized with the time in both Active Directory and the domain controllers, and that they are within five minutes of each other.
  • Indicare i ticket Kerberos presenti nel dispositivo usando il comando klist da un prompt dei comandi.List the existing Kerberos tickets on the device by using the klist command from a command prompt. Verificare se sono presenti i ticket emessi per l'account del computer AZUREADSSOACCT.Ensure that the tickets issued for the AZUREADSSOACCT computer account are present. I ticket Kerberos degli utenti sono in genere validi per 10 ore.Users' Kerberos tickets are typically valid for 10 hours. È possibile che siano in uso impostazioni diverse in Active Directory.You might have different settings in Active Directory.
  • Se si è disabilitato e abilitato di nuovo l'accesso Single Sign-On facile nel tenant, gli utenti non potranno usare l'accesso Single Sign-On fino alla scadenza dei ticket Kerberos memorizzati nella cache.If you disabled and re-enabled Seamless SSO on your tenant, users will not get the single sign-on experience till their cached Kerberos tickets have expired.
  • Eliminare i ticket Kerberos dal dispositivo usando il comando klist purge e riprovare.Purge existing Kerberos tickets from the device by using the klist purge command, and try again.
  • Esaminare i log della console del browser (in Strumenti di sviluppo) per determinare se esistono problemi relativi a JavaScript.To determine if there are JavaScript-related problems, review the console logs of the browser (under Developer Tools).
  • Esaminare i log del controller di dominio.Review the domain controller logs.

Log del controller di dominioDomain controller logs

Se si abilita il controllo delle operazioni riuscite nel controller di dominio, ogni volta che un utente esegue l'accesso usando la funzionalità di accesso SSO facile, viene registrata una voce di sicurezza nel log eventi.If you enable success auditing on your domain controller, then every time a user signs in through Seamless SSO, a security entry is recorded in the event log. È possibile trovare questi eventi di sicurezza usando la query seguente.You can find these security events by using the following query. Cercare l'evento 4769 associato all'account computer AzureADSSOAcc$.(Look for event 4769 associated with the computer account AzureADSSOAcc$.)

    <QueryList>
      <Query Id="0" Path="Security">
    <Select Path="Security">*[EventData[Data[@Name='ServiceName'] and (Data='AZUREADSSOACC$')]]</Select>
      </Query>
    </QueryList>

Reimpostazione manuale della funzionalitàManual reset of the feature

Se il problema persiste, è possibile reimpostare manualmente la funzionalità nel tenant.If troubleshooting didn't help, you can manually reset the feature on your tenant. Seguire questa procedura nel server locale in cui si esegue Azure AD Connect.Follow these steps on the on-premises server where you're running Azure AD Connect.

Passaggio 1: importare il modulo di PowerShell per l'accesso SSO facileStep 1: Import the Seamless SSO PowerShell module

  1. Scaricare e installare l'Assistente per l'accesso ai Microsoft Online Services.Download and install the Microsoft Online Services Sign-In Assistant.
  2. Scaricare e installare il modulo di Azure Active Directory a 64 bit per Windows PowerShell.Download and install the 64-bit Azure Active Directory module for Windows PowerShell.
  3. Passare alla cartella %programfiles%\Microsoft Azure Active Directory Connect.Browse to the %programfiles%\Microsoft Azure Active Directory Connect folder.
  4. Importare il modulo di PowerShell Seamless SSO usando il comando seguente: Import-Module .\AzureADSSO.psd1.Import the Seamless SSO PowerShell module by using this command: Import-Module .\AzureADSSO.psd1.

Passaggio 2: ottenere l'elenco di foreste di Active Directory in cui è stata abilitato l'accesso SSO facileStep 2: Get the list of Active Directory forests on which Seamless SSO has been enabled

  1. Eseguire PowerShell come amministratore.Run PowerShell as an administrator. In PowerShell eseguire la chiamata a New-AzureADSSOAuthenticationContext.In PowerShell, call New-AzureADSSOAuthenticationContext. Quando richiesto, immettere le credenziali di amministratore globale del tenant.When prompted, enter your tenant's global administrator credentials.
  2. Eseguire la chiamata a Get-AzureADSSOStatus.Call Get-AzureADSSOStatus. Questo comando consente di visualizzare l'elenco di foreste di Active Directory, ovvero l'elenco "Domini", in cui è stata abilitata questa funzionalità.This command provides you with the list of Active Directory forests (look at the "Domains" list) on which this feature has been enabled.

Passaggio 3: disabilitare l'accesso SSO facile per ogni foresta di Active Directory in cui la funzionalità è configurataStep 3: Disable Seamless SSO for each Active Directory forest where you've set up the feature

  1. Eseguire la chiamata a $creds = Get-Credential.Call $creds = Get-Credential. Quando richiesto, immettere le credenziali dell'amministratore di dominio per la foresta di Active Directory da usare.When prompted, enter the domain administrator credentials for the intended Active Directory forest.
  2. Eseguire la chiamata a Disable-AzureADSSOForest -OnPremCredentials $creds.Call Disable-AzureADSSOForest -OnPremCredentials $creds. Questo comando rimuove l'account computer AZUREADSSOACCT dal controller di dominio locale per questa foresta di Active Directory specifica.This command removes the AZUREADSSOACCT computer account from the on-premises domain controller for this specific Active Directory forest.
  3. Ripetere la procedura precedente per ogni foresta di Active Directory in cui la funzionalità è configurata.Repeat the preceding steps for each Active Directory forest where you’ve set up the feature.

Passaggio 4: abilitare l'accesso SSO facile per ogni foresta di Active DirectoryStep 4: Enable Seamless SSO for each Active Directory forest

  1. Eseguire la chiamata a Enable-AzureADSSOForest.Call Enable-AzureADSSOForest. Quando richiesto, immettere le credenziali dell'amministratore di dominio per la foresta di Active Directory da usare.When prompted, enter the domain administrator credentials for the intended Active Directory forest.
  2. Ripetere la procedura precedente per ogni foresta di Active Directory in cui si desidera configurare la funzionalità.Repeat the preceding step for each Active Directory forest where you want to set up the feature.

Passaggio 5.Step 5. Abilitare la funzionalità nel tenantEnable the feature on your tenant

Per abilitare la funzionalità nel tenant corrente, eseguire la chiamata a Enable-AzureADSSO e immettere true al prompt Enable:.To turn on the feature on your tenant, call Enable-AzureADSSO and enter true at the Enable: prompt.