針對 Microsoft 365、Azure 或 Intune 中同盟用戶的帳戶問題進行疑難解答
問題
當您嘗試使用同盟帳戶向 Microsoft 驗證 Microsoft 365、Microsoft Azure 或 Microsoft Intune 等雲端服務時,驗證會失敗,而且會發生下列一或多個問題:
在登入提示中,當您嘗試使用同盟用戶名稱來更新Usernamefield時,瀏覽器網址列會包含類似下列範例的URL,而不是包含「在AD FS端點名稱>登<入」連結的網頁:https://login.microsoftonline.com/login.srf?..。
使用同盟帳戶登入,並嘗試存取雲端服務資源之後,例如 Microsoft 365、Outlook Web App、SharePoint Online 或 商務用 Skype Online (先前的 Lync Online) ,您會收到下列錯誤訊息:
拒絕存取
原因
如果這些問題只發生在某些用戶帳戶,這表示這些用戶帳戶可能在 內部部署的 Active Directory 環境中設定不正確。 在此案例中,下列一或多個專案可能設定不正確:
使用UPN) 和密碼 (錯誤的用戶主體名稱。
用戶帳戶的 UPN 不會更新。
在此情況下,必須更新每個身分識別同盟帳戶的 UPN 後綴,以反映同盟功能變數名稱。 若要確認使用者帳戶 UPN,請遵循下列步驟:
- 在本機 Active Directory 域控制器上,按兩下 [開始],指向 [所有程式],按兩下 [系統管理工具],然後按兩下 [Active Directory 使用者和電腦]。
- 以滑鼠右鍵按下您要變更的用戶帳戶,然後按兩下 [屬性]。
- 在 [帳戶] 索引標籤上,確定同盟命名空間的 UPN 後綴列在左上角的清單中,然後按兩下 [確定]。
Microsoft 365 用戶帳戶未獲得 Microsoft 365 資源的授權
限制存取用戶帳戶沒有授權的 Microsoft 365 資源。 若要檢查使用者帳戶的授權狀態,請遵循下列步驟:
使用 Microsoft 365 系統管理員用戶帳戶登入 Microsoft 365 入口網站 (https://portal.office.com) 。 如有需要,您可以使用受控帳戶。
選取 [管理員],然後在左側瀏覽窗格中選取 [使用者]。
在使用者清單中,找出您要測試的用戶帳戶,然後選取 [ 顯示名稱]。 檢查每個用戶帳戶是否有 Microsoft 365 資源的必要授權。
選取 [ 選取所有專案] 複選框。
如果未列出您想要測試的用戶帳戶,Active Directory 同步處理可能會同步處理帳戶以 Microsoft Entra ID。
注意:如果用戶帳戶具有內部部署信箱,則不會建立 Microsoft 365 信箱。 此特定資源仍然無法使用,即使用戶帳戶已獲得 Exchange Online 的授權也一樣。
子域不會繼承父域的同盟設定
在父域之前新增子域,例如 subdomain.contoso.com 時,例如 contoso.com,子域會自動繼承父域的同盟狀態。 若要判斷繼承狀態,請遵循下列步驟:
- 使用 Microsoft 365 系統管理員用戶帳戶登 https://portal.office.com 入 Microsoft 365 () 。 如有需要,您可以使用受控帳戶。
- 按兩下 [管理員],然後在左側瀏覽窗格中按兩下 [網域]。
- 在網域清單中,找出同盟子域名稱,然後判斷 [網域類型 ] 設定是否設定為 [單一登錄]。
- 針對父域重複步驟 1 至步驟 3。 如果 [網域類型] 設定與子域設定不同,則子域已從其父系孤立。
目錄同步處理問題導致內部部署環境的用戶帳戶設定無法同步至 Microsoft Entra ID。
單一登錄 (SSO) 依賴在 內部部署的 Active Directory 和 Microsoft Entra ID 中表示的相同用戶帳戶。 目錄同步處理負責確保為每個內部部署用戶帳戶建立相同的 Microsoft 365 用戶帳戶。 當目錄同步處理未將正確的帳戶設定從 內部部署的 Active Directory 同步至 Microsoft Entra ID 時,登入可能會失敗。
解決方案
若要解決此問題,請使用下列一或多個方法:
請確定已使用正確的 UPN 和密碼進行登入。
同盟帳戶不會更新UPN。
如需如何解決此問題的詳細資訊,請參閱下列 Microsoft 知識庫文章:
2392130針對同盟使用者登入 Microsoft 365、Azure 或 Intune 時發生的使用者名稱問題進行疑難解答
Microsoft 365 用戶帳戶未獲得 Microsoft 365 資源的授權。
若要解決此問題,請使用 Microsoft 365 入口網站,將適當的授權指派給需要授權的用戶帳戶。
Microsoft 365 子域不會繼承父域的同盟設定。
若要解決此問題,請從 Microsoft 365 入口網站移除子域。 如需如何移除網域的詳細資訊,請移至下列 Microsoft 網站:
拿掉網域之後,您必須重新建立網域。
重新建立網域時,子域會繼承父域的網域類型設定。
注意 子域重新建立不需要使用 DNS TXT 記錄或 MX 記錄進行網域驗證,因為子域會辨識為已驗證父域的一部分。
目錄同步處理問題會防止內部部署用戶帳戶設定正確同步至 Windows Azure AD。
若要判斷帳戶是否發生不相符,請遵循下列步驟:
其他相關資訊
是否仍需要協助? 移至 Microsoft 社群或 Microsoft Entra 論壇網站。
意見反應
https://aka.ms/ContentUserFeedback。
即將登場:在 2024 年,我們將逐步淘汰 GitHub 問題作為內容的意見反應機制,並將它取代為新的意見反應系統。 如需詳細資訊,請參閱:提交並檢視相關的意見反應