Rozwiązywanie problemów z kontem dla użytkowników federacyjnych na platformie Microsoft 365, platformie Azure lub Intune

  • Artykuł
  • Dotyczy:
    Azure Active Directory, Microsoft Intune, Azure Backup, Microsoft 365

Problem

Podczas próby uwierzytelnienia w usłudze w chmurze firmy Microsoft, takiej jak Microsoft 365, Microsoft Azure lub Microsoft Intune przy użyciu konta federacyjnego, uwierzytelnianie kończy się niepowodzeniem i występuje co najmniej jeden z następujących problemów:

  • W wierszu polecenia logowania podczas próby zaktualizowania pola nazwy użytkownika przy użyciu federacyjnej nazwy użytkownika pasek adresu przeglądarki zawiera adres URL podobny do poniższego przykładu, a nie stronę internetową zawierającą link "Zaloguj się w <nazwie punktu końcowego> usług AD FS": https://login.microsoftonline.com/login.srf?...

  • Po zalogowaniu się przy użyciu konta federacyjnego i próbie uzyskania dostępu do zasobu usługi w chmurze, takiego jak Microsoft 365, Outlook Web App, SharePoint Online lub Skype dla firm Online (dawniej Lync Online), zostanie wyświetlony następujący komunikat o błędzie:

    Odmowa dostępu

Przyczyna

Jeśli te problemy występują tylko w przypadku niektórych kont użytkowników, oznacza to, że te konta użytkowników są prawdopodobnie niepoprawnie skonfigurowane w środowisku lokalna usługa Active Directory. W tym scenariuszu można niepoprawnie skonfigurować co najmniej jeden z następujących elementów:

  • Używana jest nieprawidłowa główna nazwa użytkownika (UPN) i hasło.

  • Nazwa UPN nie jest aktualizowana dla kont użytkowników.

    W takim przypadku sufiks nazwy UPN dla każdego konta federacyjnego tożsamości musi zostać zaktualizowany w celu odzwierciedlenia nazwy domeny federacyjnej. Aby zweryfikować nazwę UPN konta użytkownika, wykonaj następujące kroki:

    1. Na lokalnym kontrolerze domeny usługi Active Directory kliknij przycisk Start, wskaż pozycję Wszystkie programy, kliknij pozycję Narzędzia administracyjne, a następnie kliknij pozycję Użytkownicy i komputery usługi Active Directory.
    2. Kliknij prawym przyciskiem myszy konto użytkownika, które chcesz zmienić, a następnie kliknij pozycję Właściwości.
    3. Na karcie Konto upewnij się, że sufiks nazwy UPN federacyjnej przestrzeni nazw znajduje się na liście w lewym górnym rogu, a następnie kliknij przycisk OK.

  • Konto użytkownika platformy Microsoft 365 nie jest licencjonowane dla zasobu platformy Microsoft 365

    Dostęp do zasobów platformy Microsoft 365, dla których konto użytkownika nie ma licencji, jest ograniczony. Aby sprawdzić stan licencji dla konta użytkownika, wykonaj następujące kroki:

    1. Zaloguj się do portalu platformy Microsoft 365 (https://portal.office.com) przy użyciu konta administratora platformy Microsoft 365. Jeśli jest to wymagane, możesz użyć konta zarządzanego.

    2. Wybierz pozycję Administracja, a następnie w okienku nawigacji po lewej stronie wybierz pozycję Użytkownicy.

    3. Na liście użytkowników znajdź konta użytkowników, które chcesz przetestować, a następnie wybierz pozycję Nazwa wyświetlana. Sprawdź, czy każde konto użytkownika ma wymagane licencje dla zasobu platformy Microsoft 365.

    4. Zaznacz pole wyboru Zaznacz wszystkie elementy .

      Jeśli konta użytkownika, które chcesz przetestować, nie ma na liście, synchronizacja usługi Active Directory może synchronizować konto z Tożsamość Microsoft Entra.

      Uwaga Jeśli konto użytkownika ma lokalną skrzynkę pocztową, skrzynka pocztowa platformy Microsoft 365 nie jest tworzona. Ten konkretny zasób pozostaje niedostępny, nawet jeśli konto użytkownika ma licencję na Exchange Online.

  • Poddomena nie dziedziczy ustawień federacji domeny nadrzędnej

    Gdy domena podrzędna, taka jak subdomain.contoso.com, jest dodawana przed domeną nadrzędną, na przykład contoso.com, domena podrzędna automatycznie dziedziczy stan federacji domeny nadrzędnej. Aby określić stan dziedziczenia, wykonaj następujące kroki:

    1. Zaloguj się na platformie Microsoft 365 (https://portal.office.com) przy użyciu konta użytkownika administratora platformy Microsoft 365. Jeśli jest to wymagane, możesz użyć konta zarządzanego.
    2. Kliknij pozycję Administracja, a następnie w okienku nawigacji po lewej stronie kliknij pozycję Domeny.
    3. Na liście domen znajdź federacyjną nazwę poddomeny, a następnie określ, czy ustawienie Typ domeny jest ustawione na logowanie jednokrotne.
    4. Powtórz krok 1 do kroku 3 dla domeny nadrzędnej. Jeśli ustawienie Typ domeny różni się od ustawienia poddomeny, poddomena została oddzielona od nadrzędnej.

  • Problemy z synchronizacją katalogów uniemożliwiają synchronizację z Tożsamość Microsoft Entra odpowiedniej konfiguracji konta użytkownika lokalnie.

    Logowanie jednokrotne opiera się na identycznych kontach użytkowników reprezentowanych zarówno w lokalna usługa Active Directory, jak i w Tożsamość Microsoft Entra. Synchronizacja katalogów jest odpowiedzialna za upewnienie się, że dla każdego konta użytkownika lokalnego jest tworzone to samo konto użytkownika platformy Microsoft 365. Logowanie może zakończyć się niepowodzeniem, gdy synchronizacja katalogów nie zsynchronizuje prawidłowych ustawień konta z lokalna usługa Active Directory z Tożsamość Microsoft Entra.

Rozwiązanie

Aby rozwiązać ten problem, użyj co najmniej jednej z następujących metod:

  • Upewnij się, że prawidłowa nazwa UPN i hasło są używane do logowania.

  • Nazwa UPN nie jest aktualizowana dla kont federacyjnych.

    Aby uzyskać więcej informacji na temat sposobu rozwiązania tego problemu, zobacz następujący artykuł z bazy wiedzy Microsoft Knowledge Base:

    2392130 Rozwiązywanie problemów z nazwami użytkowników występujących w przypadku użytkowników federacyjnych podczas logowania się do platformy Microsoft 365, platformy Azure lub Intune

  • Konto użytkownika platformy Microsoft 365 nie ma licencji na zasoby platformy Microsoft 365.

    Aby rozwiązać ten problem, użyj portalu platformy Microsoft 365, aby przypisać odpowiednie licencje do kont użytkowników, które wymagają licencji.

  • Poddomena platformy Microsoft 365 nie dziedziczy ustawień federacyjnych domeny nadrzędnej.

    Aby rozwiązać ten problem, usuń poddomenę z portalu platformy Microsoft 365. Aby uzyskać więcej informacji na temat usuwania domeny, przejdź do następującej witryny internetowej firmy Microsoft:

    Usuwanie domeny

    Po usunięciu domeny należy ponownie utworzyć domenę.

    Po ponownym utworzeniu domeny domena podrzędna dziedziczy ustawienie Typu domeny nadrzędnej.

    Uwaga Weryfikacja domeny przy użyciu rekordów TXT DNS lub rekordów MX nie jest wymagana do ponownego tworzenia poddomeny, ponieważ poddomena jest rozpoznawana jako część już zweryfikowanej domeny nadrzędnej.

  • Problemy z synchronizacją katalogów uniemożliwiają prawidłową synchronizację konfiguracji konta użytkownika lokalnego z systemem Windows Azure AD.

    Aby ustalić, czy wystąpiła niezgodność konta, wykonaj następujące kroki:

    1. Wprowadź niewielką (dowolną) zmianę konta użytkownika lokalna usługa Active Directory.

    2. Wymuś synchronizację katalogów. Aby uzyskać więcej informacji na temat wymuszania synchronizacji, przejdź do następującej witryny internetowej firmy Microsoft:

      Wymuszanie synchronizacji katalogów

      Aby uzyskać informacje o tym, jak ustalić, czy synchronizacja zakończyła się pomyślnie, przejdź do następującej witryny internetowej firmy Microsoft:

      Weryfikowanie synchronizacji katalogów

      Jeśli drobne zmiany nie zostaną zsynchronizowane z kontem użytkownika platformy Microsoft 365, problem z synchronizacją katalogów może spowodować ten problem.

      Uwaga Synchronizacja katalogów może zostać pomyślnie zsynchronizowana bez aktualizowania nazwy UPN użytkownika do odpowiedniej wartości, jeśli konto użytkownika jest już licencjonowane.

Więcej informacji

Nadal potrzebujesz pomocy? Przejdź do witryny microsoft community lub witryny internetowej forów Microsoft Entra.