Устранение неполадок с учетными записями федеративных пользователей в Microsoft 365, Azure или Intune

  • Статья
  • Применяется к:
    Azure Active Directory, Microsoft Intune, Azure Backup, Microsoft 365

Проблема

При попытке пройти проверку подлинности в облачной службе Майкрософт, например Microsoft 365, Microsoft Azure или Microsoft Intune с помощью федеративной учетной записи, проверка подлинности не выполняется и возникает одна или несколько из следующих проблем:

  • В запросе на вход при попытке обновить поле имени пользователя с помощью федеративного имени пользователя адресная строка браузера содержит URL-адрес, аналогичный следующему примеру, а не веб-страницу, содержащую ссылку "Вход в <имя конечной точки> AD FS": https://login.microsoftonline.com/login.srf?...

  • После входа с помощью федеративной учетной записи и попытки доступа к ресурсу облачной службы, например Microsoft 365, Outlook Web App, SharePoint Online или Skype для бизнеса Online (ранее Lync Online), вы получите следующее сообщение об ошибке:

    Отказано в доступе

Причина

Если эти проблемы возникают только для некоторых учетных записей пользователей, это означает, что эти учетные записи пользователей, скорее всего, настроены неправильно в среде локальная служба Active Directory. В этом сценарии один или несколько из следующих элементов могут быть настроены неправильно:

  • Используется неправильное имя участника-пользователя (UPN) и пароль.

  • Имя участника-пользователя не обновляется для учетных записей пользователей.

    В этом случае необходимо обновить суффикс имени участника-пользователя для каждой федеративной учетной записи, чтобы отразить федеративное доменное имя. Чтобы проверить имя участника-пользователя для учетной записи пользователя, выполните следующие действия.

    1. На локальном контроллере домена Active Directory нажмите кнопку Пуск, наведите указатель мыши на пункт Все программы, выберите Администрирование, а затем Пользователи и компьютеры Active Directory.
    2. Щелкните правой кнопкой мыши учетную запись пользователя, которую нужно изменить, и выберите пункт Свойства.
    3. На вкладке Учетная запись убедитесь, что суффикс имени участника-пользователя федеративного пространства имен указан в списке в левом верхнем углу, а затем нажмите кнопку ОК.

  • Учетная запись пользователя Microsoft 365 не лицензирована для ресурса Microsoft 365

    Доступ к ресурсам Microsoft 365, для которых у учетной записи пользователя нет лицензии, ограничен. Чтобы проверка состояние лицензии для учетной записи пользователя, выполните следующие действия.

    1. Войдите на портал Microsoft 365 (https://portal.office.com) с помощью учетной записи администратора Microsoft 365. При необходимости можно использовать управляемую учетную запись.

    2. Выберите Администратор, а затем в области навигации слева выберите Пользователи.

    3. В списке пользователей найдите учетные записи пользователей, которые требуется протестировать, а затем выберите Отображаемое имя. Убедитесь, что у каждой учетной записи пользователя есть необходимые лицензии для ресурса Microsoft 365.

    4. Установите флажок Выбрать все элементы проверка.

      Если учетная запись пользователя, которую вы хотите протестировать, отсутствует в списке, синхронизация Active Directory может синхронизировать учетную запись с Microsoft Entra ID.

      Примечание. Если учетная запись пользователя имеет локальный почтовый ящик, почтовый ящик Microsoft 365 не создается. Этот конкретный ресурс остается недоступным, даже если учетная запись пользователя лицензирована для Exchange Online.

  • Поддомен не наследует параметры федерации родительского домена

    При добавлении поддомена, например subdomain.contoso.com, перед родительским доменом, например contoso.com, поддомен автоматически наследует состояние федерации родительского домена. Чтобы определить состояние наследования, выполните следующие действия.

    1. Войдите в Microsoft 365 (https://portal.office.com) с помощью учетной записи администратора Microsoft 365. При необходимости можно использовать управляемую учетную запись.
    2. Щелкните Администратор, а затем в области навигации слева щелкните Домены.
    3. В списке доменов найдите имя федеративного поддомена, а затем определите, задано ли для параметра Тип домена значение Единый вход.
    4. Повторите шаги 1–3 для родительского домена. Если параметр "Тип домена" отличается от параметра поддомена, поддомен был потерян из родительского параметра.

  • Проблемы с синхронизацией каталогов препятствуют синхронизации правильной конфигурации учетной записи пользователя в локальной среде с Microsoft Entra ID.

    Единый вход (SSO) зависит от идентичных учетных записей пользователей, представленных как в локальная служба Active Directory, так и в Microsoft Entra ID. Синхронизация каталогов отвечает за создание одной и той же учетной записи пользователя Microsoft 365 для каждой локальной учетной записи пользователя. Вход может завершиться ошибкой, если синхронизация каталогов не синхронизирует правильные параметры учетной записи из локальная служба Active Directory с Microsoft Entra ID.

Решение

Чтобы устранить эту проблему, используйте один или несколько из следующих методов:

  • Убедитесь, что для входа используются правильные имя участника-пользователя и пароль.

  • Имя участника-пользователя не обновляется для федеративных учетных записей.

    Дополнительные сведения об устранении этой проблемы см. в следующей статье базы знаний Майкрософт:

    2392130. Устранение проблем с именами пользователей, возникающих у федеративных пользователей при входе в Microsoft 365, Azure или Intune

  • Учетная запись пользователя Microsoft 365 не лицензируется для ресурсов Microsoft 365.

    Чтобы устранить эту проблему, на портале Microsoft 365 назначьте соответствующие лицензии учетным записям пользователей, для которых требуется лицензия.

  • Поддомен Microsoft 365 не наследует параметры федерации родительского домена.

    Чтобы устранить эту проблему, удалите поддомен на портале Microsoft 365. Дополнительные сведения об удалении домена см. на следующем веб-сайте Майкрософт:

    Удаление домена

    После удаления домена необходимо повторно создать домен.

    При повторном создании домена поддомен наследует параметр типа домена родительского домена.

    Примечание Проверка домена с помощью записей DNS TXT или записей MX не требуется для повторного создания поддомена, так как поддомен распознается как часть уже проверенного родительского домена.

  • Проблемы с синхронизацией каталогов не позволяют правильно синхронизировать конфигурацию локальной учетной записи пользователя с Windows Azure AD.

    Чтобы определить, произошло ли несоответствие учетных записей, выполните следующие действия.

    1. Внесите незначительное (произвольное) изменение в учетную запись пользователя локальная служба Active Directory.

    2. Принудительная синхронизация каталогов. Дополнительные сведения о принудительной синхронизации см. на следующем веб-сайте Майкрософт:

      Принудительная синхронизация каталогов

      Сведения о том, как определить успешность синхронизации, см. на следующем веб-сайте Майкрософт:

      Проверка синхронизации каталогов

      Если незначительные изменения не синхронизируются с учетной записью пользователя Microsoft 365, проблема с синхронизацией каталогов может вызвать эту проблему.

      Примечание Синхронизация каталогов может успешно синхронизироваться без обновления имени участника-пользователя до соответствующего значения, если учетная запись пользователя уже лицензирована.

Дополнительные сведения

Требуется дополнительная помощь? Перейдите на веб-сайт Сообщества Майкрософт или на веб-сайт форумов Microsoft Entra.