在 Office 365、 Azure 或 Windows Intune 联盟用户的帐户问题的疑难解答

文章翻译 文章翻译
文章编号: 2530590 - 查看本文应用于的产品
展开全部 | 关闭全部

问题

当您尝试通过身份验证的 Microsoft 云服务这种 asOffice 365,Microsoft Azure 或 Windows Intune 通过联合的帐户,身份验证就会失败,并出现一个或多个下列问题:
  • 在登录提示符下,当您尝试更新 用户名 通过使用一个联合的用户名称,在浏览器地址栏中的字段包含一个类似于下面的示例中,而不是包含的网页的 URL"在登录<AD fs="" endpoint="" name="">"链接:</AD>
    https://login.microsoftonline.com/login.srf?...
  • 通过联合的帐户登录,并尝试访问云服务资源如 Office 365、 Outlook Web App、 SharePoint Online 或 Lync Online 之后, 您将收到以下错误消息:
    访问被拒绝

原因

如果某些用户帐户中只出现这些问题,这表明这些用户帐户是可能集向上错误地在内部部署 活动目录(AD) 环境中。在这种情况下,一个或多个以下各项可能设置不正确:
  • 使用错误的用户主体名称 (UPN) 和密码。
  • UPN 不更新用户帐户。

    在这种情况下,每个标识联合帐户的 UPN 后缀必须进行了更新,以反映的联盟的域的名称。要验证用户帐户的 UPN,请执行以下步骤:
    1. 在本地 活动目录(AD) 域控制器上,单击 开始指向 所有程序请单击 管理工具然后单击 活动目录(AD) 用户和计算机.
    2. 用鼠标右键单击以更改,然后单击所需的用户帐户 属性.
    3. 帐户 选项卡上,确保在左上角,列表中列出了联合命名空间的 UPN 后缀,然后单击 确定.
  • Office 365 的用户帐户不被授权 Office 365 提供资源

    对该用户帐户不具有许可证的 Office 365 提供资源的访问受到限制。要检查用户帐户的许可证状态,请执行以下步骤:
    1. 在每次登录到 Office 365 门户(网站) (https://portal.office.com) 使用的 Office 365 管理用户帐户。如果它有需要时,可以使用一个托管的帐户。
    2. 单击管理单击Office 365,然后在左侧的导航窗格中,单击用户和组.
    3. 在用户列表中,找到您想要测试用户帐户,然后选择displayName。检查每个用户帐户具有所需的授权 Office 365 提供资源。
    4. 选择选择所有项复选框。

      如果您想要测试用户帐户未列出,Active Directory 同步可能正在同步的帐户与 Windows Azure 活动目录(AD) (Windows Azure 的广告)。

      注意 如果用户帐户具有本地邮箱,并不创建一个 Office 365 的邮箱。此特定的资源保持不可用,Exchange Online 许可的用户帐户。
  • 子域也不继承父域的联盟设置

    当一个子域时,如 subdomain.contoso.com则前面添加其父域,例如contoso.com该子域都将自动继承父域的联合身份验证状态。若要确定的继承状态,请执行以下步骤:
    1. 在每次登录到 Office 365 (https://portal.office.com) 使用的 Office 365 管理用户帐户。如果需要,您可以使用托管的帐户。
    2. 单击管理然后在左侧的导航窗格中,单击.
    3. 在域列表中,找到该联盟的子域名称,,然后确定是否域类型 设置为单一登录
    4. 为父域,重复步骤 1 到步骤 3。如果 域类型 设置不同的子域设置,该子域已从其父被孤立。
  • 目录同步问题阻止同步到 Windows Azure 广告正确的用户帐户配置内部。

    单一登录 (SSO) 依赖于部署 活动目录(AD) 中和在 Windows Azure 的广告中所表示的相同的用户帐户。目录同步是负责确保将相同的 Office 365 提供用户帐户创建为每个本地用户帐户。目录同步不会同步在内部部署 活动目录(AD) 中正确的帐户设置应用于 Windows Azure 的广告中的符号可能无法运行。

本地

若要解决此问题,请使用一个或多个下列方法:
  • 请确保使用正确的 UPN 和密码登录。
  • UPN 不是联合帐户的更新.

    有关如何解决此问题的详细信息,请参阅下面的 Microsoft 知识库文章:
    2392130 解决用户名称时出现问题的联盟用户的登录到 Office 365、 Windows Azure 或 Windows Intune
  • Office 365 提供资源的情况下,Office 365 的用户帐户不是授予使用许可。

    若要解决此问题,请使用 Office 365 门户需要许可证的用户帐户指派适当的许可证。
  • Office 365 子域也不继承父域的联合身份验证设置。

    若要解决此问题,请从 Office 365 入口中删除该子域。了解有关如何删除域的详细信息,请访问以下 Microsoft 网站:
    删除域
    在删除域后,您必须重新创建域。了解详细信息,请访问以下 Microsoft 网站:
    将您的域添加到 Office 365
    重新创建域时,该子域将继承父域的 域类型 设置。

    注意 使用 MX 记录或 DNS TXT 记录的域验证并不为子域重新创建必需的因为该子域被识别为已验证父域的一部分。
  • 目录同步问题防止本地用户帐户配置正确同步到 Windows Azure 的广告。

    要确定是否出现帐户不匹配,请执行以下步骤:
    1. 更改次要 (任意) 内部活动目录的用户帐户。
    2. 强制目录同步。了解有关如何强制进行同步的详细信息,请访问以下 Microsoft 网站:
      强制目录同步
      有关如何确定同步是否成功的信息,请访问以下 Microsoft 网站:
      验证目录同步
      如果次要更改都不会同步到 Office 365 的用户帐户,则目录同步问题可能导致此问题。

    注意
    目录同步可能不更新用户的 UPN 为适当的值,如果用户帐户已授予使用许可的情况下成功同步。

    有关如何在这种情况下更新 UPN 的详细信息,请参阅下面的 Microsoft 知识库文章:
    2523192在 Office 365、 Azure 或 Windows Intune 用户名不匹配的本地 UPN 或替代登录 ID

详细信息

仍需要帮助吗?请转到 Office 365 社区网站或Azure 的 活动目录(AD) 论坛 网站.

属性

文章编号: 2530590 - 最后修改: 2014年7月13日 - 修订: 24.0
这篇文章中的信息适用于:
  • Microsoft Azure
  • Microsoft Azure Active Directory
  • Microsoft Office 365
  • Windows Intune
  • CRM Online via Office 365 E Plans
  • Microsoft Azure Recovery Services
  • Office 365 Identity Management
关键字:?
o365 o365a o365e o365022013 o365m kbmt KB2530590 KbMtzh
机器翻译
重要说明:本文是由 Microsoft 机器翻译软件进行的翻译并可能由 Microsoft 社区通过社区翻译机构(CTF)技术进行后期编辑,或可能是由人工进行的翻译。Microsoft 同时向您提供机器翻译、人工翻译及社区后期编辑的文章,以便对我们知识库中的所有文章以多种语言提供访问。翻译的文章可能存在词汇、句法和/或语法方面的错误。Microsoft 对由于内容的误译或客户对内容的使用所导致的任何不准确、错误或损失不承担责任。
点击这里察看该文章的英文版: 2530590
Microsoft和/或其各供应商对于为任何目的而在本服务器上发布的文件及有关图形所含信息的适用性,不作任何声明。 所有该等文件及有关图形均"依样"提供,而不带任何性质的保证。Microsoft和/或其各供应商特此声明,对所有与该等信息有关的保证和条件不负任何责任,该等保证和条件包括关于适销性、符合特定用途、所有权和非侵权的所有默示保证和条件。在任何情况下,在由于使用或运行本服务器上的信息所引起的或与该等使用或运行有关的诉讼中,Microsoft和/或其各供应商就因丧失使用、数据或利润所导致的任何特别的、间接的、衍生性的损害或任何因使用而丧失所导致的之损害、数据或利润不负任何责任。

提供反馈

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com