English (GB)
Palvelun tila: -
  1. Nepton
  2. Tuki
  3. Kirjautuminen
  4. Kertakirjautuminen (SSO)
  5. Microsoft-kirjautuminen

Microsoft-kirjautumisen ongelmanratkaisu

  • Päivitetty

Microsoft Azure Active Directory on nyt Microsoft Entra ID

Tietyissä tilanteissa Microsoft-kirjautuminen ei toimi odotetusti. Ongelmatilanteita voi syntyä esimerkiksi seuraavissa tilanteissa:

  • Henkilön laitteeseen Microsoft Endpoint Managerin kautta jaetut apps asennukset aiheuttavat sekannuksen mikäli henkilö käyttää jotain muuta kuin laitteen vakioselainta.
  • Määritysvirhe henkilön tai organisaation  Neptoniin tallennetuissa tiedoissa.
  • Määritysvirhe tai normaalia tiukemmat turvasäännöt organisaation Entra ID -palvelussa.
  • Käytettävän laitteen määritykset estävän Microsoft-kirjautumisen toiminnan.

Alla olevien toimenpiteiden avulla voidaan selvittää ja ratkaista ongelmat Microsoft-kirjautumisessa. Suorita toimenpiteet alla olevassa järjestyksessä.

 

Tarkista Microsoft Endpoint Manageriin tallennetut määritykset

Tämä koskee vain Microsoft Endpoint Manageria käyttäviä organisaatioita

Mikäli henkilön laitteeseen on organisaatiossanne tehty Nepton app -tyyppinen asennus ja henkilö käyttää muuta kuin laitteen vakioselainta kirjautuakseen Neptoniin, voivat tietyt laitteet ja käyttöjärjestelmäversiot aina ohjata kirjautumisen laitteen vakioselaimeen. Tämä saattaa aiheuttaa tilanteen, jossa henkilön tulee kirjautua palveluun kaksi kertaa. Kyseessä ei ole Nepton-palvelun ominaisuus tai puute, vaan laitteen käyttöjärjestelmän ominaisuus. Ratkaisuna on ohjeistaa henkilö käyttämään Nepton-palvelua selaimen sijaan laitteeseen asennetun pikalinkin kautta.

Tarkista Neptonin palvelukoki

Palvelulokissa esitetään epäonnistuneet kertakirjautumisyritykset. On mahdollista että epäonnistuneen kirjautumisen syy selviää palvelulokia tarkastelemalla. Epäonnistuneen kirjautumisen syy voi olla esimerkiksi että Neptonista ei löydy henkilöä sillä sähköpostiosoitteella jolla yritetään kirjautua tai useammalla henkilöllä on Neptonissa sama sähköpostiosoite. Kirjautuminen voi alkaa toimimaan korjaamalla palvelulokissa esitetty ongelma.

Palveluloki on nähtävissä palvelussa navigoimalla Työsuhde -> Hallinta -> Palveluloki ja tarkastele SSO osion palvelulokin huomioita.

Tarkista Entra ID -loki

Entra ID kerää lokia kirjautumisyritysten tuloksista. Tarkista Entra ID -loki ja mikäli siellä on esitetty virheviesti niin se voi antaa selityksen ongelmaan. Kirjautuminen voi alkaa toimimaan korjaamalla Entra ID -palvelulokissa esitetty ongelma.

Entra ID -palvelulokin viestit voidaan nähdä seuraavalla tavalla

  • Kirjaudu ylläpitäjänä Azure-palveluun.
  • Siirry Microsoft Entra ID, Monitoring, Signs-Ins osioon.
  • Lisää Status = Failure suodatin.
  • Lisää Application, SSO for Nepton v2 suodatin.
  • Tarkista virheviestien sisältö.

Mikäli virheviesti on tyyppiä AADSTS50011, niin lisää puuttuva "redirect URI" määritys tämän artikkelin kohdan 6 mukaisesti.

Tarkista Entra ID Conditional Access -määritykset

Entra ID:ssä on mahdollista asettaa ehdollisia pääsyoikeuksia. Näitä voidaan asettaa esimerkiksi käytettyyn päätelaitteeseen liittyen. Mikäli ongelma koskettaa vain osaa henkilöistä tai osaa henkilöiden käyttämistä päätelaitteista niin suorita seuraavat toimenpiteet. Tällä tavalla on mahdollista tarkistaa onko voimassa päätelaitekohtaisia rajoituksia.

Mikäli käytössä on Device State (beta) suosittelemme määrityksen kytkemistä pois päältä ja suojauksen toteuttamista eri tavalla. Tämä voi ratkaista kirjautumisongelman. Vastaavan suojauksen voi tyypillisesti toteuttaa yhdistelmänä Assignments, Conditions, Client Apps ja Access Controls, Grants -määrityksiä.

Device State asetuksen voi tarkastaa seuraavalla tavalla.

  • Kirjaudu ylläpitäjänä Azure palveluun
  • Siirry Microsoft Entra ID, Manage, Enterprise Applications, SSO for Nepton v2, Security, Conditional Access osioon
  • Tarkista conditional access määritykset
  • Katso Device State (beta) asetus.

AADSTS7000215: Invalid client secret provided

Tämä koskee tyypillisesti vain Powershellillä luotuja client secret arvoja

Powershellillä luotu pidempiaikainen client secret ei aina toimi oikein. Ongelma ei koske kaikkia asiakkaita.

Tarvittaessa voit hylätä Powershellin kautta luodun client secret arvon ja luoda uuden lyhyempiaikaisen client secret arvon käsin Azure Portalin kautta. Tämä onnistuu tekemällä Neptonin määritys Entra ID palvelussa vaiheet 12B - 16. Muista päivittää uusi client secret arvo myös Neptoniin.

Microsoft tunnuksien pakotettu uloskirjautuminen

Mikäli henkilöllä on useampia Microsoft tunnuksia, voi laite tai selain jäädä "jumiin" vääriin tunnuksiin. Henkilö voi pakottaa itsensä ulos vääristä tunnuksista seuraavilla toimenpiteillä.

  1. Avaa puhelimella verkkoselain auki
  2. Mene osoitteeseen https://mysignins.microsoft.com
  3. Valitse oikean yläreunan valikosta My Account -> Sign Out

My_SignIns.PNG

Tarkempi ongelmanselvitys

Mikäli ongelma ei ole selvinnyt yllä olevilla toimenpiteillä, tai organisaationne käytössä on InTune ottakaa yhteyttä toimittajaanne teknisen selvityksen aloittamiseksi.