PROBLEMA
Um utilizador recém-federado não consegue iniciar sessão num serviço cloud da Microsoft, como Office 365, Microsoft Azure ou Microsoft Intune. O utilizador tem um dos seguintes sintomas:
-
Depois de o utilizador introduzir o respetivo ID de utilizador na página Web do login.microsoftonline.com, o ID de utilizador não pode ser identificado como um utilizador federado pela deteção de realm doméstico e o utilizador não é redirecionado automaticamente para iniciar sessão através do início de sessão único (SSO).
-
A autenticação no Serviços de Federação do Active Directory (AD FS) (AD FS) falha e o utilizador recebe a seguinte mensagem de erro de autenticação baseada em formulários:
O nome de utilizador ou palavra-passe está incorreto
-
O utilizador recebe a seguinte mensagem de erro na página Web login.microsoftonline.com:
Pedimos desculpa, mas estamos com dificuldades em terminar a sua sessão
CAUSA
Estes sintomas podem ocorrer devido a um ID de utilizador com SSO mal pilotado. Os requisitos gerais para a pilotagem de um ID de utilizador com SSO ativado são os seguintes:
-
A conta de utilizador Active Directory no local deve utilizar o nome de domínio federado como o sufixo do nome principal de utilizador (UPN).
-
O ID de utilizador e o endereço de e-mail principal da caixa de correio Microsoft Exchange Online associada não partilham o mesmo sufixo de domínio.
-
A ferramenta de Sincronização do Azure Active Directory tem de sincronizar a Active Directory no local conta de utilizador com um ID de utilizador baseado na cloud.
-
O UPN da conta de utilizador Active Directory no local e o ID de utilizador baseado na cloud têm de corresponder.
Antes de assumir que um ID de utilizador com SSO mal pilotado é a causa deste problema, certifique-se de que as seguintes condições são verdadeiras:
-
O utilizador não está a ter um problema comum de início de sessão. Para obter mais informações sobre como resolver problemas comuns de início de sessão, consulte o seguinte artigo da Base de Dados de Conhecimento Microsoft:
2412085 Não pode iniciar sessão na sua conta organizacional, como Office 365, Azure ou Intune
-
O domínio federado está preparado corretamente para suportar o SSO da seguinte forma:
-
O domínio federado é publicamente resolvível pelo DNS. (Isto não inclui o domínio "onmicrosoft.com" predefinido.)
-
O domínio federado foi preparado para SSO de acordo com os seguintes sites da Microsoft.
Nota A conversão de federação de domínio pode demorar algum tempo a ser propagada. Deve aguardar duas horas depois de federar um domínio antes de assumir que a configuração do domínio está com falhas.
-
SOLUÇÃO
Para resolver este problema, certifique-se de que a conta de utilizador é pilotada corretamente como um ID de utilizador com SSO ativado. Para tal, utilize um ou mais dos seguintes métodos:
Método 1: Veja o artigo da Base de Dados de Conhecimento 2615736 se os utilizadores estiverem a receber o erro "Pedimos desculpa, mas estamos a ter problemas para iniciar sessão"
Se o utilizador receber uma mensagem de erro "Pedimos desculpa, mas estamos a ter problemas para iniciar sessão", utilize o seguinte artigo da Base de Dados de Conhecimento Microsoft para resolver o problema:
2615736 erro "Pedimos desculpa, mas estamos a ter problemas ao iniciar sessão" quando um utilizador tenta iniciar sessão no Office 365, no Azure ou no Intune
Método 2: Atualizar o UPN da conta de utilizador no local para utilizar o domínio federado como sufixo
Aviso A alteração do UPN de uma conta de utilizador do Active Directory pode ter um efeito significativo na funcionalidade Active Directory no local para o utilizador. Recomendamos que tenha cuidado e deliberação sobre as alterações do UPN.
O efeito inclui potencialmente o seguinte:
-
Acesso remoto a recursos no local por utilizadores em roaming que iniciam sessão no sistema operativo com credenciais em cache
-
Tecnologias de autenticação de acesso remoto com certificados de utilizador
-
Tecnologias de encriptação baseadas em certificados de utilizador, como Secure MIME (SMIME), tecnologias de gestão de direitos de informação (IRM) e a funcionalidade Encriptar Sistema de Ficheiros (EFS) do NTFS
-
Funcionalidade de smart card
Recomendamos vivamente que pilote uma única conta de utilizador para compreender melhor como a atualização do UPN afeta o acesso dos utilizadores. As informações são úteis para planear antecipadamente ou diminuir a reedição de certificados, a recuperação de dados e qualquer outra remediação necessária para manter a acessibilidade aos dados através destas tecnologias.
Tem de atualizar o UPN da conta de utilizador para refletir o sufixo de domínio federado, tanto no ambiente de Active Directory no local como no Azure AD. Para tal, siga estes passos:
-
Certifique-se de que o domínio federado é adicionado como um sufixo UPN:
-
No controlador de domínio Active Directory no local, clique em Iniciar, aponte para Todos os Programas, clique em Ferramentas Administrativas e, em seguida, clique em Domínios e Fidedignidades do Active Directory.
-
Clique com o botão direito do rato no nó raiz de Domínios e Fidedignidades do Active Directory, selecione Propriedades e, em seguida, certifique-se de que o nome de domínio utilizado para SSO está presente.
Nota Um sufixo de domínio não encaminhável, como domain.internal ou o domínio domain.microsoftonline.com não pode tirar partido da funcionalidade de SSO ou dos serviços federados. Não é possível utilizar um sufixo de domínio não encaminhável neste passo.
-
-
Atualize manualmente o sufixo UPN da conta de utilizador problemática:
-
No controlador de domínio Active Directory no local, clique em Iniciar, aponte para Todos os Programas, clique em Ferramentas Administrativas e, em seguida, clique em Utilizadores e Computadores do Active Directory.
-
Localize a conta de utilizador do problema, clique com o botão direito do rato na conta e, em seguida, clique em Propriedades.
-
No separador Conta , utilize a lista pendente no canto superior esquerdo para alterar o sufixo UPN para o domínio personalizado e, em seguida, clique em OK.
-
Método 3: Certifique-se de que o ID de utilizador e o endereço SMTP (Simple Mail Transfer Protocol) primário da caixa de correio Exchange Online têm o mesmo domínio
Utilize ferramentas de gestão do Exchange no local para definir o endereço SMTP principal do utilizador no local para o mesmo domínio do atributo UPN descrito no Método 2. Para obter mais informações, aceda aos seguintes sites da Microsoft TechNet:
Editar uma Política de Endereço de Correio Eletrónico
Configurar Propriedades da Caixa de Correio do Utilizador e do Recurso Se o Exchange não estiver instalado no ambiente no local, pode gerir o valor de endereço SMTP com Utilizadores e Computadores do Active Directory. Para tal, siga estes passos:
-
No Utilizadores e Computadores do Active Directory, clique com o botão direito do rato no objeto de utilizador e, em seguida, clique em Propriedades.
-
No separador Geral , atualize o campo Correio Eletrónico e, em seguida, clique em OK.
Método 4: Configurar a sincronização do Active Directory para o UPN da conta de utilizador
Para que o SSO funcione corretamente, tem de configurar o cliente de sincronização do Active Directory. Para obter mais informações sobre como configurar a sincronização do Active Directory, aceda ao seguinte site da Microsoft:
Sincronização do Active Directory: Mapa de ObjetivosPara obter mais informações sobre como forçar e verificar a sincronização, aceda aos seguintes sites da Microsoft:
Método 5: Resolver problemas de atualização do UPN para uma conta de utilizador específica
Se a sincronização puder ser verificada, mas o UPN de um ID de utilizador pilotado ainda não for atualizado, o problema de sincronização pode ocorrer para o utilizador específico.
Para obter mais informações sobre como resolver potenciais problemas com a sincronização de um objeto específico do Active Directory, consulte o seguinte artigo da Base de Dados de Conhecimento Microsoft:
2643629 Um ou mais objetos não são sincronizados ao utilizar a ferramenta de Sincronização do Azure Active Directory
Ainda precisa de ajuda? Aceda à Comunidade Microsoft ou ao site fóruns do Azure Active Directory .