PROBLEMA
Un nuovo utente federato non può accedere a un servizio cloud Microsoft, ad esempio Office 365, Microsoft Azure o Microsoft Intune. L'utente riscontra uno dei sintomi seguenti:
-
Dopo che l'utente ha immesso il proprio ID utente nella pagina Web login.microsoftonline.com, l'ID utente non può essere identificato come utente federato dall'individuazione dell'area di autenticazione principale e l'utente non viene reindirizzato automaticamente per accedere tramite Single Sign-On (SSO).
-
L'autenticazione a Active Directory Federation Services (AD FS) non riesce e l'utente riceve il seguente messaggio di errore di autenticazione basata su moduli:
Il nome utente o la password non è corretto
-
L'utente riceve il seguente messaggio di errore nella pagina Web login.microsoftonline.com:
Si sono verificati problemi durante la disconnessione
CAUSA
Questi sintomi possono verificarsi a causa di un ID utente abilitato per SSO non corretto. I requisiti generali per la distribuzione pilota di un ID utente abilitato per SSO sono i seguenti:
-
Il Active Directory locale account utente deve usare il nome di dominio federato come suffisso del nome dell'entità utente (UPN).
-
L'ID utente e l'indirizzo di posta elettronica principale della cassetta postale Microsoft Exchange Online associata non condividono lo stesso suffisso di dominio.
-
Lo strumento di sincronizzazione di Azure Active Directory deve sincronizzare l'account utente Active Directory locale con un ID utente basato sul cloud.
-
L'UPN dell'account utente Active Directory locale e l'ID utente basato sul cloud devono corrispondere.
Prima di supporre che la causa del problema sia un ID utente con attivazione SSO non corretto, verificare che siano vere le condizioni seguenti:
-
L'utente non sta riscontrando un problema di accesso comune. Per altre informazioni su come risolvere i problemi di accesso comuni, vedi il seguente articolo della Microsoft Knowledge Base:
2412085 Non è possibile accedere all'account aziendale, ad esempio Office 365, Azure o Intune
-
Il dominio federato è preparato correttamente per supportare SSO come indicato di seguito:
-
Il dominio federato è risolvibile pubblicamente dal DNS. Non include il dominio predefinito "onmicrosoft.com".
-
Il dominio federato è stato preparato per SSO in base ai seguenti siti Web Microsoft.
Nota La conversione della federazione di domini può richiedere del tempo per la propagazione. Attendere due ore dopo aver federato un dominio prima di presupporre che la configurazione del dominio sia difettosa.
-
SOLUZIONE
Per risolvere il problema, verificare che l'account utente sia stato identificato correttamente come ID utente abilitato per SSO. A questo scopo, usare uno o più dei metodi seguenti:
Metodo 1: vedere l'articolo della Knowledge Base 2615736 se gli utenti ricevono l'errore "Spiacenti, ma si sono verificati problemi di accesso"
Se l'utente riceve un messaggio di errore "Spiacenti, ma non riesci ad accedere", usa il seguente articolo della Microsoft Knowledge Base per risolvere il problema:
2615736 errore "Si sono verificati problemi di accesso" quando un utente tenta di accedere a Office 365, Azure o Intune
Metodo 2: Aggiornare l'UPN dell'account utente locale per usare il dominio federato come suffisso
Avviso La modifica dell'UPN di un account utente di Active Directory può avere un effetto significativo sulla funzionalità di Active Directory locale per l'utente. È consigliabile prestare attenzione e deliberare in merito alle modifiche dell'UPN.
L'effetto include potenzialmente quanto segue:
-
Accesso remoto alle risorse locali da parte di utenti mobili che accedono al sistema operativo usando credenziali memorizzate nella cache
-
Tecnologie di autenticazione per l'accesso remoto tramite certificati utente
-
Tecnologie di crittografia basate su certificati utente come Secure MIME (SMIME), tecnologie Information Rights Management (IRM) e funzionalità Encrypting File System (EFS) di NTFS
-
Funzionalità smart card
È consigliabile eseguire una distribuzione pilota di un singolo account utente per comprendere meglio come l'aggiornamento dell'UPN influisca sull'accesso degli utenti. Le informazioni sono utili per pianificare in anticipo o ridurre la manutenzione del certificato, il recupero dei dati e qualsiasi altra correzione necessaria per mantenere l'accessibilità dei dati usando queste tecnologie.
È necessario aggiornare l'UPN dell'account utente per riflettere il suffisso di dominio federato sia nell'ambiente Active Directory locale che in Azure AD. A tal fine, attenersi alla seguente procedura:
-
Assicurarsi che il dominio federato venga aggiunto come suffisso UPN:
-
Nel controller di dominio Active Directory locale fare clic sul pulsante Start, scegliere Tutti i programmi, Strumenti di amministrazione e quindi fare clic su Domini e trust di Active Directory.
-
Fare clic con il pulsante destro del mouse sul nodo radice di Domini e trust di Active Directory, selezionare Proprietà e verificare che il nome di dominio usato per SSO sia presente.
Nota Un suffisso di dominio non instradabile, ad esempio dominio.interno, o il dominio domain.microsoftonline.com non può sfruttare le funzionalità SSO o i servizi federati. Non è necessario usare un suffisso di dominio non instradabile in questo passaggio.
-
-
Aggiornare manualmente il suffisso UPN dell'account utente che causa il problema:
-
Nel controller di dominio Active Directory locale fare clic sul pulsante Start, scegliere Tutti i programmi, Strumenti di amministrazione e quindi fare clic su Utenti e computer di Active Directory.
-
Individuare l'account utente che ha riscontrato il problema, fare clic con il pulsante destro del mouse sull'account e quindi scegliere Proprietà.
-
Nella scheda Account usare l'elenco a discesa nell'angolo in alto a sinistra per sostituire il suffisso UPN con il dominio personalizzato e quindi fare clic su OK.
-
Metodo 3: Verificare che l'ID utente e l'indirizzo SMTP (Simple Mail Transfer Protocol) primario della cassetta postale Exchange Online abbiano lo stesso dominio
Usare gli strumenti di gestione di Exchange locale per impostare l'indirizzo SMTP principale dell'utente locale sullo stesso dominio dell'attributo UPN descritto nel Metodo 2. Per ulteriori informazioni, visita i seguenti siti Web Microsoft TechNet:
Modificare un criterio indirizzo
di posta elettronica Configurare le proprietà delle cassette postali di utenti e risorse Se Exchange non è installato nell'ambiente locale, è possibile gestire il valore dell'indirizzo SMTP usando Utenti e computer di Active Directory. A tal fine, attenersi alla seguente procedura:
-
In Utenti e computer di Active Directory fare clic con il pulsante destro del mouse sull'oggetto utente e quindi scegliere Proprietà.
-
Nella scheda Generale aggiornare il campo Posta elettronica e quindi fare clic su OK.
Metodo 4: Configurare la sincronizzazione di Active Directory per l'UPN dell'account utente
Per il corretto funzionamento di SSO, è necessario configurare il client di sincronizzazione di Active Directory. Per altre informazioni su come configurare la sincronizzazione di Active Directory, visita il seguente sito Web Microsoft:
Sincronizzazione di Active Directory: RoadmapPer altre info su come forzare e verificare la sincronizzazione, visita i seguenti siti Web Microsoft:
Metodo 5: Risolvere i problemi di aggiornamento dell'UPN per un account utente specifico
Se la sincronizzazione può essere verificata, ma l'UPN di un ID utente pilota non viene ancora aggiornato, il problema di sincronizzazione può verificarsi per l'utente specifico.
Per altre informazioni su come risolvere potenziali problemi relativi alla sincronizzazione di un oggetto Active Directory specifico, vedi il seguente articolo della Microsoft Knowledge Base:
2643629 Uno o più oggetti non vengono sincronizzati quando si usa lo strumento di sincronizzazione di Azure Active Directory
Serve ulteriore assistenza? Vai al sito Web Microsoft Community o ai forum di Azure Active Directory .
