Résoudre les problèmes de compte pour les utilisateurs fédérés dans Microsoft 365, Azure ou Intune

  • Article
  • S’applique à:
    Azure Active Directory, Microsoft Intune, Azure Backup, Microsoft 365

Problème

Lorsque vous essayez de vous authentifier auprès d’un service cloud microsoft tel que Microsoft 365, Microsoft Azure ou Microsoft Intune à l’aide d’un compte fédéré, l’authentification échoue et un ou plusieurs des problèmes suivants se produisent :

  • À l’invite de connexion, lorsque vous essayez de mettre à jour le champ Nom d’utilisateur à l’aide d’un nom d’utilisateur fédéré, la barre d’adresse du navigateur contient une URL qui ressemble à l’exemple suivant, au lieu d’une page web qui inclut un lien « Se connecter au <nom> du point de terminaison AD FS » : https://login.microsoftonline.com/login.srf?...

  • Après vous être connecté à l’aide d’un compte fédéré et avoir essayé d’accéder à une ressource de service cloud, telle que Microsoft 365, Outlook Web App, SharePoint Online ou Skype Entreprise Online (anciennement Lync Online), vous obtenez le message d’erreur suivant :

                  Accès refusé

Cause

Si ces problèmes se produisent uniquement pour certains comptes d’utilisateur, cela indique que ces comptes d’utilisateur sont probablement configurés de manière incorrecte dans l’environnement Active Directory local. Dans ce scénario, un ou plusieurs des éléments suivants peuvent être configurés de manière incorrecte :

  • Le nom d’utilisateur principal (UPN) et le mot de passe incorrects sont utilisés.

  • L’UPN n’est pas mis à jour pour les comptes d’utilisateur.

    Dans ce cas, le suffixe UPN de chaque compte fédéré d’identité doit être mis à jour pour refléter le nom de domaine fédéré. Pour vérifier un UPN de compte d’utilisateur, procédez comme suit :

    1. Sur le contrôleur de domaine Active Directory local, cliquez sur Démarrer, pointez sur Tous les programmes, cliquez sur Outils d’administration, puis sur Utilisateurs et ordinateurs Active Directory.
    2. Cliquez avec le bouton droit sur le compte d’utilisateur que vous souhaitez modifier, puis cliquez sur Propriétés.
    3. Sous l’onglet Compte, vérifiez que le suffixe UPN de l’espace de noms fédéré est répertorié dans la liste dans le coin supérieur gauche, puis cliquez sur OK.

  • Le compte d’utilisateur Microsoft 365 n’est pas concédé sous licence pour la ressource Microsoft 365

    L’accès aux ressources Microsoft 365 pour lesquelles le compte d’utilisateur n’a pas de licence est limité. Pour case activée le status de licence pour un compte d’utilisateur, procédez comme suit :

    1. Connectez-vous au portail Microsoft 365 (https://portal.office.com) à l’aide d’un compte d’utilisateur administrateur Microsoft 365. Vous pouvez utiliser un compte managé si nécessaire.

    2. Sélectionnez Administration, puis dans le volet de navigation gauche, sélectionnez Utilisateurs.

    3. Dans la liste des utilisateurs, recherchez les comptes d’utilisateur que vous souhaitez tester, puis sélectionnez Nom d’affichage. Vérifiez que chaque compte d’utilisateur dispose de la licence requise pour la ressource Microsoft 365.

    4. Sélectionnez la zone Sélectionner tous les éléments case activée.

      Si un compte d’utilisateur que vous souhaitez tester n’est pas répertorié, la synchronisation Active Directory peut synchroniser le compte avec Microsoft Entra ID.

      Remarque Si le compte d’utilisateur dispose d’une boîte aux lettres locale, aucune boîte aux lettres Microsoft 365 n’est créée. Cette ressource spécifique reste indisponible, même lorsque le compte d’utilisateur dispose d’une licence pour Exchange Online.

  • Le sous-domaine n’hérite pas des paramètres de fédération du domaine parent

    Lorsqu’un sous-domaine, tel que subdomain.contoso.com, est ajouté avant son domaine parent, par exemple contoso.com, le sous-domaine hérite automatiquement de la fédération du domaine parent status. Pour déterminer le status d’héritage, procédez comme suit :

    1. Connectez-vous à Microsoft 365 (https://portal.office.com) à l’aide d’un compte d’utilisateur administrateur Microsoft 365. Vous pouvez utiliser un compte managé si nécessaire.
    2. Cliquez sur Administration, puis dans le volet de navigation gauche, cliquez sur Domaines.
    3. Dans la liste des domaines, recherchez le nom du sous-domaine fédéré, puis déterminez si le paramètre Type de domaine est défini sur Authentification unique.
    4. Répétez l’étape 1 à l’étape 3 pour le domaine parent. Si le paramètre Type de domaine diffère du paramètre de sous-domaine, le sous-domaine a été orphelin de son parent.

  • Les problèmes de synchronisation d’annuaires empêchent une configuration de compte d’utilisateur locale appropriée de se synchroniser avec Microsoft Entra ID.

    L’authentification unique (SSO) s’appuie sur des comptes d’utilisateur identiques représentés à la fois dans le Active Directory local et dans Microsoft Entra ID. La synchronisation d’annuaires est chargée de s’assurer que le même compte d’utilisateur Microsoft 365 est créé pour chaque compte d’utilisateur local. La connexion peut échouer lorsque la synchronisation d’annuaires ne synchronise pas les paramètres de compte corrects du Active Directory local vers Microsoft Entra ID.

Solution

Pour résoudre ce problème, utilisez une ou plusieurs des méthodes suivantes :

  • Assurez-vous que l’UPN et le mot de passe appropriés sont utilisés pour la connexion.

  • L’UPN n’est pas mis à jour pour les comptes fédérés.

    Pour plus d’informations sur la résolution de ce problème, consultez l’article suivant de la Base de connaissances Microsoft :

    2392130 Résoudre les problèmes de nom d’utilisateur qui se produisent pour les utilisateurs fédérés lorsqu’ils se connectent à Microsoft 365, Azure ou Intune

  • Le compte d’utilisateur Microsoft 365 n’est pas concédé sous licence pour les ressources Microsoft 365.

    Pour résoudre ce problème, utilisez le portail Microsoft 365 pour attribuer les licences appropriées aux comptes d’utilisateur qui nécessitent une licence.

  • Le sous-domaine Microsoft 365 n’hérite pas des paramètres de fédération du domaine parent.

    Pour résoudre ce problème, supprimez le sous-domaine du portail Microsoft 365. Pour plus d’informations sur la suppression d’un domaine, accédez au site web Microsoft suivant :

    Supprimer un domaine

    Une fois le domaine supprimé, vous devez le recréer.

    Lorsque le domaine est recréé, le sous-domaine hérite du paramètre Type de domaine du domaine parent.

    Note La vérification du domaine à l’aide d’enregistrements TXT DNS ou d’enregistrements MX n’est pas requise pour la recréation du sous-domaine, car le sous-domaine est reconnu comme faisant partie du domaine parent déjà vérifié.

  • Les problèmes de synchronisation d’annuaires empêchent la configuration du compte d’utilisateur local de se synchroniser correctement avec Windows Azure AD.

    Pour déterminer si une incompatibilité de compte s’est produite, procédez comme suit :

    1. Apportez une modification mineure (arbitraire) au compte d’utilisateur Active Directory local.

    2. Forcez la synchronisation dʼannuaires. Pour plus d’informations sur la façon de forcer la synchronisation, accédez au site web Microsoft suivant :

      Forcer la synchronisation d’annuaires

      Pour plus d’informations sur la façon de déterminer si la synchronisation a réussi, accédez au site web Microsoft suivant :

      Vérifier la synchronisation d’annuaires

      Si des modifications mineures ne sont pas synchronisées avec le compte d’utilisateur Microsoft 365, un problème de synchronisation d’annuaires peut provoquer ce problème.

      Note La synchronisation d’annuaires peut se synchroniser correctement sans mettre à jour l’UPN de l’utilisateur avec la valeur appropriée si le compte d’utilisateur dispose déjà d’une licence.

Informations supplémentaires

Encore besoin d’aide ? Rejoignez la Communauté Microsoft ou accédez au site web Forums Microsoft Entra.