Risolvere i problemi relativi all'accesso Single Sign-On intuitivo Microsoft Entra

Questo articolo consente di trovare informazioni utili per risolvere i problemi comuni relativi all'accesso Seamless Single Sign-On (Seamless SSO) di Microsoft Entra.

Problemi noti

  • In alcuni casi, l'abilitazione dell'accesso Single Sign-On facile può richiedere fino a 30 minuti.
  • Se disabiliti e riabiliti l'accesso Seamless SSO nel tuo tenant, gli utenti non potranno usare l'accesso Single Sign-On fino alla scadenza dei ticket Kerberos memorizzati nella cache, validi in genere per 10 ore.
  • Se l'accesso Seamless SSO ha esito positivo, l'utente non ha la possibilità di scegliere Mantieni l'accesso.
  • I client Microsoft 365 Win32 (Outlook, Word, Excel e altri) con versioni 16.0.8730.xxxx e successive sono supportati usando un flusso non interattivo. Altre versioni non sono supportate. In tali versioni, per effettuare l'accesso gli utenti immetteranno i loro username, ma non le password. Per OneDrive, devi attivare la funzionalità di configurazione automatica di OneDrive per un'esperienza di accesso automatico.
  • L'accesso SSO facile non funziona in modalità di esplorazione privata in Firefox.
  • L'accesso Single Sign-On facile non funziona in Internet Explorer quando è attiva la modalità di protezione avanzata.
  • Microsoft Edge (legacy) non è più supportato
  • L'accesso Single Sign-On facile non funziona nei browser per dispositivi mobili basati su iOS e Android.
  • Se un utente fa parte di troppi gruppi in Active Directory, il ticket Kerberos dell'utente sarà probabilmente troppo grande per l'elaborazione e ciò causerà l'esito negativo dell'accesso Single Sign-On facile. Le richieste HTTPS di Microsoft Entra possono avere intestazioni con una dimensione massima di 50 kB. I ticket Kerberos devono essere più piccoli rispetto a tale dimensione per contenere altri elementi di Microsoft Entra (in genere, 2 - 5 kB), come i cookie. Si consiglia di ridurre le appartenenze a gruppi dell'utente e riprovare.
  • Se esegui la sincronizzazione di 30 o più foreste di Active Directory, non puoi abilitare l'accesso Seamless SSO usando Microsoft Entra Connect. Per risolvere il problema, è possibile abilitare manualmente la funzionalità nel tenant in uso.
  • L'aggiunta degli URL del servizio Microsoft Entra (https://autologon.microsoftazuread-sso.com) alla zona Siti attendibili anziché alla zona Intranet locale impedisce agli utenti di eseguire l'accesso in.
  • Seamless SSO supporta i tipi di crittografia AES256_HMAC_SHA1, AES128_HMAC_SHA1 e RC4_HMAC_MD5 per Kerberos. È consigliabile impostare il tipo di crittografia per l'account AzureADSSOAcc$ su AES256_HMAC_SHA1 o su uno dei tipi AES rispetto a RC4 per una maggiore sicurezza. Il tipo di crittografia viene archiviato nell'attributo msDS-SupportedEncryptionTypes dell'account in Active Directory. Se il tipo di crittografia dell'account AzureADSSOAcc$ è impostato su RC4_HMAC_MD5 e vuoi modificarlo in uno dei tipi di crittografia AES, assicurati di eseguire prima il rollover della chiave di decrittografia Kerberos dell'account AzureADSSOAcc$ come illustrato nel documento FAQ (domande frequenti) sotto la relativa domanda, in caso contrario, l'accesso Seamless SSO non si verificherà.
  • Se è presente più di una foresta con trust tra foreste, l'abilitazione di SSO in una foresta abiliterà SSO in tutte le foreste attendibili. Se abiliti SSO in una foresta in cui SSO è già abilitato, visualizzerai un errore che ti informa che SSO è già abilitato nella foresta.
  • I criteri che abilitano l'accesso Seamless SSO hanno un limite di 25600 caratteri. Questo limite è relativo a tutti gli elementi inclusi nei criteri, compresi i nomi delle foreste su cui vuoi abilitare l'accesso Seamless SSO. Puoi raggiungere il limite di caratteri se disponi di un numero elevato di foreste nell'ambiente. Se le tue foreste sono reciprocamente affidabili, è sufficiente abilitare l'accesso Seamless SSO in una sola foresta. Ad esempio, se disponi di contoso.com e fabrikam.com e questi sono reciprocamente affidabili, puoi abilitare l'accesso Seamless SSO solo su contoso.com e questo verrà applicato anche su fabrikam.com. In questo modo, puoi ridurre il numero di foreste abilitate nei criteri ed evitare di raggiungere il limite dei caratteri dei criteri.

Controllare lo stato della funzionalità

Assicurarsi che la funzionalità di accesso SSO facile sia ancora abilitata nel tenant. Puoi controllare lo stato passando al riquadro Identity>Hybrid management>Microsoft Entra Connect>Connect Sync nella [interfaccia di amministrazione di Microsoft Entra](https://portal.azure.com/).

Screenshot che mostra l'interfaccia di amministrazione di Microsoft Entra: riquadro Microsoft Entra Connect.

Fare clic per visualizzare tutte le foreste di AD abilitate per l'accesso SSO facile.

Screenshot dell'interfaccia di amministrazione di Microsoft Entra: riquadro Seamless SSO.

Motivi degli errori di accesso nell'interfaccia di amministrazione di Microsoft Entra (necessaria licenza Premium)

Se al tuo tenant è associata una licenza di Microsoft Entra ID P1 o P2, puoi anche consultare il report delle attività di accesso all’interno di Microsoft Entra ID nell'interfaccia di amministrazione di Microsoft Entra.

Screenshot che mostra l'interfaccia di amministrazione di Microsoft Entra_ report accessi.

Passa a Identity>Monitoring & health>Sign-ins nell'[interfaccia di amministrazione di Microsoft Entra](https://portal.azure.com/) e quindi seleziona un'attività di accesso di un utente specifico. Individuare il campo CODICE ERRORE DI ACCESSO. Eseguire il mapping del valore del campo a un motivo e una risoluzione dell'errore usando la tabella seguente:

Codice dell'errore di accesso Motivo dell'errore di accesso Risoluzione
81001 Il ticket Kerberos dell'utente è troppo grande. Ridurre l'appartenenza a gruppi dell'utente e riprovare.
81002 Impossibile convalidare il ticket Kerberos dell'utente. Vedere l'elenco di controllo per la risoluzione dei problemi.
81003 Impossibile convalidare il ticket Kerberos dell'utente. Vedere l'elenco di controllo per la risoluzione dei problemi.
81004 Tentativo di autenticazione Kerberos non riuscito. Vedere l'elenco di controllo per la risoluzione dei problemi.
81008 Impossibile convalidare il ticket Kerberos dell'utente. Vedere l'elenco di controllo per la risoluzione dei problemi.
81009 Impossibile convalidare il ticket Kerberos dell'utente. Vedere l'elenco di controllo per la risoluzione dei problemi.
81010 Non è stato possibile usare l'accesso SSO facile perché il ticket Kerberos dell'utente è scaduto o non è valido. L'utente deve eseguire l'accesso da un dispositivo aggiunto a un dominio all'interno della rete aziendale.
81011 Impossibile trovare l'oggetto utente in base alle informazioni nel ticket Kerberos dell'utente. Usa Microsoft Entra Connect per sincronizzare le informazioni dell'utente in Microsoft Entra ID.
81012 L'utente che sta tentando di accedere a Microsoft Entra ID è diverso dall'utente che ha eseguito l'accesso al dispositivo. L'utente deve eseguire l'accesso da un altro dispositivo.
81013 Impossibile trovare l'oggetto utente in base alle informazioni nel ticket Kerberos dell'utente. Usa Microsoft Entra Connect per sincronizzare le informazioni dell'utente in Microsoft Entra ID.

Elenco di controllo per la risoluzione dei problemi

Per la risoluzione dei problemi dell'accesso SSO facile, usare il seguente elenco di controllo:

  • Verifica se l'accesso Seamless SSO è abilitato in Microsoft Entra Connect. Se non è possibile abilitare la funzionalità, ad esempio a causa di una porta bloccata, verificare che tutti i prerequisiti siano soddisfatti.
  • Se nel tuo tenant hai abilitato sia Aggiunta a Microsoft Entra che l'accesso Seamless SSO, assicurati che il problema non dipenda da Aggiunta a Microsoft Entra. SSO da Microsoft Entra join ha la precedenza su SSO facile se il dispositivo è registrato con Microsoft Entra ID e aggiunto a un dominio. Con l'accesso SSO dall'aggiunta a Microsoft Entra, l'utente visualizza un riquadro di accesso con il messaggio "Connesso a Windows".
  • Verifica che l'URL di Microsoft Entra (https://autologon.microsoftazuread-sso.com) faccia parte delle impostazioni della zona Intranet dell'utente.
  • Verificare che il dispositivo aziendale sia aggiunto al dominio Active Directory. Il dispositivo non deve necessariamente essere aggiunto a Microsoft Entra per far sì che Seamless SSO funzioni.
  • Verificare che l'utente sia connesso al dispositivo tramite un account di dominio di Active Directory.
  • Verificare che l'account dell'utente sia presente in una foresta di Active Directory in cui è stato configurato l'accesso SSO facile.
  • Verificare che il dispositivo sia connesso alla rete aziendale.
  • Verificare che l'ora del dispositivo sia sincronizzata con quella di Active Directory e dei controller di dominio e che si discosti al massimo di 5 minuti dalle stesse.
  • Assicurarsi che l'account di computer AZUREADSSOACC sia presente e attivato in ogni foresta di AD per la quale si desidera che sia attivato il Single Sign-On facile. Se l'account del computer è stato eliminato o non è presente, è possibile usare i cmdlet di PowerShell per ricrearlo.
  • Indicare i ticket Kerberos presenti nel dispositivo usando il comando klist da un prompt dei comandi. Verificare se sono presenti i ticket emessi per l'account del computer AZUREADSSOACC. I ticket Kerberos degli utenti sono in genere validi per 10 ore. È possibile che siano in uso impostazioni diverse in Active Directory.
  • Se hai disabilitato e riabilitato l'accesso Seamless SSO nel tuo tenant, gli utenti non potranno usare l'accesso Single Sign-On fino alla scadenza dei loro ticket Kerberos memorizzati nella cache.
  • Eliminare i ticket Kerberos dal dispositivo usando il comando klist purge e riprovare.
  • Esaminare i log della console del browser (in Strumenti di sviluppo) per determinare se esistono problemi relativi a JavaScript.
  • Esaminare i log del controller di dominio.

Log del controller di dominio

Se si abilita il controllo delle operazioni riuscite nel controller di dominio, ogni volta che un utente esegue l'accesso usando la funzionalità di accesso SSO facile, viene registrata una voce di sicurezza nel log eventi. È possibile trovare questi eventi di sicurezza usando la query seguente. Cercare l'evento 4769 associato all'account computer AzureADSSOAcc$.

  <QueryList>
    <Query Id="0" Path="Security">
      <Select Path="Security">*[EventData[Data[@Name='ServiceName'] and (Data='AZUREADSSOACC$')]]</Select>
    </Query>
  </QueryList>

Reimpostazione manuale della funzionalità

Se il problema persiste, è possibile reimpostare manualmente la funzionalità nel tenant. Segui questa procedura nel server locale in cui si stai eseguendo Microsoft Entra Connect.

Passaggio 1: importare il modulo di PowerShell per l'accesso SSO facile

  1. Prima, scaricare e installare Azure AD PowerShell.
  2. Passare alla cartella %programfiles%\Microsoft Azure Active Directory Connect.
  3. Importare il modulo di PowerShell Seamless SSO usando il comando seguente: Import-Module .\AzureADSSO.psd1.

Passaggio 2: ottenere l'elenco di foreste di Active Directory in cui è stata abilitato l'accesso SSO facile

  1. Esegui PowerShell come amministratore. In PowerShell eseguire la chiamata a New-AzureADSSOAuthenticationContext. Quando richiesto, immettere le credenziali di amministratore dell'identità ibrida del tenant.
  2. Chiamare Get-AzureADSSOStatus. Questo comando consente di visualizzare l'elenco di foreste di Active Directory, ovvero l'elenco "Domini", in cui è stata abilitata questa funzionalità.

Passaggio 3: disabilitare l'accesso SSO facile per ogni foresta di Active Directory in cui la funzionalità è configurata

  1. Chiamare $creds = Get-Credential. Quando richiesto, immettere le credenziali dell'amministratore di dominio per la foresta di Active Directory da usare.

    Nota

    Il nome utente delle credenziali di amministratore di dominio deve essere specificato nel formato del nome dell'account SAM (CONTOSO\johndoe oppure contoso.com\johndoe). Usare la parte del dominio del nome utente per individuare il controller di dominio dell'amministratore di dominio usando DNS.

    Nota

    L'account amministratore di dominio usato non deve essere un membro del gruppo Utenti protetti, in caso contrario l'operazione non riesce.

  2. Chiamare Disable-AzureADSSOForest -OnPremCredentials $creds. Questo comando rimuove l'account computer AZUREADSSOACC dal controller di dominio locale per questa foresta di Active Directory specifica.

    Nota

    Se, per qualsiasi motivo, non riesci ad accedere alla tua AD locale, puoi ignorare i passaggi 3.1 e 3.2 e chiamare invece Disable-AzureADSSOForest -DomainFqdn <Domain name from the output list in step 2>.

  3. Ripetere la procedura precedente per ogni foresta di Active Directory in cui la funzionalità è configurata.

Passaggio 4: abilitare l'accesso SSO facile per ogni foresta di Active Directory

  1. Chiamare Enable-AzureADSSOForest. Quando richiesto, immettere le credenziali dell'amministratore di dominio per la foresta di Active Directory da usare.

    Nota

    Il nome utente delle credenziali di amministratore di dominio deve essere specificato nel formato del nome dell'account SAM (CONTOSO\johndoe oppure contoso.com\johndoe). Usare la parte del dominio del nome utente per individuare il controller di dominio dell'amministratore di dominio usando DNS.

    Nota

    L'account amministratore di dominio usato non deve essere un membro del gruppo Utenti protetti, in caso contrario l'operazione non riesce.

  2. Ripetere la procedura precedente per ogni foresta di Active Directory in cui si desidera configurare la funzionalità.

Passaggio 5: Abilitare la funzionalità nel tenant

Per abilitare la funzionalità nel tenant, chiamare Enable-AzureADSSO -Enable $true.