Accountproblemen oplossen voor federatieve gebruikers in Microsoft 365, Azure of Intune

  • Artikel
  • Van toepassing op:
    Azure Active Directory, Microsoft Intune, Azure Backup, Microsoft 365

Probleem

Wanneer u een cloudservice zoals Microsoft 365, Microsoft Azure of Microsoft Intune probeert te verifiëren bij een Microsoft-cloudservice met behulp van een federatief account, is de verificatie mislukt en treden een of meer van de volgende problemen op:

  • Wanneer u bij de aanmeldingsprompt probeert het veld Gebruikersnaam bij te werken met behulp van een federatieve gebruikersnaam, bevat de adresbalk van de browser een URL die lijkt op het volgende voorbeeld, in plaats van een webpagina met de koppeling 'Aanmelden bij <AD FS-eindpuntnaam>': https://login.microsoftonline.com/login.srf?...

  • Nadat u zich hebt aangemeld met een federatief account en u toegang probeert te krijgen tot een cloudserviceresource, zoals Microsoft 365, Outlook Web App, SharePoint Online of Skype voor Bedrijven Online (voorheen Lync Online), krijgt u het volgende foutbericht:

    Toegang geweigerd

Oorzaak

Als deze problemen zich alleen voordoen voor sommige gebruikersaccounts, geeft dit aan dat deze gebruikersaccounts waarschijnlijk onjuist zijn ingesteld in de on-premises Active Directory-omgeving. In dit scenario zijn een of meer van de volgende items mogelijk onjuist ingesteld:

  • De verkeerde UPN (User Principal Name) en het verkeerde wachtwoord worden gebruikt.

  • De UPN wordt niet bijgewerkt voor gebruikersaccounts.

    In dit geval moet het UPN-achtervoegsel voor elk identiteitsfedereerd account worden bijgewerkt om de federatieve domeinnaam weer te geven. Voer de volgende stappen uit om de UPN van een gebruikersaccount te verifiëren:

    1. Klik op de lokale Active Directory-domeincontroller op Start, wijs Alle programma's aan, klik op Systeembeheer en klik vervolgens op Active Directory: gebruikers en computers.
    2. Klik met de rechtermuisknop op het gebruikersaccount dat u wilt wijzigen en klik vervolgens op Eigenschappen.
    3. Controleer op het tabblad Account of het UPN-achtervoegsel van de federatieve naamruimte wordt vermeld in de lijst in de linkerbovenhoek en klik vervolgens op OK.

  • Microsoft 365-gebruikersaccount is niet gelicentieerd voor de Microsoft 365-resource

    Toegang tot Microsoft 365-resources waarvoor het gebruikersaccount geen licentie heeft, is beperkt. Volg deze stappen om de licentiestatus voor een gebruikersaccount te controleren:

    1. Meld u aan bij de Microsoft 365-portal (https://portal.office.com) met een Microsoft 365-beheerdersaccount. U kunt een beheerd account gebruiken als dit vereist is.

    2. Selecteer Beheeren selecteer vervolgens gebruikers in het linkernavigatiedeelvenster.

    3. Zoek in de lijst met gebruikers de gebruikersaccounts die u wilt testen en selecteer vervolgens Weergavenaam. Controleer of elk gebruikersaccount de vereiste licenties heeft voor de Microsoft 365-resource.

    4. Schakel het selectievakje Alle items selecteren in.

      Als een gebruikersaccount dat u wilt testen niet wordt weergegeven, synchroniseert Active Directory-synchronisatie het account mogelijk met Microsoft Entra ID.

      Opmerking Als het gebruikersaccount een on-premises postvak heeft, wordt er geen Microsoft 365-postvak gemaakt. Deze specifieke resource blijft niet beschikbaar, zelfs wanneer het gebruikersaccount een licentie heeft voor Exchange Online.

  • Subdomein neemt de federatie-instellingen van het bovenliggende domein niet over

    Wanneer een subdomein, zoals subdomain.contoso.com, wordt toegevoegd vóór het bovenliggende domein, bijvoorbeeld contoso.com, neemt het subdomein automatisch de federatiestatus van het bovenliggende domein over. Voer de volgende stappen uit om de overnamestatus te bepalen:

    1. Meld u aan bij Microsoft 365 (https://portal.office.com) met een Microsoft 365-beheerdersaccount. U kunt een beheerd account gebruiken als dit nodig is.
    2. Klik op Beheer en klik vervolgens in het linkernavigatiedeelvenster op Domeinen.
    3. Zoek in de lijst met domeinen de naam van het federatieve subdomein en bepaal of de instelling Domeintype is ingesteld op Eenmalige aanmelding.
    4. Herhaal stap 1 tot en met stap 3 voor het bovenliggende domein. Als de instelling Domeintype verschilt van de subdomeininstelling, is het subdomein zwevend van het bovenliggende subdomein.

  • Problemen met adreslijstsynchronisatie verhinderen dat de juiste configuratie van het gebruikersaccount on-premises wordt gesynchroniseerd met Microsoft Entra ID.

    Eenmalige aanmelding (SSO) is afhankelijk van identieke gebruikersaccounts die worden weergegeven in zowel de on-premises Active Directory als in Microsoft Entra ID. Adreslijstsynchronisatie is ervoor verantwoordelijk dat hetzelfde Microsoft 365-gebruikersaccount wordt gemaakt voor elk on-premises gebruikersaccount. Aanmelden kan mislukken wanneer adreslijstsynchronisatie de juiste accountinstellingen van de on-premises Active Directory naar Microsoft Entra ID niet synchroniseert.

Oplossing

Gebruik een of meer van de volgende methoden om dit probleem op te lossen:

  • Zorg ervoor dat de juiste UPN en het juiste wachtwoord worden gebruikt voor het aanmelden.

  • De UPN wordt niet bijgewerkt voor federatieve accounts.

    Zie het volgende Microsoft Knowledge Base-artikel voor meer informatie over het oplossen van dit probleem:

    2392130 Problemen met gebruikersnamen oplossen die optreden bij federatieve gebruikers wanneer ze zich aanmelden bij Microsoft 365, Azure of Intune

  • Het Microsoft 365-gebruikersaccount heeft geen licentie voor Microsoft 365-resources.

    U kunt dit probleem oplossen door de Microsoft 365-portal te gebruiken om de juiste licenties toe te wijzen aan de gebruikersaccounts waarvoor een licentie is vereist.

  • Microsoft 365-subdomein neemt de federatie-instellingen van het bovenliggende domein niet over.

    U kunt dit probleem oplossen door het subdomein te verwijderen uit de Microsoft 365-portal. Ga naar de volgende Microsoft-website voor meer informatie over het verwijderen van een domein:

    Een domein verwijderen

    Nadat het domein is verwijderd, moet u het domein opnieuw maken.

    Wanneer het domein opnieuw wordt gemaakt, neemt het subdomein de instelling domeintype van het bovenliggende domein over.

    Opmerking Domeinverificatie met behulp van DNS TXT-records of MX-records is niet vereist voor het opnieuw maken van het subdomein, omdat het subdomein wordt herkend als onderdeel van het al geverifieerde bovenliggende domein.

  • Problemen met adreslijstsynchronisatie verhinderen dat de configuratie van het on-premises gebruikersaccount correct wordt gesynchroniseerd met Windows Azure AD.

    Voer de volgende stappen uit om te bepalen of er een niet-overeenkomend account is opgetreden:

    1. Breng een kleine (willekeurige) wijziging aan in het on-premises Active Directory gebruikersaccount.

    2. Adreslijstsynchronisatie afdwingen. Ga naar de volgende Microsoft-website voor meer informatie over het forceren van synchronisatie:

      Adreslijstsynchronisatie afdwingen

      Ga naar de volgende Microsoft-website voor informatie over het bepalen of synchronisatie is geslaagd:

      Adreslijstsynchronisatie controleren

      Als kleine wijzigingen niet worden gesynchroniseerd met het Microsoft 365-gebruikersaccount, kan dit probleem worden veroorzaakt door een probleem met adreslijstsynchronisatie.

      Opmerking Adreslijstsynchronisatie kan worden gesynchroniseerd zonder de UPN van de gebruiker bij te werken naar de juiste waarde als het gebruikersaccount al een licentie heeft.

Meer informatie

Meer hulp nodig? Ga naar de Microsoft-community of de website Microsoft Entra Forums.