Resolver problemas de conta para utilizadores federados no Microsoft 365, Azure ou Intune

  • Artigo
  • Aplica-se a:
    Azure Active Directory, Microsoft Intune, Azure Backup, Microsoft 365

Problema

Quando tenta autenticar num serviço cloud da Microsoft, como o Microsoft 365, o Microsoft Azure ou Microsoft Intune através de uma conta federada, a autenticação não tem êxito e ocorre um ou mais dos seguintes problemas:

  • Na linha de comandos de início de sessão, quando tenta atualizar o Campo de Utilizador utilizando um nome de utilizador federado, a barra de endereço do browser contém um URL semelhante ao seguinte exemplo, em vez de uma página Web que inclui uma ligação "Iniciar sessão no <nome> do ponto final do AD FS": https://login.microsoftonline.com/login.srf?...

  • Depois de iniciar sessão com uma conta federada e tentar aceder a um recurso de serviço cloud, como o Microsoft 365, o Outlook Web App, o SharePoint Online ou o Skype para Empresas Online (anteriormente Lync Online), recebe a seguinte mensagem de erro:

    Acesso Negado

Causa

Se estes problemas só ocorrerem em algumas contas de utilizador, tal indica que essas contas de utilizador estão provavelmente configuradas incorretamente no ambiente Active Directory no local. Neste cenário, um ou mais dos seguintes itens podem estar configurados incorretamente:

  • O nome principal de utilizador (UPN) e a palavra-passe errados estão a ser utilizados.

  • O UPN não é atualizado para contas de utilizador.

    Neste caso, o sufixo UPN para cada conta federada de identidade tem de ser atualizado para refletir o nome de domínio federado. Para verificar um UPN de conta de utilizador, siga estes passos:

    1. No controlador de domínio do Active Directory local, clique em Iniciar, aponte para Todos os Programas, clique em Ferramentas Administrativas e, em seguida, clique em Utilizadores e Computadores do Active Directory.
    2. Clique com o botão direito do rato na conta de utilizador que pretende alterar e, em seguida, clique em Propriedades.
    3. No separador Conta, certifique-se de que o sufixo UPN do espaço de nomes federado está listado na lista no canto superior esquerdo e, em seguida, clique em OK.

  • A conta de utilizador do Microsoft 365 não está licenciada para o recurso do Microsoft 365

    O acesso aos recursos do Microsoft 365 para os quais a conta de utilizador não tem uma licença é restrito. Para verificar o estado da licença de uma conta de utilizador, siga estes passos:

    1. Inicie sessão no portal do Microsoft 365 (https://portal.office.com) com uma conta de utilizador administrador do Microsoft 365. Se for necessário, pode utilizar uma conta gerida.

    2. Selecione Administração e, em seguida, no painel de navegação esquerdo, selecione Utilizadores.

    3. Na lista de utilizadores, localize as contas de utilizador que pretende testar e, em seguida, selecione Nome a Apresentar. Verifique se cada conta de utilizador tem o licenciamento necessário para o recurso do Microsoft 365.

    4. Selecione a caixa de verificação Selecionar todos os itens .

      Se uma conta de utilizador que pretende testar não estiver listada, a sincronização do Active Directory poderá estar a sincronizar a conta para Microsoft Entra ID.

      Nota Se a conta de utilizador tiver uma caixa de correio no local, não será criada uma caixa de correio do Microsoft 365. Este recurso específico permanece indisponível, mesmo quando a conta de utilizador está licenciada para Exchange Online.

  • O subdomínio não herda as definições de federação do domínio principal

    Quando um subdomínio, como subdomain.contoso.com, é adicionado antes do domínio principal, por exemplo , contoso.com, o subdomínio herda automaticamente o estado de federação do domínio principal. Para determinar o estado da herança, siga estes passos:

    1. Inicie sessão no Microsoft 365 (https://portal.office.com) com uma conta de utilizador administrador do Microsoft 365. Se for necessário, pode utilizar uma conta gerida.
    2. Clique Administração e, em seguida, no painel de navegação esquerdo, clique em Domínios.
    3. Na lista de domínios, localize o nome do subdomínio federado e, em seguida, determine se a definição Tipo de domínio está definida como Início de Sessão Único.
    4. Repita o passo 1 para o passo 3 para o domínio principal. Se a definição Tipo de domínio for diferente da definição de subdomínio, o subdomínio foi órfão do respetivo principal.

  • Os problemas de sincronização de diretórios estão a impedir que a configuração adequada da conta de utilizador no local seja sincronizada com Microsoft Entra ID.

    O início de sessão único (SSO) baseia-se na representação de contas de utilizador idênticas no Active Directory no local e no Microsoft Entra ID. A sincronização de diretórios é responsável por garantir que é criada a mesma conta de utilizador do Microsoft 365 para cada conta de utilizador no local. O início de sessão pode falhar quando a sincronização de diretórios não sincroniza as definições de conta corretas do Active Directory no local para o Microsoft Entra ID.

Solução

Para resolver este problema, utilize um ou mais dos seguintes métodos:

  • Certifique-se de que o UPN e a palavra-passe corretos são utilizados para iniciar sessão.

  • O UPN não é atualizado para contas federadas.

    Para obter mais informações sobre como resolver este problema, consulte o seguinte artigo da Base de Dados de Conhecimento Microsoft:

    2392130 Resolver problemas de nome de utilizador que ocorrem para utilizadores federados quando iniciam sessão no Microsoft 365, no Azure ou no Intune

  • A conta de utilizador do Microsoft 365 não está licenciada para recursos do Microsoft 365.

    Para resolver este problema, utilize o portal do Microsoft 365 para atribuir as licenças adequadas às contas de utilizador que necessitam de uma licença.

  • O subdomínio do Microsoft 365 não herda as definições de federação do domínio principal.

    Para resolver este problema, remova o subdomínio do portal do Microsoft 365. Para obter mais informações sobre como remover um domínio, aceda ao seguinte site da Microsoft:

    Remover um domínio

    Depois de o domínio ser removido, terá de recriar o domínio.

    Quando o domínio é recriado, o subdomínio herda a definição Tipo de domínio do domínio principal.

    Nota A verificação de domínio através de registos TXT de DNS ou registos MX não é necessária para a recriação do subdomínio porque o subdomínio é reconhecido como parte do domínio principal já verificado.

  • Os problemas de sincronização de diretórios impedem que a configuração da conta de utilizador no local seja sincronizada corretamente com o Windows Azure AD.

    Para determinar se ocorreu um erro de correspondência de conta, siga estes passos:

    1. Efetue uma pequena alteração (arbitrária) à conta de utilizador Active Directory no local.

    2. Forçar a sincronização de diretórios. Para obter mais informações sobre como forçar a sincronização, aceda ao seguinte site da Microsoft:

      Forçar a sincronização de diretórios

      Para obter informações sobre como determinar se a sincronização foi bem-sucedida, aceda ao seguinte site da Microsoft:

      Verificar a sincronização de diretórios

      Se não forem sincronizadas pequenas alterações com a conta de utilizador do Microsoft 365, um problema de sincronização de diretórios poderá causar este problema.

      Nota A sincronização de diretórios pode ser sincronizada com êxito sem atualizar o UPN do utilizador para o valor adequado se a conta de utilizador já estiver licenciada.

Mais Informações

Ainda necessita de ajuda? Aceda ao site Microsoft Community ou Microsoft Entra Forums.