PROBLEMA
Um usuário recém-federado não pode entrar em um serviço de nuvem da Microsoft, como Office 365, Microsoft Azure ou Microsoft Intune. O usuário experimenta um dos seguintes sintomas:
-
Depois que o usuário insere sua ID de usuário na página da Web login.microsoftonline.com, a ID do usuário não pode ser identificada como um usuário federado por descoberta de domínio doméstico e o usuário não é redirecionado automaticamente para entrar por meio do SSO (logon único).
-
A autenticação no AD FS (Serviços de Federação do Active Directory (AD FS)) falha e o usuário recebe a seguinte mensagem de erro de autenticação baseada em formulários:
O nome de usuário ou senha está incorreto
-
O usuário recebe a seguinte mensagem de erro na página da Web login.microsoftonline.com:
Desculpe, mas estamos com problemas para te contratar.
MOTIVO
Esses sintomas podem ocorrer devido a uma ID de usuário habilitada para SSO mal pilotada. Os requisitos gerais para pilotar uma ID de usuário habilitada para SSO são os seguintes:
-
A conta de usuário Active Directory local deve usar o nome de domínio federado como sufixo UPN (nome da entidade de usuário).
-
A ID do usuário e o endereço de email principal da caixa de correio Microsoft Exchange Online associada não compartilham o mesmo sufixo de domínio.
-
A ferramenta Sincronização do Azure Active Directory deve sincronizar a conta de usuário Active Directory local com uma ID de usuário baseada em nuvem.
-
O UPN da conta de usuário Active Directory local e a ID de usuário baseada em nuvem devem corresponder.
Antes de assumir que uma ID de usuário habilitada para SSO mal pilotada é a causa desse problema, verifique se as seguintes condições são verdadeiras:
-
O usuário não está enfrentando um problema comum de entrada. Para obter mais informações sobre como solucionar problemas comuns de entrada, confira o seguinte artigo da Base de Dados de Conhecimento da Microsoft:
2412085 Você não pode entrar em sua conta organizacional, como Office 365, Azure ou Intune
-
O domínio federado é preparado corretamente para dar suporte ao SSO da seguinte maneira:
-
O domínio federado é resolvido publicamente pelo DNS. (Isso não inclui o domínio padrão "onmicrosoft.com".)
-
O domínio federado foi preparado para o SSO de acordo com os seguintes sites da Microsoft.
Observação A conversão de federação de domínio pode levar algum tempo para se propagar. Você deve esperar duas horas depois de federar um domínio antes de assumir que a configuração de domínio está com falha.
-
SOLUÇÃO
Para resolver esse problema, verifique se a conta de usuário é pilotada corretamente como uma ID de usuário habilitada para SSO. Para fazer isso, use um ou mais dos seguintes métodos:
Método 1: Consulte o artigo base de dados de conhecimento 2615736 se os usuários estão recebendo o erro "Desculpe, mas estamos tendo problemas para entrar"
Se o usuário receber uma mensagem de erro "Desculpe, mas estamos tendo problemas para entrar", use o seguinte artigo da Base de Dados de Conhecimento da Microsoft para solucionar o problema:
2615736 erro "Desculpe, mas estamos tendo problemas para entrar" quando um usuário tenta entrar em Office 365, Azure ou Intune
Método 2: atualizar o UPN da conta de usuário local para usar o domínio federado como sufixo
Aviso Alterar o UPN de uma conta de usuário do Active Directory pode ter um efeito significativo na funcionalidade Active Directory local para o usuário. Recomendamos que você tenha cuidado e deliberação sobre as alterações UPN.
O efeito potencialmente inclui o seguinte:
-
Acesso remoto a recursos locais por usuários móveis que fazem logon no sistema operacional usando credenciais armazenadas em cache
-
Tecnologias de autenticação de acesso remoto usando certificados de usuário
-
Tecnologias de criptografia baseadas em certificados de usuário como SMIME (Secure MIME), tecnologias de IRM (gerenciamento de direitos de informação) e o recurso EFS (Encrypting File System) do NTFS
-
Funcionalidade de cartão inteligente
Recomendamos que você pilote uma única conta de usuário para ter uma melhor compreensão sobre como a atualização da UPN afeta o acesso do usuário. As informações são úteis para planejar com antecedência ou diminuir a reissuance de certificado, a recuperação de dados e qualquer outra correção necessária para manter a acessibilidade aos dados usando essas tecnologias.
Você deve atualizar a conta de usuário UPN para refletir o sufixo de domínio federado no ambiente Active Directory local e em Azure AD. Para fazer isso, siga estas etapas:
-
Verifique se o domínio federado é adicionado como um sufixo UPN:
-
No controlador de domínio Active Directory local, clique em Iniciar, aponte para Todos os Programas, clique em Ferramentas Administrativas e clique em Domínios e Trusts do Active Directory.
-
Clique com o botão direito do mouse no nó raiz de Domínios e Trusts do Active Directory, selecione Propriedades e verifique se o nome de domínio usado para SSO está presente.
Observação Um sufixo de domínio não roteável, como domain.internal ou o domínio domain.microsoftonline.com não pode aproveitar a funcionalidade do SSO ou serviços federados. Um sufixo de domínio não roteável não deve ser usado nesta etapa.
-
-
Atualize manualmente o sufixo UPN da conta de usuário problemática:
-
No controlador de domínio Active Directory local, clique em Iniciar, aponte para Todos os Programas, clique em Ferramentas Administrativas e clique em Usuários e Computadores do Active Directory.
-
Localize a conta de usuário problemática, clique com o botão direito do mouse na conta e clique em Propriedades.
-
Na guia Conta , use a lista suspensa no canto superior esquerdo para alterar o sufixo UPN para o domínio personalizado e clique em OK.
-
Método 3: verifique se a ID do usuário e o endereço SMTP (protocolo de transferência de email simples) primário da caixa de correio Exchange Online têm o mesmo domínio
Use ferramentas locais de gerenciamento do Exchange para definir o endereço SMTP principal do usuário local para o mesmo domínio do atributo UPN descrito no Método 2. Para obter mais informações, acesse os seguintes sites do Microsoft TechNet:
Editar uma política
de endereço de email Configurar propriedades da caixa de correio do usuário e do recurso Se o Exchange não estiver instalado no ambiente local, você poderá gerenciar o valor do endereço SMTP usando Usuários e Computadores do Active Directory. Para fazer isso, siga estas etapas:
-
Em Usuários e Computadores do Active Directory, clique com o botão direito do mouse no objeto do usuário e clique em Propriedades.
-
Na guia Geral , atualize o campo Email e clique em OK.
Método 4: configurar a sincronização do Active Directory para a conta de usuário UPN
Para fazer o SSO funcionar corretamente, você deve configurar o cliente de sincronização do Active Directory. Para obter mais informações sobre como configurar a sincronização do Active Directory, acesse o seguinte site da Microsoft:
Sincronização do Active Directory: RoteiroPara obter mais informações sobre como forçar e verificar a sincronização, acesse os seguintes sites da Microsoft:
Método 5: solucionar problemas de atualização UPN para uma conta de usuário específica
Se a sincronização puder ser verificada, mas a UPN de uma ID de usuário pilotada ainda não estiver atualizada, o problema de sincronização poderá ocorrer para o usuário específico.
Para obter mais informações sobre como solucionar problemas potenciais com a sincronização de um objeto específico do Active Directory, consulte o seguinte artigo da Base de Dados de Conhecimento da Microsoft:
2643629 Um ou mais objetos não são sincronizados ao usar a ferramenta Azure Active Directory Sync
Ainda precisa de ajuda? Acesse o Microsoft Community ou o site do Azure Active Directory Forums .