Solucionar problemas de conta para usuários federados no Microsoft 365, Azure ou Intune

Problema

Quando você tenta autenticar em um serviço de nuvem da Microsoft, como Microsoft 365, Microsoft Azure ou Microsoft Intune usando uma conta federada, a autenticação não tem êxito e ocorre um ou mais dos seguintes problemas:

  • No prompt de entrada, quando você tenta atualizar o Usernamefield usando um nome de usuário federado, a barra de endereços do navegador contém uma URL que se assemelha ao exemplo a seguir, em vez de uma página da Web que inclui um link "Entrar no <nome> do ponto de extremidade do AD FS": https://login.microsoftonline.com/login.srf?...

  • Depois de entrar usando uma conta federada e tentar acessar um recurso de serviço de nuvem, como o Microsoft 365, Outlook Web App, SharePoint Online ou Skype for Business Online (anteriormente Lync Online), você receberá a seguinte mensagem de erro:

                  Acesso negado

Motivo

Se esses problemas ocorrerem apenas para algumas contas de usuário, isso indica que essas contas de usuário provavelmente serão configuradas incorretamente no ambiente Active Directory local. Nesse cenário, um ou mais dos seguintes itens podem ser configurados incorretamente:

  • O UPN (nome de entidade de usuário) e a senha errados estão sendo usados.

  • O UPN não é atualizado para contas de usuário.

    Nesse caso, o sufixo UPN para cada conta federada por identidade deve ser atualizado para refletir o nome de domínio federado. Para verificar uma CONTA de usuário UPN, siga estas etapas:

    1. No controlador de domínio local do Active Directory, clique em Iniciar, aponte para Todos os Programas, clique em Ferramentas Administrativas e clique em Usuários e Computadores do Active Directory.
    2. Clique com o botão direito do mouse na conta de usuário que você deseja alterar e clique em Propriedades.
    3. Na guia Conta, verifique se o sufixo UPN do namespace federado está listado na lista no canto superior esquerdo e clique em OK.
  • A conta de usuário do Microsoft 365 não está licenciada para o recurso do Microsoft 365

    O acesso aos recursos do Microsoft 365 para os quais a conta de usuário não tem uma licença é restrito. Para marcar a licença status de uma conta de usuário, siga estas etapas:

    1. Entre no portal do Microsoft 365 (https://portal.office.com) usando uma conta de usuário de administrador do Microsoft 365. Você pode usar uma conta gerenciada se ela for necessária.

    2. Selecione Administração e, em seguida, no painel de navegação esquerdo, selecione Usuários.

    3. Na lista de usuários, localize as contas de usuário que você deseja testar e selecione Exibir Nome. Verifique se cada conta de usuário tem o licenciamento necessário para o recurso do Microsoft 365.

    4. Selecione a caixa Selecionar todos os itens marcar.

      Se uma conta de usuário que você deseja testar não estiver listada, a sincronização do Active Directory poderá estar sincronizando a conta com Microsoft Entra ID.

      Observação Se a conta de usuário tiver uma caixa de correio local, uma caixa de correio do Microsoft 365 não será criada. Esse recurso específico permanece indisponível, mesmo quando a conta de usuário é licenciada para Exchange Online.

  • O subdomínio não herda as configurações de federação do domínio pai

    Quando um subdomínio, como subdomain.contoso.com, é adicionado antes de seu domínio pai, por exemplo, contoso.com, o subdomínio herda automaticamente o status de federação do domínio pai. Para determinar o status de herança, siga estas etapas:

    1. Entre no Microsoft 365 (https://portal.office.com) usando uma conta de usuário de administrador do Microsoft 365. Você pode usar uma conta gerenciada se isso for necessário.
    2. Clique em Administração e, em seguida, no painel de navegação esquerdo, clique em Domínios.
    3. Na lista de domínios, localize o nome do subdomínio federado e determine se a configuração de tipo de domínio está definida como Logon Único.
    4. Repita a etapa 1 a etapa 3 para o domínio pai. Se a configuração de tipo de domínio for diferente da configuração de subdomínio, o subdomínio será órfão de seu pai.
  • Problemas de sincronização de diretório estão impedindo a sincronização local da configuração da conta de usuário adequada para Microsoft Entra ID.

    O SSO (logon único) depende de contas de usuário idênticas que estão sendo representadas no Active Directory local e no Microsoft Entra ID. A sincronização de diretório é responsável por garantir que a mesma conta de usuário do Microsoft 365 seja criada para cada conta de usuário local. A entrada pode falhar quando a sincronização do diretório não sincroniza as configurações corretas da conta do Active Directory local para Microsoft Entra ID.

Solução

Para resolve esse problema, use um ou mais dos seguintes métodos:

  • Verifique se a UPN e a senha corretas são usadas para entrar.

  • O UPN não é atualizado para contas federadas.

    Para obter mais informações sobre como resolve esse problema, confira o seguinte artigo da Base de Dados de Conhecimento da Microsoft:

    2392130 Solucionar problemas de nome de usuário que ocorrem para usuários federados ao entrar no Microsoft 365, Azure ou Intune

  • A conta de usuário do Microsoft 365 não está licenciada para recursos do Microsoft 365.

    Para resolve esse problema, use o portal do Microsoft 365 para atribuir as licenças apropriadas às contas de usuário que exigem uma licença.

  • O subdomínio do Microsoft 365 não herda as configurações de federação do domínio pai.

    Para resolve esse problema, remova o subdomínio do portal do Microsoft 365. Para obter mais informações sobre como remover um domínio, acesse o seguinte site da Microsoft:

    Excluir um domínio

    Depois que o domínio for removido, você precisará recriar o domínio.

    Quando o domínio é recriado, o subdomínio herda a configuração de tipo de domínio do domínio pai.

    Nota A verificação de domínio usando registros DNS TXT ou registros MX não é necessária para a recriação do subdomínio porque o subdomínio é reconhecido como parte do domínio pai já verificado.

  • Problemas de sincronização de diretório impedem que a configuração da conta de usuário local seja sincronizada corretamente com o Windows Azure AD.

    Para determinar se ocorreu uma incompatibilidade de conta, siga estas etapas:

    1. Faça uma alteração secundária (arbitrária) na conta de usuário Active Directory local.

    2. Forçar sincronização de diretório. Para obter mais informações sobre como forçar a sincronização, acesse o seguinte site da Microsoft:

      Sincronização de diretório de força

      Para obter informações sobre como determinar se a sincronização foi bem-sucedida, acesse o seguinte site da Microsoft:

      Verificar sincronização de diretório

      Se pequenas alterações não forem sincronizadas com a conta de usuário do Microsoft 365, um problema de sincronização de diretório poderá causar esse problema.

      Nota A sincronização de diretório pode ser sincronizada com êxito sem atualizar o UPN do usuário para o valor apropriado se a conta de usuário já estiver licenciada.

Informações adicionais

Ainda precisa de ajuda? Acesse o site da Microsoft Community ou os fóruns do Microsoft Entra.