Tietyissä tilanteissa Microsoft-kirjautuminen ei toimi odotetusti. Ongelmatilanteita voi syntyä esimerkiksi seuraavissa tilanteissa:
- Henkilön laitteeseen Microsoft Endpoint Managerin kautta jaetut apps asennukset aiheuttavat sekannuksen mikäli henkilö käyttää jotain muuta kuin laitteen vakioselainta.
- Määritysvirhe henkilön tai organisaation Neptoniin tallennetuissa tiedoissa.
- Määritysvirhe tai normaalia tiukemmat turvasäännöt organisaation Azure AD -palvelussa.
- Käytettävän laitteen määritykset estävän Microsoft-kirjautumisen toiminnan.
Alla olevien toimenpiteiden avulla voidaan selvittää ja ratkaista ongelmat Microsoft-kirjautumisessa. Suorita toimenpiteet alla olevassa järjestyksessä.
Tarkista Microsoft Endpoint Manageriin tallennetut määritykset
Tämä koskee vain Microsoft Endpoint Manageria käyttäviä organisaatioita
Mikäli henkilön laitteeseen on organisaatiossanne tehty Nepton app -tyyppinen asennus ja henkilö käyttää muuta kuin laitteen vakioselainta kirjautuakseen Neptoniin, voivat tietyt laitteet ja käyttöjärjestelmäversiot aina ohjata kirjautumisen laitteen vakioselaimeen. Tämä saattaa aiheuttaa tilanteen, jossa henkilön tulee kirjautua palveluun kaksi kertaa. Kyseessä ei ole Nepton-palvelun ominaisuus tai puute, vaan laitteen käyttöjärjestelmän ominaisuus. Ratkaisuna on ohjeistaa henkilö käyttämään Nepton-palvelua selaimen sijaan laitteeseen asennetun pikalinkin kautta.
Tarkista Neptonin palvelukoki
Palvelulokissa esitetään epäonnistuneet kertakirjautumisyritykset. On mahdollista että epäonnistuneen kirjautumisen syy selviää palvelulokia tarkastelemalla. Epäonnistuneen kirjautumisen syy voi olla esimerkiksi että Neptonista ei löydy henkilöä sillä sähköpostiosoitteella jolla yritetään kirjautua tai useammalla henkilöllä on Neptonissa sama sähköpostiosoite. Kirjautuminen voi alkaa toimimaan korjaamalla palvelulokissa esitetty ongelma.
Palveluloki on nähtävissä palvelussa navigoimalla Työsuhde -> Hallinta -> Palveluloki ja tarkastele SSO osion palvelulokin huomioita.
Tarkista Azure AD -loki
Azure AD kerää lokia kirjautumisyritysten tuloksista. Tarkista Azure AD -loki ja mikäli siellä on esitetty virheviesti niin se voi antaa selityksen ongelmaan. Kirjautuminen voi alkaa toimimaan korjaamalla Azure AD -palvelulokissa esitetty ongelma.
Azure AD -palvelulokin viestit voidaan nähdä seuraavalla tavalla
- Kirjaudu ylläpitäjänä Azure-palveluun.
- Siirry Azure AD, Monitoring, Signs-Ins osioon.
- Lisää Status = Failure suodatin.
- Lisää Application, SSO for Nepton v2 suodatin.
- Tarkista virheviestien sisältö.
Mikäli virheviesti on tyyppiä AADSTS50011, niin lisää puuttuva "redirect URI" määritys tämän artikkelin kohdan 6 mukaisesti.
Tarkista Azure AD Conditional Access -määritykset
Azure AD:ssä on mahdollista asettaa ehdollisia pääsyoikeuksia, esimerkiksi käytettyyn päätelaitteeseen liittyen. Mikäli ongelma koskettaa vain osaa henkilöistä tai osaa henkilöiden käyttämistä päätelaitteista niin suorita seuraavat toimenpiteet. Tällä tavalla on mahdollista tarkistaa onko voimassa päätelaitekohtaisia rajoituksia.
Mikäli käytössä on Device State (beta) suosittelemme määrityksen kytkemistä pois päältä ja suojauksen toteuttamista eri tavalla. Tämä voi ratkaista kirjautumisongelman. Vastaavan suojauksen voi tyypillisesti toteuttaa yhdistelmänä Assignments, Conditions, Client Apps ja Access Controls, Grants -määrityksiä.
Azure AD Device State asetuksen voi tarkastaa seuraavalla tavalla.
- Kirjaudu ylläpitäjänä Azure palveluun
- Siirry Azure AD, Manage, Enterprise Applications, SSO for Nepton v2, Security, Conditional Access osioon
- Tarkista conditional access määritykset
- Katso Device State (beta) asetus.
Vaihda Powershellillä luotu client secret toiseen
Tämä koskee vain Powershellillä luotuja client secret arvoja
Powershellillä luotu pitkäaikainen client secret ei aina toimi oikein. Syy ongelmaan on selvityksessä. Ongelma ei koske kaikkia asiakkaita.
Voit luoda uuden lyhyempiaikaisen client secret arvon Azure Portalin kautta. Tämä onnistuu tekemällä Neptonin määritys Azure AD palvelussa vaiheet 12B - 16.
Microsoft tunnuksien pakotettu uloskirjautuminen
Mikäli henkilöllä on useampia Microsoft tunnuksia, voi laite tai selain jäädä "jumiin" vääriin tunnuksiin. Henkilö voi pakottaa itsensä ulos vääristä tunnuksista seuraavilla toimenpiteillä.
- Avaa puhelimella verkkoselain auki
- Mene osoitteeseen https://mysignins.microsoft.com
- Valitse oikean yläreunan valikosta My Account -> Sign Out
Tarkempi ongelmanselvitys
Mikäli ongelma ei ole selvinnyt yllä olevilla toimenpiteillä, tai organisaationne käytössä on InTune ottakaa yhteyttä toimittajaanne teknisen selvityksen aloittamiseksi.