你目前正处于脱机状态,正在等待 Internet 重新连接

当他们登录到 Office 365,Azure 或 Intune 进行联合的用户的用户名称问题的疑难解答

重要说明:本文是由 Microsoft 机器翻译软件进行的翻译并可能由 Microsoft 社区通过社区翻译机构(CTF)技术进行后期编辑,或可能是由人工进行的翻译。Microsoft 同时向您提供机器翻译、人工翻译及社区后期编辑的文章,以便对我们知识库中的所有文章以多种语言提供访问。翻译的文章可能存在词汇、句法和/或语法方面的错误。Microsoft 对由于内容的误译或客户对内容的使用所导致的任何不准确、错误或损失不承担责任。

点击这里察看该文章的英文版: 2392130
问题
新联盟的用户无法登录到 Microsoft Office 365、 Microsoft Azure 和 Microsoft Intune 云服务。用户会遇到下列症状之一:
  • 用户输入他们的用户 ID 在 login.microsoftonline.com 网页上之后,无法通过主页领域发现标识作为联盟用户的用户 ID 和用户不会自动重定向通过单一登录 (SSO) 登录。
  • 活动目录的联合身份验证服务 (AD FS) 的身份验证将失败,并且用户收到以下基于窗体的身份验证错误消息:
    用户名或密码不正确
    屏幕抓图的用户名称或密码不正确
  • 用户会收到下面的错误消息 login.microsoftonline.com 网页上:
    很抱歉,但我们在遇到注销您的问题
原因
这些症状可能由下列原因严重试验已启用 SSO 的用户 id。试行启用 SSO 的用户 ID 的一般要求如下所示:
  • 内部部署 活动目录(AD) 用户帐户应使用联合的域名作为用户主要名称 (UPN) 后缀。
  • 用户 ID 和关联的 Microsoft Exchange Online 邮箱的主电子邮件地址不会共享相同的域后缀。
  • Azure 活动目录同步工具必须同步内部部署 活动目录(AD) 用户帐户对一个基于云的用户 id。
  • 内部部署 活动目录(AD) 用户帐户的 UPN 和基于云的用户 ID 必须匹配。
您假定错误试验已启用 SSO 的用户 ID 是导致此问题的原因之前,请确保满足以下条件,则:
  • 用户不会遇到一个常见的登录问题。有关如何解决常见的登录问题有关的详细信息,请参阅下面的 Microsoft 知识库文章:
    2412085 您不能登录到组织 (如 Office 365、 Azure 或 Intune 帐户
  • 联盟的域正确准备支持 SSO,如下所示:
本地
若要解决此问题,请确保用户帐户试验正确启用了 SSO 的用户 id。若要执行此操作,请使用一个或多个下列方法:

方法 1: 如果用户收到"对不起,但是我们在遇到麻烦您登录"错误,请参阅知识文库文章 2615736

如果用户收到"对不起,但是我们在遇到麻烦您登录"错误消息时,使用下面的 Microsoft 知识库文章来解决此问题:
2615736 "很抱歉,但我们无法为您登录"用户试图登录到 Office 365,Azure 或 Intune 时出现错误

方法 2: 更新的本地用户帐户的 UPN 的联盟的域用作其后缀

警告更改活动目录的用户帐户的 UPN 可以有显著影响的内部部署 活动目录(AD) 功能的用户。我们建议您使用注意事项和有关更改 UPN 的出发点。

效果可能会包含下列内容:
  • 按漫游用户使用缓存的凭据登录到操作系统的内部资源的远程访问
  • 通过使用用户证书的远程访问身份验证技术
  • 基于用户证书 (如安全 MIME (SMIME) 的加密技术,信息权限管理 (IRM) 技术,以及 NTFS 的加密文件系统 (EFS) 功能
  • 智能卡功能
我们强烈建议您试运行单用户帐户能够更好地了解如何更新 UPN 影响用户的访问权限。信息可用于提前计划或减少证书 reissuance,数据恢复,以及通过使用这些技术来维护对数据的可访问性要求的任何其他补救措施。

您必须更新以反映在内部部署 活动目录(AD) 环境和 Azure AD 中的联盟的域后缀的 UPN 的用户帐户。若要执行此操作,请按照下列步骤操作:
  1. 确保为 UPN 后缀添加的联盟的域:
    1. 在内部部署 活动目录(AD) 域控制器上,单击开始,指向所有程序,单击管理工具,然后单击活动目录(AD) 域和信任关系
    2. 右键单击活动目录(AD) 域和信任的根节点,选择属性,确保适用于 SSO 的域名称已存在。
    注意:非可路由的域后缀,例如, domain.internal或 domain.microsoftonline.com 域不能充分利用的 SSO 功能或联合服务。在此步骤中必须不使用非可路由的域后缀。
  2. 手动更新问题的用户帐户的 UPN 后缀:
    1. 在内部部署 活动目录(AD) 域控制器上,单击开始,指向所有 程序,单击管理工具,然后单击活动目录(AD) 用户和计算机
    2. 找到问题的用户帐户,请右键单击该帐户,然后单击属性
    3. 帐户选项卡上使用中窗口左上角的下拉列表以将 UPN 后缀更改为自定义的域中,然后单击确定

方法 3: 确保用户 ID 和联机 Exchange 邮箱的主简单邮件传输协议 (SMTP) 地址具有相同的域

使用内部部署 Exchange 管理工具设置为 UPN 属性方法 2 中所描述的同一个域的内部部署用户的主 SMTP 地址。有关详细信息,请转到以下 Microsoft TechNet 网站:如果 Exchange 不安装在内部部署环境中,您可以通过使用 活动目录(AD) 用户和计算机管理的 SMTP 地址值。若要执行此操作,请按照下列步骤操作:
  1. 在 活动目录(AD) 用户和计算机中,用鼠标右键单击该用户对象,然后单击属性
  2. 常规选项卡上更新 电子邮件 字段,然后单击确定

方法 4: 设置用户帐户 UPN 的 活动目录(AD) 同步

若要使 SSO 正常工作,您必须设置 活动目录(AD) 同步客户端。了解有关如何设置活动目录同步的详细信息,请转到下面的 Microsoft 网站:了解有关如何强制和验证同步的详细信息,请转到下面的 Microsoft 网站:

方法 5: 解决特定的用户帐户的 UPN 更新问题

如果可以验证同步但试验的用户 ID 的 UPN 仍未更新,同步问题可能发生的特定用户。

有关如何解决与同步特定 活动目录(AD) 对象的潜在问题的详细信息,请参阅下面的 Microsoft 知识库文章:
2643629 使用 Azure 活动目录同步工具时不同步的一个或多个对象

仍需要帮助吗?请转到 Office 365 社区 网站或 Azure 的 活动目录(AD) 论坛 网站。

警告:本文已自动翻译

属性

文章 ID:2392130 - 上次审阅时间:02/19/2015 17:14:00 - 修订版本: 49.0

Office 365 Identity Management, Microsoft Azure cloud services, Microsoft Azure Active Directory, Microsoft Office 365, Microsoft Intune, CRM Online via Office 365 E Plans, Microsoft Azure Recovery Services

  • o365 o365a o365e kbgraphxlink o365022013 o365m kbgraphic kbmt KB2392130 KbMtzh
反馈