问题
新联合用户无法登录到 Microsoft 云服务,例如 Office 365、Microsoft Azure 或 Microsoft Intune。 用户遇到以下症状之一:
-
用户在 login.microsoftonline.com 网页上输入其用户 ID 后,主领域发现无法将用户 ID 标识为联合用户,并且用户不会自动重定向到通过单一登录 (SSO) 登录。
-
Active Directory 联合身份验证服务 (AD FS) 身份验证失败,用户会收到以下基于表单的身份验证错误消息:
用户名或密码不正确
-
用户在 login.microsoftonline.com 网页上收到以下错误消息:
很抱歉,我们无法将你注销
原因
出现这些症状的原因可能是由于启用了 SSO 的用户 ID 进行了错误的试点。 试点启用 SSO 的用户 ID 的一般要求如下:
-
本地 Active Directory用户帐户应使用联合域名作为用户主体名称 (UPN) 后缀。
-
关联的Microsoft Exchange Online邮箱的用户 ID 和主电子邮件地址不共享相同的域后缀。
-
Azure Active Directory 同步工具必须将本地 Active Directory用户帐户同步到基于云的用户 ID。
-
本地 Active Directory用户帐户的 UPN 和基于云的用户 ID 必须匹配。
在假定启用 SSO 的用户 ID 是导致此问题的原因之前,请确保满足以下条件:
-
用户未遇到常见登录问题。 有关如何排查常见登录问题的详细信息,请参阅以下 Microsoft 知识库文章:
2412085 无法登录到组织帐户,例如 Office 365、Azure 或 Intune
-
已正确准备联合域以支持 SSO,如下所示:
-
联合域可通过 DNS 公开解析。 (不包括默认的“onmicrosoft.com”域。)
-
联合域已根据以下 Microsoft 网站准备 SSO。
注意 域联合转换可能需要一段时间才能传播。 在联合域后,应等待两小时,然后假定域配置有错误。
-
解决 方案
若要解决此问题,请确保用户帐户已正确作为启用 SSO 的用户 ID 进行试点。 为此,请使用以下一个或多个方法:
方法 1:如果用户收到“抱歉,但我们登录时遇到问题”错误,请参阅知识库文章2615736
如果用户收到“抱歉,我们登录时遇到问题”错误消息,请使用以下 Microsoft 知识库文章来排查该问题:
当用户尝试登录到 Office 365、Azure 或 Intune 时,2615736“很抱歉,但登录时遇到问题”错误
方法 2:更新本地用户帐户的 UPN 以使用联合域作为其后缀
警告 更改 Active Directory 用户帐户的 UPN 可能会对用户的本地 Active Directory功能产生重大影响。 建议谨慎考虑 UPN 更改。
效果可能包括以下内容:
-
通过使用缓存的凭据漫游登录到操作系统的用户对本地资源的远程访问
-
使用用户证书的远程访问身份验证技术
-
基于用户证书的加密技术,例如安全 MIME (SMIME) 、信息权限管理 (IRM) 技术,以及 NTFS 的加密文件系统 (EFS) 功能
-
智能卡功能
强烈建议你试用单个用户帐户,以便更好地了解更新 UPN 如何影响用户访问。 此信息对于提前或减少证书重新颁发、数据恢复以及使用这些技术维护数据可访问性所需的任何其他修正非常有用。
必须更新用户帐户 UPN,以在 本地 Active Directory 环境和 Azure AD 中反映联合域后缀。 为此,请按照下列步骤操作:
-
请确保将联合域添加为 UPN 后缀:
-
在本地 Active Directory域控制器上,单击“开始”,指向“所有程序”,单击“管理工具”,然后单击“Active Directory 域和信任”。
-
右键单击 Active Directory 域和信任的根节点,选择 “属性”,并确保用于 SSO 的域名存在。
注意 不可路由的域后缀(如 domain.internal)或 domain.microsoftonline.com 域不能利用 SSO 功能或联合服务。 此步骤中不得使用不可路由的域后缀。
-
-
手动更新问题用户帐户的 UPN 后缀:
-
在本地 Active Directory域控制器上,单击“开始”,指向“所有程序”,单击“管理工具”,然后单击“Active Directory 用户和计算机”。
-
找到有问题的用户帐户,右键单击该帐户,然后单击“ 属性”。
-
在“ 帐户 ”选项卡上,使用左上角的下拉列表将 UPN 后缀更改为自定义域,然后单击“ 确定”。
-
方法 3:确保Exchange Online邮箱的用户 ID 和主简单邮件传输协议 (SMTP) 地址具有相同的域
使用本地 Exchange 管理工具将本地用户的主 SMTP 地址设置为方法 2 中所述的 UPN 属性的同一域。 有关详细信息,请转到以下 Microsoft TechNet 网站:
编辑电子邮件地址策略
配置用户和资源邮箱属性如果未在本地环境中安装 Exchange,则可以使用 Active Directory 用户和计算机管理 SMTP 地址值。 为此,请按照下列步骤操作:
-
在Active Directory 用户和计算机中,右键单击用户对象,然后单击“属性”。
-
在“ 常规 ”选项卡上,更新 “电子邮件” 字段,然后单击“ 确定”。
方法 4:为用户帐户 UPN 设置 Active Directory 同步
若要使 SSO 正常工作,必须设置 Active Directory 同步客户端。 有关如何设置 Active Directory 同步的详细信息,请转到以下 Microsoft 网站:
Active Directory 同步:路线图有关如何强制和验证同步的详细信息,请转到以下 Microsoft 网站:
方法 5:排查特定用户帐户的 UPN 更新问题
如果同步可以验证,但试点用户 ID 的 UPN 仍未更新,则特定用户可能会出现同步问题。
有关如何排查同步特定 Active Directory 对象的潜在问题的详细信息,请参阅以下 Microsoft 知识库文章:
2643629 使用 Azure Active Directory 同步工具时,一个或多个对象不会同步
仍然需要帮助? 转到 Microsoft 社区 或 Azure Active Directory 论坛 网站。