排查 Microsoft 365、Azure 或 Intune 中联合用户的帐户问题

  • 项目
  • 适用于:
    Azure Active Directory, Microsoft Intune, Azure Backup, Microsoft 365

问题

尝试使用联合帐户向 Microsoft 365、Microsoft Azure 或 Microsoft Intune 等云服务进行身份验证时,身份验证失败,并出现以下一个或多个问题:

  • 在登录提示下,尝试使用联合用户名更新 Username 字段时,浏览器地址栏包含类似于以下示例的 URL,而不是包含“登录 <AD FS 终结点名称>”链接的网页: https://login.microsoftonline.com/login.srf?..

  • 使用联合帐户登录并尝试访问云服务资源(例如 Microsoft 365、Outlook Web App、SharePoint Online 或 Skype for Business Online (以前为 Lync Online) )后,会收到以下错误消息:

    访问被拒绝

原因

如果这些问题只发生在某些用户帐户上,则表示这些用户帐户在本地 Active Directory环境中设置不正确。 在这种情况下,以下一个或多个项设置可能不正确:

  • 使用了错误的用户主体名称 (UPN) 和密码。

  • 不会为用户帐户更新 UPN。

    在这种情况下,必须更新每个标识联合帐户的 UPN 后缀以反映联合域名。 若要验证用户帐户 UPN,请执行以下步骤:

    1. 在本地 Active Directory 域控制器上,单击“开始”,指向“所有程序”,单击“管理工具”,然后单击“Active Directory 用户和计算机”。
    2. 右键单击要更改的用户帐户,然后单击“属性”。
    3. 在“帐户”选项卡上,确保联合命名空间的 UPN 后缀在左上角的列表中列出,然后单击“确定”。

  • Microsoft 365 用户帐户未获得 Microsoft 365 资源的许可

    对用户帐户没有许可证的 Microsoft 365 资源的访问受到限制。 若要检查用户帐户的许可证状态,请执行以下步骤:

    1. 使用 Microsoft 365 管理员用户帐户 (https://portal.office.com) 登录到 Microsoft 365 门户。 如果需要,可以使用托管帐户。

    2. 选择“管理员”,然后在左侧导航窗格中选择“用户”。

    3. 在用户列表中,找到要测试的用户帐户,然后选择“ 显示名称”。 检查每个用户帐户是否具有 Microsoft 365 资源所需的许可。

    4. 选中“选择检查的所有项”框。

      如果未列出要测试的用户帐户,Active Directory 同步可能会将帐户同步到Microsoft Entra ID。

      注意 如果用户帐户具有本地邮箱,则不会创建 Microsoft 365 邮箱。 即使用户帐户已获得Exchange Online许可,此特定资源仍然不可用。

  • 子域不继承父域的联合设置

    当子域(如 subdomain.contoso.com)在其父域(例如 contoso.com)之前添加时,子域会自动继承父域的联合状态。 若要确定继承状态,请执行以下步骤:

    1. 使用 Microsoft 365 管理员用户帐户登录到 Microsoft 365 (https://portal.office.com) 。 如果需要,可以使用托管帐户。
    2. 单击“管理员”,然后在左侧导航窗格中单击“”。
    3. 在域列表中,找到联合子域名称,然后确定是否将 “域类型 ”设置设置为“ 单一登录”。
    4. 对父域重复步骤 1 到步骤 3。 如果“域类型”设置与子域设置不同,则子域已从其父域孤立。

  • 目录同步问题阻止本地适当的用户帐户配置同步到Microsoft Entra ID。

    单一登录 (SSO) 依赖于在 本地 Active Directory 和 Microsoft Entra ID 中表示的相同用户帐户。 目录同步负责确保为每个本地用户帐户创建相同的 Microsoft 365 用户帐户。 如果目录同步未将正确的帐户设置从本地 Active Directory同步到Microsoft Entra ID,则登录可能会失败。

解决方案

若要解决此问题,请使用以下一个或多个方法:

  • 请确保使用正确的 UPN 和密码进行登录。

  • 不会为联合帐户更新 UPN。

    有关如何解决此问题的详细信息,请参阅以下 Microsoft 知识库文章:

    2392130排查联合用户登录 Microsoft 365、Azure 或 Intune 时出现的用户名问题

  • Microsoft 365 用户帐户未获得 Microsoft 365 资源的许可。

    若要解决此问题,请使用 Microsoft 365 门户将适当的许可证分配给需要许可证的用户帐户。

  • Microsoft 365 子域不继承父域的联合设置。

    若要解决此问题,请从 Microsoft 365 门户删除子域。 有关如何删除域的详细信息,请转到以下 Microsoft 网站:

    删除域

    删除域后,必须重新创建域。

    重新创建域时,子域继承父域的“域类型”设置。

    注意 重新创建子域不需要使用 DNS TXT 记录或 MX 记录进行域验证,因为子域被识别为已验证父域的一部分。

  • 目录同步问题阻止本地用户帐户配置正确同步到 Windows Azure AD。

    若要确定是否发生了帐户不匹配,请执行以下步骤:

    1. 对本地 Active Directory用户帐户进行 (任意) 更改。

    2. 强制目录同步。 有关如何强制同步的详细信息,请转到以下 Microsoft 网站:

      强制目录同步

      有关如何确定同步是否成功的信息,请转到以下 Microsoft 网站:

      验证目录同步

      如果次要更改未同步到 Microsoft 365 用户帐户,目录同步问题可能会导致此问题。

      注意 如果用户帐户已获得许可,则目录同步可能会成功同步,而无需将用户的 UPN 更新为适当的值。

更多信息

仍然需要帮助? 转到 Microsoft 社区Microsoft Entra论坛网站。