排查 Microsoft 365、Azure 或 Intune 中联合用户的帐户问题
问题
尝试使用联合帐户向 Microsoft 365、Microsoft Azure 或 Microsoft Intune 等云服务进行身份验证时,身份验证失败,并出现以下一个或多个问题:
在登录提示下,尝试使用联合用户名更新 Username 字段时,浏览器地址栏包含类似于以下示例的 URL,而不是包含“登录 <AD FS 终结点名称>”链接的网页: https://login.microsoftonline.com/login.srf?..。
使用联合帐户登录并尝试访问云服务资源(例如 Microsoft 365、Outlook Web App、SharePoint Online 或 Skype for Business Online (以前为 Lync Online) )后,会收到以下错误消息:
访问被拒绝
原因
如果这些问题只发生在某些用户帐户上,则表示这些用户帐户在本地 Active Directory环境中设置不正确。 在这种情况下,以下一个或多个项设置可能不正确:
使用了错误的用户主体名称 (UPN) 和密码。
不会为用户帐户更新 UPN。
在这种情况下,必须更新每个标识联合帐户的 UPN 后缀以反映联合域名。 若要验证用户帐户 UPN,请执行以下步骤:
- 在本地 Active Directory 域控制器上,单击“开始”,指向“所有程序”,单击“管理工具”,然后单击“Active Directory 用户和计算机”。
- 右键单击要更改的用户帐户,然后单击“属性”。
- 在“帐户”选项卡上,确保联合命名空间的 UPN 后缀在左上角的列表中列出,然后单击“确定”。
Microsoft 365 用户帐户未获得 Microsoft 365 资源的许可
对用户帐户没有许可证的 Microsoft 365 资源的访问受到限制。 若要检查用户帐户的许可证状态,请执行以下步骤:
使用 Microsoft 365 管理员用户帐户 (https://portal.office.com) 登录到 Microsoft 365 门户。 如果需要,可以使用托管帐户。
选择“管理员”,然后在左侧导航窗格中选择“用户”。
在用户列表中,找到要测试的用户帐户,然后选择“ 显示名称”。 检查每个用户帐户是否具有 Microsoft 365 资源所需的许可。
选中“选择检查的所有项”框。
如果未列出要测试的用户帐户,Active Directory 同步可能会将帐户同步到Microsoft Entra ID。
注意 如果用户帐户具有本地邮箱,则不会创建 Microsoft 365 邮箱。 即使用户帐户已获得Exchange Online许可,此特定资源仍然不可用。
子域不继承父域的联合设置
当子域(如 subdomain.contoso.com)在其父域(例如 contoso.com)之前添加时,子域会自动继承父域的联合状态。 若要确定继承状态,请执行以下步骤:
- 使用 Microsoft 365 管理员用户帐户登录到 Microsoft 365 (https://portal.office.com) 。 如果需要,可以使用托管帐户。
- 单击“管理员”,然后在左侧导航窗格中单击“域”。
- 在域列表中,找到联合子域名称,然后确定是否将 “域类型 ”设置设置为“ 单一登录”。
- 对父域重复步骤 1 到步骤 3。 如果“域类型”设置与子域设置不同,则子域已从其父域孤立。
目录同步问题阻止本地适当的用户帐户配置同步到Microsoft Entra ID。
单一登录 (SSO) 依赖于在 本地 Active Directory 和 Microsoft Entra ID 中表示的相同用户帐户。 目录同步负责确保为每个本地用户帐户创建相同的 Microsoft 365 用户帐户。 如果目录同步未将正确的帐户设置从本地 Active Directory同步到Microsoft Entra ID,则登录可能会失败。
解决方案
若要解决此问题,请使用以下一个或多个方法:
请确保使用正确的 UPN 和密码进行登录。
不会为联合帐户更新 UPN。
有关如何解决此问题的详细信息,请参阅以下 Microsoft 知识库文章:
2392130排查联合用户登录 Microsoft 365、Azure 或 Intune 时出现的用户名问题
Microsoft 365 用户帐户未获得 Microsoft 365 资源的许可。
若要解决此问题,请使用 Microsoft 365 门户将适当的许可证分配给需要许可证的用户帐户。
Microsoft 365 子域不继承父域的联合设置。
若要解决此问题,请从 Microsoft 365 门户删除子域。 有关如何删除域的详细信息,请转到以下 Microsoft 网站:
删除域后,必须重新创建域。
重新创建域时,子域继承父域的“域类型”设置。
注意 重新创建子域不需要使用 DNS TXT 记录或 MX 记录进行域验证,因为子域被识别为已验证父域的一部分。
目录同步问题阻止本地用户帐户配置正确同步到 Windows Azure AD。
若要确定是否发生了帐户不匹配,请执行以下步骤:
更多信息
仍然需要帮助? 转到 Microsoft 社区或Microsoft Entra论坛网站。
反馈
https://aka.ms/ContentUserFeedback。
即将发布:在整个 2024 年,我们将逐步淘汰作为内容反馈机制的“GitHub 问题”,并将其取代为新的反馈系统。 有关详细信息,请参阅:提交和查看相关反馈