Risolvere i problemi relativi agli account per gli utenti federati in Microsoft 365, Azure o Intune

  • Articolo
  • Si applica a:
    Azure Active Directory, Microsoft Intune, Azure Backup, Microsoft 365

Problema

Quando si tenta di eseguire l'autenticazione a un servizio cloud Microsoft, ad esempio Microsoft 365, Microsoft Azure o Microsoft Intune usando un account federato, l'autenticazione non riesce e si verificano uno o più dei problemi seguenti:

  • Al prompt dell'accesso, quando si tenta di aggiornare il campo Nome utente usando un nome utente federato, la barra degli indirizzi del browser contiene un URL simile all'esempio seguente, anziché una pagina Web che include un collegamento "Accedi al <nome> dell'endpoint AD FS": https://login.microsoftonline.com/login.srf?...

  • Dopo aver eseguito l'accesso usando un account federato e aver provato ad accedere a una risorsa del servizio cloud, ad esempio Microsoft 365, Outlook Web App, SharePoint Online o Skype for Business Online (in precedenza Lync Online), viene visualizzato il messaggio di errore seguente:

                  Accesso negato

Causa

Se questi problemi si verificano solo per alcuni account utente, questo indica che tali account utente sono probabilmente configurati in modo non corretto nell'ambiente Active Directory locale. In questo scenario, uno o più degli elementi seguenti potrebbero essere configurati in modo non corretto:

  • Vengono usati il nome dell'entità utente (UPN) e la password errati.

  • L'UPN non viene aggiornato per gli account utente.

    In questo caso, il suffisso UPN per ogni account federato con identità deve essere aggiornato in modo da riflettere il nome di dominio federato. Per verificare un upn dell'account utente, seguire questa procedura:

    1. Nel controller di dominio Active Directory locale fare clic sul pulsante Start, scegliere Tutti i programmi, Strumenti di amministrazione e quindi fare clic su Utenti e computer di Active Directory.
    2. Fare clic con il pulsante destro del mouse sull'account utente da modificare e quindi scegliere Proprietà.
    3. Nella scheda Account verificare che il suffisso UPN dello spazio dei nomi federato sia elencato nell'elenco nell'angolo superiore sinistro e quindi fare clic su OK.

  • L'account utente di Microsoft 365 non è concesso in licenza per la risorsa di Microsoft 365

    L'accesso alle risorse di Microsoft 365 per cui l'account utente non dispone di una licenza è limitato. Per controllare lo stato della licenza per un account utente, seguire questa procedura:

    1. Accedere al portale di Microsoft 365 (https://portal.office.com) usando un account utente amministratore di Microsoft 365. Se necessario, è possibile usare un account gestito.

    2. Selezionare Amministrazione e quindi nel riquadro di spostamento a sinistra selezionare Utenti.

    3. Nell'elenco degli utenti individuare gli account utente da testare e quindi selezionare Nome visualizzato. Verificare che ogni account utente disponga delle licenze necessarie per la risorsa Di Microsoft 365.

    4. Selezionare la casella di controllo Seleziona tutti gli elementi .

      Se un account utente da testare non è elencato, la sincronizzazione di Active Directory potrebbe sincronizzare l'account con Microsoft Entra ID.

      Nota Se l'account utente dispone di una cassetta postale locale, non viene creata una cassetta postale di Microsoft 365. Questa risorsa specifica rimane non disponibile, anche quando l'account utente è concesso in licenza per Exchange Online.

  • Il sottodominio non eredita le impostazioni di federazione del dominio padre

    Quando un sottodominio, ad esempio subdomain.contoso.com, viene aggiunto prima del dominio padre, ad esempio contoso.com, il sottodominio eredita automaticamente lo stato di federazione del dominio padre. Per determinare lo stato di ereditarietà, seguire questa procedura:

    1. Accedere a Microsoft 365 (https://portal.office.com) usando un account utente amministratore di Microsoft 365. Se necessario, è possibile usare un account gestito.
    2. Fare clic su Amministrazione e quindi nel riquadro di spostamento a sinistra fare clic su Domini.
    3. Nell'elenco dei domini individuare il nome del sottodominio federato e quindi determinare se l'impostazione Tipo di dominio è impostata su Single Sign-On.
    4. Ripetere il passaggio 1 al passaggio 3 per il dominio padre. Se l'impostazione Tipo di dominio è diversa dall'impostazione del sottodominio, il sottodominio è rimasto orfano rispetto all'impostazione padre.

  • I problemi di sincronizzazione della directory impediscono la sincronizzazione locale della configurazione dell'account utente appropriata con Microsoft Entra ID.

    L'accesso Single Sign-On (SSO) si basa sulla rappresentazione di account utente identici sia nel Active Directory locale che in Microsoft Entra ID. La sincronizzazione della directory è responsabile della creazione dello stesso account utente di Microsoft 365 per ogni account utente locale. L'accesso potrebbe non riuscire quando la sincronizzazione della directory non sincronizza le impostazioni dell'account corrette dal Active Directory locale al Microsoft Entra ID.

Soluzione

Per risolvere questo problema, usare uno o più dei metodi seguenti:

  • Assicurarsi che l'UPN e la password corretti vengano usati per l'accesso.

  • L'UPN non viene aggiornato per gli account federati.

    Per altre informazioni su come risolvere questo problema, vedere l'articolo della Microsoft Knowledge Base seguente:

    2392130 Risolvere i problemi relativi ai nomi utente che si verificano per gli utenti federati quando accedono a Microsoft 365, Azure o Intune

  • L'account utente di Microsoft 365 non ha licenza per le risorse di Microsoft 365.

    Per risolvere questo problema, usare il portale di Microsoft 365 per assegnare le licenze appropriate agli account utente che richiedono una licenza.

  • Il sottodominio di Microsoft 365 non eredita le impostazioni di federazione del dominio padre.

    Per risolvere questo problema, rimuovere il sottodominio dal portale di Microsoft 365. Per altre informazioni su come rimuovere un dominio, visitare il sito Web Microsoft seguente:

    Rimuovere un dominio

    Dopo aver rimosso il dominio, è necessario ricreare il dominio.

    Quando il dominio viene ricreato, il sottodominio eredita l'impostazione Tipo di dominio del dominio padre.

    Nota La verifica del dominio tramite record TXT DNS o record MX non è necessaria per la ricreazione del sottodominio perché il sottodominio viene riconosciuto come parte del dominio padre già verificato.

  • I problemi di sincronizzazione della directory impediscono la corretta sincronizzazione della configurazione dell'account utente locale con Windows Azure AD.

    Per determinare se si è verificata una mancata corrispondenza dell'account, seguire questa procedura:

    1. Apportare una modifica secondaria (arbitraria) all'account utente Active Directory locale.

    2. Forzare la sincronizzazione della directory. Per altre informazioni su come forzare la sincronizzazione, visitare il sito Web Microsoft seguente:

      Forzare la sincronizzazione della directory

      Per informazioni su come determinare se la sincronizzazione ha avuto esito positivo, visitare il sito Web Microsoft seguente:

      Verificare la sincronizzazione della directory

      Se le modifiche secondarie non vengono sincronizzate con l'account utente di Microsoft 365, questo problema potrebbe essere causato da un problema di sincronizzazione della directory.

      Nota La sincronizzazione della directory può essere sincronizzata correttamente senza aggiornare l'UPN dell'utente al valore appropriato se l'account utente è già concesso in licenza.

Ulteriori informazioni

Ulteriore assistenza Accedere alla community Microsoft o al sito Web dei forum di Microsoft Entra.