針對 Microsoft 365、Azure 或 Intune 中同盟用戶的帳戶問題進行疑難解答

  • 發行項
  • 適用於:
    Azure Active Directory, Microsoft Intune, Azure Backup, Microsoft 365

問題

當您嘗試使用同盟帳戶向 Microsoft 驗證 Microsoft 365、Microsoft Azure 或 Microsoft Intune 等雲端服務時,驗證會失敗,而且會發生下列一或多個問題:

  • 在登入提示中,當您嘗試使用同盟用戶名稱來更新Usernamefield時,瀏覽器網址列會包含類似下列範例的URL,而不是包含「在AD FS端點名稱>登<入」連結的網頁:https://login.microsoftonline.com/login.srf?..

  • 使用同盟帳戶登入,並嘗試存取雲端服務資源之後,例如 Microsoft 365、Outlook Web App、SharePoint Online 或 商務用 Skype Online (先前的 Lync Online) ,您會收到下列錯誤訊息:

    拒絕存取

原因

如果這些問題只發生在某些用戶帳戶,這表示這些用戶帳戶可能在 內部部署的 Active Directory 環境中設定不正確。 在此案例中,下列一或多個專案可能設定不正確:

  • 使用UPN) 和密碼 (錯誤的用戶主體名稱。

  • 用戶帳戶的 UPN 不會更新。

    在此情況下,必須更新每個身分識別同盟帳戶的 UPN 後綴,以反映同盟功能變數名稱。 若要確認使用者帳戶 UPN,請遵循下列步驟:

    1. 在本機 Active Directory 域控制器上,按兩下 [開始],指向 [所有程式],按兩下 [系統管理工具],然後按兩下 [Active Directory 使用者和電腦]。
    2. 以滑鼠右鍵按下您要變更的用戶帳戶,然後按兩下 [屬性]。
    3. 在 [帳戶] 索引標籤上,確定同盟命名空間的 UPN 後綴列在左上角的清單中,然後按兩下 [確定]。

  • Microsoft 365 用戶帳戶未獲得 Microsoft 365 資源的授權

    限制存取用戶帳戶沒有授權的 Microsoft 365 資源。 若要檢查使用者帳戶的授權狀態,請遵循下列步驟:

    1. 使用 Microsoft 365 系統管理員用戶帳戶登入 Microsoft 365 入口網站 (https://portal.office.com) 。 如有需要,您可以使用受控帳戶。

    2. 取 [管理員],然後在左側瀏覽窗格中選取 [使用者]

    3. 在使用者清單中,找出您要測試的用戶帳戶,然後選取 [ 顯示名稱]。 檢查每個用戶帳戶是否有 Microsoft 365 資源的必要授權。

    4. 選取 [ 選取所有專案] 複選框。

      如果未列出您想要測試的用戶帳戶,Active Directory 同步處理可能會同步處理帳戶以 Microsoft Entra ID。

      注意:如果用戶帳戶具有內部部署信箱,則不會建立 Microsoft 365 信箱。 此特定資源仍然無法使用,即使用戶帳戶已獲得 Exchange Online 的授權也一樣。

  • 子域不會繼承父域的同盟設定

    在父域之前新增子域,例如 subdomain.contoso.com 時,例如 contoso.com,子域會自動繼承父域的同盟狀態。 若要判斷繼承狀態,請遵循下列步驟:

    1. 使用 Microsoft 365 系統管理員用戶帳戶登 https://portal.office.com 入 Microsoft 365 () 。 如有需要,您可以使用受控帳戶。
    2. 按兩下 [管理員],然後在左側瀏覽窗格中按兩下 [網域]
    3. 在網域清單中,找出同盟子域名稱,然後判斷 [網域類型 ] 設定是否設定為 [單一登錄]
    4. 針對父域重複步驟 1 至步驟 3。 如果 [網域類型] 設定與子域設定不同,則子域已從其父系孤立。

  • 目錄同步處理問題導致內部部署環境的用戶帳戶設定無法同步至 Microsoft Entra ID。

    單一登錄 (SSO) 依賴在 內部部署的 Active Directory 和 Microsoft Entra ID 中表示的相同用戶帳戶。 目錄同步處理負責確保為每個內部部署用戶帳戶建立相同的 Microsoft 365 用戶帳戶。 當目錄同步處理未將正確的帳戶設定從 內部部署的 Active Directory 同步至 Microsoft Entra ID 時,登入可能會失敗。

解決方案

若要解決此問題,請使用下列一或多個方法:

  • 請確定已使用正確的 UPN 和密碼進行登入。

  • 同盟帳戶不會更新UPN。

    如需如何解決此問題的詳細資訊,請參閱下列 Microsoft 知識庫文章:

    2392130針對同盟使用者登入 Microsoft 365、Azure 或 Intune 時發生的使用者名稱問題進行疑難解答

  • Microsoft 365 用戶帳戶未獲得 Microsoft 365 資源的授權。

    若要解決此問題,請使用 Microsoft 365 入口網站,將適當的授權指派給需要授權的用戶帳戶。

  • Microsoft 365 子域不會繼承父域的同盟設定。

    若要解決此問題,請從 Microsoft 365 入口網站移除子域。 如需如何移除網域的詳細資訊,請移至下列 Microsoft 網站:

    移除網域

    拿掉網域之後,您必須重新建立網域。

    重新建立網域時,子域會繼承父域的網域類型設定。

    注意 子域重新建立不需要使用 DNS TXT 記錄或 MX 記錄進行網域驗證,因為子域會辨識為已驗證父域的一部分。

  • 目錄同步處理問題會防止內部部署用戶帳戶設定正確同步至 Windows Azure AD。

    若要判斷帳戶是否發生不相符,請遵循下列步驟:

    1. 對 內部部署的 Active Directory 用戶帳戶進行次要 () 變更。

    2. 強制目錄同步處理。 如需如何強制同步處理的詳細資訊,請移至下列 Microsoft 網站:

      強制目錄同步處理

      如需如何判斷同步處理是否成功的相關信息,請移至下列 Microsoft 網站:

      確認目錄同步處理

      如果次要變更未同步至 Microsoft 365 使用者帳戶,目錄同步處理問題可能會造成此問題。

      注意 如果使用者帳戶已獲得授權,目錄同步處理可能會成功同步處理,而不會將使用者的 UPN 更新為適當的值。

其他相關資訊

是否仍需要協助? 移至 Microsoft 社群Microsoft Entra 論壇網站。