Solución de problemas de cuenta para usuarios federados en Microsoft 365, Azure o Intune

  • Artículo
  • Se aplica a:
    Azure Active Directory, Microsoft Intune, Azure Backup, Microsoft 365

Problema

Cuando intenta autenticarse en un servicio en la nube de Microsoft como Microsoft 365, Microsoft Azure o Microsoft Intune mediante una cuenta federada, la autenticación no se realiza correctamente y se producen uno o varios de los siguientes problemas:

  • En el símbolo del sistema de inicio de sesión, al intentar actualizar el campo Nombre de usuario mediante un nombre de usuario federado, la barra de direcciones del explorador contiene una dirección URL similar al ejemplo siguiente, en lugar de una página web que incluye un vínculo "Iniciar sesión en el <nombre> del punto de conexión de AD FS": https://login.microsoftonline.com/login.srf?...

  • Después de iniciar sesión con una cuenta federada e intentar acceder a un recurso de servicio en la nube, como Microsoft 365, Outlook Web App, SharePoint Online o Skype Empresarial Online (anteriormente Lync Online), recibirá el siguiente mensaje de error:

                  Acceso denegado

Causa

Si estos problemas solo se producen en algunas cuentas de usuario, esto indica que es probable que esas cuentas de usuario estén configuradas incorrectamente en el entorno de Active Directory local. En este escenario, uno o varios de los siguientes elementos se pueden configurar incorrectamente:

  • Se usan el nombre principal de usuario (UPN) y la contraseña incorrectos.

  • El UPN no se actualiza para las cuentas de usuario.

    En este caso, el sufijo UPN de cada cuenta federada de identidad debe actualizarse para reflejar el nombre de dominio federado. Para comprobar un UPN de cuenta de usuario, siga estos pasos:

    1. En el controlador de dominio de Active Directory local, haga clic en Inicio, seleccione Todos los programas, herramientas administrativasy, a continuación, haga clic en Usuarios y equipos de Active Directory.
    2. Haga clic con el botón derecho en la cuenta de usuario que desea cambiar y, a continuación, haga clic en Propiedades.
    3. En la pestaña Cuenta, asegúrese de que el sufijo UPN del espacio de nombres federado aparece en la lista de la esquina superior izquierda y, a continuación, haga clic en Aceptar.

  • La cuenta de usuario de Microsoft 365 no tiene licencia para el recurso de Microsoft 365

    El acceso a los recursos de Microsoft 365 para los que la cuenta de usuario no tiene una licencia está restringido. Para comprobar el estado de la licencia de una cuenta de usuario, siga estos pasos:

    1. Inicie sesión en el portal de Microsoft 365 (https://portal.office.com) mediante una cuenta de usuario administrador de Microsoft 365. Puede usar una cuenta administrada si es necesario.

    2. Seleccione Administración y, en el panel de navegación izquierdo, seleccione Usuarios.

    3. En la lista de usuarios, busque las cuentas de usuario que desea probar y, a continuación, seleccione Nombre para mostrar. Compruebe que cada cuenta de usuario tiene las licencias necesarias para el recurso de Microsoft 365.

    4. Active la casilla Seleccionar todos los elementos .

      Si no aparece una cuenta de usuario que quiera probar, es posible que la sincronización de Active Directory esté sincronizando la cuenta con Microsoft Entra ID.

      Nota Si la cuenta de usuario tiene un buzón local, no se crea un buzón de Microsoft 365. Este recurso específico sigue sin estar disponible, incluso cuando la cuenta de usuario tiene licencia para Exchange Online.

  • El subdominio no hereda la configuración de federación del dominio primario

    Cuando se agrega un subdominio, como subdomain.contoso.com, antes de su dominio primario, por ejemplo contoso.com, el subdominio hereda automáticamente el estado de federación del dominio primario. Para determinar el estado de herencia, siga estos pasos:

    1. Inicie sesión en Microsoft 365 (https://portal.office.com) con una cuenta de usuario administrador de Microsoft 365. Puede usar una cuenta administrada si es necesario.
    2. Haga clic en Administración y, a continuación, en el panel de navegación izquierdo, haga clic en Dominios.
    3. En la lista de dominios, busque el nombre del subdominio federado y, a continuación, determine si la opción Tipo de dominio está establecida en Inicio de sesión único.
    4. Repita el paso 1 al paso 3 para el dominio primario. Si el valor de Tipo de dominio difiere de la configuración del subdominio, el subdominio se ha quedado huérfano de su elemento primario.

  • Los problemas de sincronización de directorios impiden que la configuración local de la cuenta de usuario adecuada se sincronice con Microsoft Entra ID.

    El inicio de sesión único (SSO) se basa en las cuentas de usuario idénticas que se representan en el Active Directory local y en Microsoft Entra ID. La sincronización de directorios es responsable de asegurarse de que se crea la misma cuenta de usuario de Microsoft 365 para cada cuenta de usuario local. El inicio de sesión puede producir un error cuando la sincronización de directorios no sincroniza la configuración correcta de la cuenta del Active Directory local a Microsoft Entra ID.

Solución

Para resolver este problema, use uno o varios de los métodos siguientes:

  • Asegúrese de que se usan el UPN y la contraseña correctos para el inicio de sesión.

  • El UPN no se actualiza para las cuentas federadas.

    Para obtener más información sobre cómo resolver este problema, consulte el siguiente artículo de Microsoft Knowledge Base:

    2392130 Solucionar problemas de nombre de usuario que se producen para los usuarios federados al iniciar sesión en Microsoft 365, Azure o Intune

  • La cuenta de usuario de Microsoft 365 no tiene licencia para los recursos de Microsoft 365.

    Para resolver este problema, use el portal de Microsoft 365 para asignar las licencias adecuadas a las cuentas de usuario que requieren una licencia.

  • El subdominio de Microsoft 365 no hereda la configuración de federación del dominio primario.

    Para resolver este problema, quite el subdominio del portal de Microsoft 365. Para obtener más información sobre cómo quitar un dominio, vaya al siguiente sitio web de Microsoft:

    Quitar un dominio

    Después de quitar el dominio, tiene que volver a crear el dominio.

    Cuando se vuelve a crear el dominio, el subdominio hereda la configuración de Tipo de dominio del dominio primario.

    Nota La comprobación del dominio mediante registros TXT de DNS o registros MX no es necesaria para volver a crear el subdominio porque el subdominio se reconoce como parte del dominio primario ya comprobado.

  • Los problemas de sincronización de directorios impiden que la configuración de la cuenta de usuario local se sincronice correctamente con Windows Azure AD.

    Para determinar si se ha producido un error de coincidencia de cuenta, siga estos pasos:

    1. Realice un cambio menor (arbitrario) en la cuenta de usuario Active Directory local.

    2. Forzar la sincronización de directorios. Para obtener más información sobre cómo forzar la sincronización, vaya al siguiente sitio web de Microsoft:

      Forzar la sincronización de directorios

      Para obtener información sobre cómo determinar si la sincronización se realizó correctamente, vaya al siguiente sitio web de Microsoft:

      Comprobación de la sincronización de directorios

      Si los cambios menores no se sincronizan con la cuenta de usuario de Microsoft 365, un problema de sincronización de directorios puede provocar este problema.

      Nota La sincronización de directorios puede sincronizarse correctamente sin actualizar el UPN del usuario al valor adecuado si la cuenta de usuario ya tiene licencia.

Más información

¿Aún necesita ayuda? Vaya a Microsoft Community o al sitio web de los foros de Microsoft Entra.