Felsöka kontoproblem för federerade användare i Microsoft 365, Azure eller Intune

  • Artikel
  • Gäller för:
    Azure Active Directory, Microsoft Intune, Azure Backup, Microsoft 365

Problem

När du försöker autentisera till en Microsoft-molntjänst som Microsoft 365, Microsoft Azure eller Microsoft Intune med hjälp av ett federerat konto misslyckas autentiseringen och ett eller flera av följande problem uppstår:

  • När du försöker uppdatera fältet Användarnamn med hjälp av ett federerat användarnamn i inloggningsprompten innehåller webbläsarens adressfält en URL som liknar följande exempel, i stället för en webbsida som innehåller länken "Logga in på <AD FS-slutpunktsnamn>": https://login.microsoftonline.com/login.srf?...

  • När du har loggat in med ett federerat konto och försöker komma åt en molntjänstresurs, till exempel Microsoft 365, Outlook Web App, SharePoint Online eller Skype för företag Online (tidigare Lync Online), får du följande felmeddelande:

    Åtkomst nekad

Orsak

Om dessa problem bara uppstår för vissa användarkonton indikerar detta att dessa användarkonton sannolikt har konfigurerats felaktigt i den lokal Active Directory miljön. I det här scenariot kan ett eller flera av följande objekt konfigureras felaktigt:

  • Fel användarhuvudnamn (UPN) och lösenord används.

  • UPN uppdateras inte för användarkonton.

    I det här fallet måste UPN-suffixet för varje identitetsmatat konto uppdateras för att återspegla det federerade domännamnet. Följ dessa steg för att verifiera ett UPN för användarkontot:

    1. På den lokala Active Directory-domänkontrollanten klickar du på Start, pekar på Alla program, klickar på Administrationsverktyg och klickar sedan på Active Directory - användare och datorer.
    2. Högerklicka på det användarkonto som du vill ändra och klicka sedan på Egenskaper.
    3. På fliken Konto kontrollerar du att UPN-suffixet för det federerade namnområdet visas i listan i det övre vänstra hörnet och klickar sedan på OK.

  • Microsoft 365-användarkontot är inte licensierat för Microsoft 365-resursen

    Åtkomst till Microsoft 365-resurser som användarkontot inte har någon licens för är begränsad. Följ dessa steg om du vill kontrollera licensstatusen för ett användarkonto:

    1. Logga in på Microsoft 365-portalen (https://portal.office.com) med hjälp av ett administratörsanvändarkonto för Microsoft 365. Du kan använda ett hanterat konto om det behövs.

    2. Välj Admin och välj sedan Användare i det vänstra navigeringsfönstret.

    3. Leta upp de användarkonton som du vill testa i listan över användare och välj sedan Visningsnamn. Kontrollera att varje användarkonto har den licensiering som krävs för Microsoft 365-resursen.

    4. Markera kryssrutan Markera alla objekt .

      Om ett användarkonto som du vill testa inte visas kan Active Directory-synkronisering synkronisera kontot till Microsoft Entra ID.

      Obs! Om användarkontot har en lokal postlåda skapas inte någon Microsoft 365-postlåda. Den här specifika resursen är fortfarande inte tillgänglig, även om användarkontot är licensierat för Exchange Online.

  • Underdomänen ärver inte den överordnade domänens federationsinställningar

    När en underdomän, till exempel subdomain.contoso.com, läggs till före den överordnade domänen, till exempel contoso.com, ärver underdomänen automatiskt den överordnade domänens federationsstatus. Följ dessa steg för att fastställa arvsstatusen:

    1. Logga in på Microsoft 365 (https://portal.office.com) med hjälp av ett administratörsanvändarkonto för Microsoft 365. Du kan använda ett hanterat konto om det behövs.
    2. Klicka på Admin och klicka sedan på Domäner i det vänstra navigeringsfönstret.
    3. I listan över domäner letar du upp det federerade underdomännamnet och avgör sedan om inställningen Domäntyp är inställd på Enkel inloggning.
    4. Upprepa steg 1 till steg 3 för den överordnade domänen. Om inställningen Domäntyp skiljer sig från underdomäninställningen har underdomänen blivit överbliven från den överordnade domänen.

  • Katalogsynkroniseringsproblem förhindrar att korrekt konfiguration av användarkonton lokalt synkroniseras till Microsoft Entra ID.

    Enkel inloggning (SSO) förlitar sig på att identiska användarkonton representeras i både lokal Active Directory och i Microsoft Entra ID. Katalogsynkronisering ansvarar för att se till att samma Microsoft 365-användarkonto skapas för varje lokalt användarkonto. Inloggningen kan misslyckas när katalogsynkroniseringen inte synkroniserar korrekta kontoinställningar från lokal Active Directory till Microsoft Entra ID.

Lösning

Lös problemet genom att använda en eller flera av följande metoder:

  • Kontrollera att rätt UPN och lösenord används för inloggning.

  • UPN uppdateras inte för federerade konton.

    Mer information om hur du löser det här problemet finns i följande artikel i Microsoft Knowledge Base:

    2392130 Felsöka problem med användarnamn som uppstår för federerade användare när de loggar in på Microsoft 365, Azure eller Intune

  • Microsoft 365-användarkontot är inte licensierat för Microsoft 365-resurser.

    Lös problemet genom att använda Microsoft 365-portalen för att tilldela lämpliga licenser till de användarkonton som kräver en licens.

  • Microsoft 365-underdomänen ärver inte den överordnade domänens federationsinställningar.

    Lös problemet genom att ta bort underdomänen från Microsoft 365-portalen. Mer information om hur du tar bort en domän finns på följande Microsoft-webbplats:

    Ta bort en domän

    När domänen har tagits bort måste du återskapa domänen.

    När domänen återskapas ärver underdomänen den överordnade domänens domäntypinställning.

    Observera Domänverifiering med hjälp av DNS TXT-poster eller MX-poster krävs inte för att återskapa underdomänen eftersom underdomänen identifieras som en del av den redan verifierade överordnade domänen.

  • Problem med katalogsynkronisering förhindrar att den lokala användarkontokonfigurationen synkroniseras korrekt till Windows Azure AD.

    Följ dessa steg för att avgöra om ett kontomatchningsfel har inträffat:

    1. Gör en mindre (godtycklig) ändring av lokal Active Directory användarkonto.

    2. Framtvinga katalogsynkronisering. Mer information om hur du framtvingar synkronisering finns på följande Microsoft-webbplats:

      Framtvinga katalogsynkronisering

      Information om hur du avgör om synkroniseringen lyckades finns på följande Microsoft-webbplats:

      Verifiera katalogsynkronisering

      Om mindre ändringar inte synkroniseras med Microsoft 365-användarkontot kan ett katalogsynkroniseringsproblem orsaka det här problemet.

      Observera Katalogsynkronisering kan synkroniseras utan att uppdatera användarens UPN till lämpligt värde om användarkontot redan är licensierat.

Mer information

Behöver du fortfarande hjälp? Gå till Microsoft Community eller webbplatsen för Microsoft Entra Forum.