Behandeln von Kontoproblemen für Verbundbenutzer in Microsoft 365, Azure oder Intune

  • Artikel
  • Gilt für::
    Azure Active Directory, Microsoft Intune, Azure Backup, Microsoft 365

Problem

Wenn Sie versuchen, sich bei einem Microsoft-Clouddienst wie Microsoft 365, Microsoft Azure oder Microsoft Intune mithilfe eines Verbundkontos zu authentifizieren, ist die Authentifizierung nicht erfolgreich, und eines oder mehrere der folgenden Probleme treten auf:

  • Wenn Sie an der Anmeldeaufforderung versuchen, das Feld Benutzername mithilfe eines Verbundbenutzernamens zu aktualisieren, enthält die Adressleiste des Browsers eine URL, die dem folgenden Beispiel ähnelt, anstelle einer Webseite, die den Link "Bei <AD FS-Endpunktname> anmelden" enthält: https://login.microsoftonline.com/login.srf?...

  • Nachdem Sie sich mit einem Verbundkonto angemeldet haben und versuchen, auf eine Clouddienstressource wie Microsoft 365, Outlook Web App, SharePoint Online oder Skype for Business Online (vormals Lync Online) zuzugreifen, wird die folgende Fehlermeldung angezeigt:

                  Zugriff verweigert

Ursache

Wenn diese Probleme nur bei einigen Benutzerkonten auftreten, weist dies darauf hin, dass diese Benutzerkonten wahrscheinlich nicht ordnungsgemäß in der lokales Active Directory-Umgebung eingerichtet sind. In diesem Szenario ist eines oder mehrere der folgenden Elemente möglicherweise falsch eingerichtet:

  • Der falsche Benutzerprinzipalname (UPN) und das kennwort werden verwendet.

  • Der UPN wird für Benutzerkonten nicht aktualisiert.

    In diesem Fall muss das UPN-Suffix für jedes Identitätsverbundkonto aktualisiert werden, um den Namen der Verbunddomäne widerzuspiegeln. Führen Sie die folgenden Schritte aus, um den UPN eines Benutzerkontos zu überprüfen:

    1. Klicken Sie auf dem lokalen Active Directory-Domänencontroller auf Start, zeigen Sie auf Alle Programme, klicken Sie auf Verwaltung, und klicken Sie dann auf Active Directory-Benutzer und -Computer.
    2. Klicken Sie mit der rechten Maustaste auf das Benutzerkonto, das Sie ändern möchten, und klicken Sie dann auf Eigenschaften.
    3. Stellen Sie auf der Registerkarte Konto sicher, dass das UPN-Suffix des Verbundnamespaces in der Liste in der oberen linken Ecke aufgeführt ist, und klicken Sie dann auf OK.

  • Das Microsoft 365-Benutzerkonto ist nicht für die Microsoft 365-Ressource lizenziert.

    Der Zugriff auf Microsoft 365-Ressourcen, für die das Benutzerkonto keine Lizenz besitzt, ist eingeschränkt. Führen Sie die folgenden Schritte aus, um die lizenz-status für ein Benutzerkonto zu überprüfen:

    1. Melden Sie sich beim Microsoft 365-Portal (https://portal.office.com) mit einem Microsoft 365-Administratorbenutzerkonto an. Sie können ein verwaltetes Konto verwenden, wenn dies erforderlich ist.

    2. Wählen Sie Admin und dann im linken Navigationsbereich Benutzer aus.

    3. Suchen Sie in der Liste der Benutzer nach den Benutzerkonten, die Sie testen möchten, und wählen Sie dann Anzeigename aus. Überprüfen Sie, ob jedes Benutzerkonto über die erforderliche Lizenzierung für die Microsoft 365-Ressource verfügt.

    4. Aktivieren Sie das Kontrollkästchen Alle Elemente auswählen .

      Wenn ein Benutzerkonto, das Sie testen möchten, nicht aufgeführt ist, synchronisiert die Active Directory-Synchronisierung das Konto möglicherweise mit Microsoft Entra ID.

      Hinweis Wenn das Benutzerkonto über ein lokales Postfach verfügt, wird kein Microsoft 365-Postfach erstellt. Diese spezifische Ressource ist auch dann nicht verfügbar, wenn das Benutzerkonto für Exchange Online lizenziert ist.

  • Unterdomäne erbt keine Verbundeinstellungen der übergeordneten Domäne

    Wenn eine Unterdomäne, z. B. subdomain.contoso.com, vor ihrer übergeordneten Domäne hinzugefügt wird, z. B. contoso.com, erbt die Unterdomäne automatisch den Verbund der übergeordneten Domäne status. Führen Sie die folgenden Schritte aus, um die vererbte status zu bestimmen:

    1. Melden Sie sich bei Microsoft 365 (https://portal.office.com) mit einem Microsoft 365-Administratorbenutzerkonto an. Sie können ein verwaltetes Konto verwenden, wenn dies erforderlich ist.
    2. Klicken Sie auf Admin und dann im linken Navigationsbereich auf Domänen.
    3. Suchen Sie in der Liste der Domänen den Namen der Verbundunterdomäne, und bestimmen Sie dann, ob die Einstellung Domänentyp auf Einmaliges Anmelden festgelegt ist.
    4. Wiederholen Sie Schritt 1 bis Schritt 3 für die übergeordnete Domäne. Wenn sich die Einstellung Domänentyp von der Einstellung der Unterdomäne unterscheidet, wurde die Unterdomäne vom übergeordneten Element verwaist.

  • Probleme bei der Verzeichnissynchronisierung verhindern, dass eine ordnungsgemäße lokale Benutzerkontokonfiguration mit Microsoft Entra ID synchronisiert wird.

    Einmaliges Anmelden (Single Sign-On, SSO) basiert darauf, dass identische Benutzerkonten sowohl im lokales Active Directory als auch in Microsoft Entra ID dargestellt werden. Die Verzeichnissynchronisierung ist dafür verantwortlich, sicherzustellen, dass für jedes lokale Benutzerkonto dasselbe Microsoft 365-Benutzerkonto erstellt wird. Die Anmeldung schlägt möglicherweise fehl, wenn die Verzeichnissynchronisierung die richtigen Kontoeinstellungen aus dem lokales Active Directory nicht mit Microsoft Entra ID synchronisiert.

Lösung

Verwenden Sie eine oder mehrere der folgenden Methoden, um dieses Problem zu beheben:

  • Stellen Sie sicher, dass der richtige UPN und das richtige Kennwort für die Anmeldung verwendet werden.

  • Der UPN wird für Verbundkonten nicht aktualisiert.

    Weitere Informationen zum Beheben dieses Problems finden Sie im folgenden Microsoft Knowledge Base-Artikel:

    2392130 Behandeln von Problemen mit dem Benutzernamen, die bei Verbundbenutzern auftreten, wenn sie sich bei Microsoft 365, Azure oder Intune

  • Das Microsoft 365-Benutzerkonto ist nicht für Microsoft 365-Ressourcen lizenziert.

    Um dieses Problem zu beheben, verwenden Sie das Microsoft 365-Portal, um den Benutzerkonten, die eine Lizenz erfordern, die entsprechenden Lizenzen zuzuweisen.

  • Die Microsoft 365-Unterdomäne erbt nicht die Verbundeinstellungen der übergeordneten Domäne.

    Um dieses Problem zu beheben, entfernen Sie die Unterdomäne aus dem Microsoft 365-Portal. Weitere Informationen zum Entfernen einer Domäne finden Sie auf der folgenden Microsoft-Website:

    Entfernen einer Domäne

    Nachdem die Domäne entfernt wurde, müssen Sie die Domäne neu erstellen.

    Wenn die Domäne neu erstellt wird, erbt die Unterdomäne die Einstellung Domänentyp der übergeordneten Domäne.

    Hinweis Die Domänenüberprüfung mithilfe von DNS TXT-Einträgen oder MX-Einträgen ist für die Neuerstellung der Unterdomäne nicht erforderlich, da die Unterdomäne als Teil der bereits überprüften übergeordneten Domäne erkannt wird.

  • Verzeichnissynchronisierungsprobleme verhindern, dass die konfiguration des lokalen Benutzerkontos ordnungsgemäß mit Windows Azure AD synchronisiert wird.

    Führen Sie die folgenden Schritte aus, um festzustellen, ob ein Kontokonflikt aufgetreten ist:

    1. Nehmen Sie eine geringfügige (willkürliche) Änderung am lokales Active Directory Benutzerkonto vor.

    2. Verzeichnissynchronisierung erzwingen. Weitere Informationen zum Erzwingen der Synchronisierung finden Sie auf der folgenden Microsoft-Website:

      Verzeichnissynchronisierung erzwingen

      Informationen dazu, wie Sie feststellen können, ob die Synchronisierung erfolgreich war, finden Sie auf der folgenden Microsoft-Website:

      Überprüfen der Verzeichnissynchronisierung

      Wenn kleinere Änderungen nicht mit dem Microsoft 365-Benutzerkonto synchronisiert werden, kann dieses Problem durch ein Verzeichnissynchronisierungsproblem verursacht werden.

      Hinweis Die Verzeichnissynchronisierung kann erfolgreich synchronisiert werden, ohne den UPN des Benutzers auf den entsprechenden Wert zu aktualisieren, wenn das Benutzerkonto bereits lizenziert ist.

Weitere Informationen

Benötigen Sie weitere Hilfe? Wechseln Sie zur Microsoft Community oder zur Website Microsoft Entra Foren.