針對在聯名使用者登錄 Office 365、Azure 或 Intune 時發生的使用者名稱問題進行疑難排解

問題

新聯盟使用者無法登錄 Microsoft 雲端服務,例如 Office 365、Microsoft Azure 或 Microsoft Intune。 使用者遇到下列其中一種症狀:

  • 在 login.microsoftonline.com 網頁上輸入使用者識別碼之後,使用者識別碼無法透過家用領域探索識別為聯盟使用者,而且使用者不會自動重新導向以透過單一登入 (SSO) 進行登錄。

  • AD FS (Active Directory Federation Services 的驗證) 失敗,而且使用者會收到下列表單式驗證錯誤訊息:

    使用者名稱或密碼不正確

    替代文字
  • 使用者會收到下列錯誤訊息 login.microsoftonline.com 網頁上:

    很抱歉,我們無法將您簽下

原因

這些症狀可能是因為啟用 SSO 的使用者識別碼試驗不佳而發生。 試驗啟用 SSO 的使用者識別碼的一般需求如下:

  • 內部部署 Active Directory 使用者帳戶應該使用聯盟功能變數名稱做為使用者主體名稱 (UPN) 尾碼。

  • 相關聯的 Microsoft Exchange Online 信箱的使用者識別碼和主要電子郵件地址不會共用相同的網域尾碼。

  • Azure Active Directory 同步處理工具必須將內部部署 Active Directory 使用者帳戶同步處理至雲端使用者識別碼。

  • 內部部署 Active Directory 使用者帳戶的 UPN 與雲端使用者識別碼必須相符。

在您假設啟用 SSO 的使用者識別碼試驗不佳是導致此問題的原因之前,請確定下列條件為 True:

  • 使用者沒有遇到常見的登錄問題。 若要進一步瞭解如何疑難排解常見的登錄問題,請參閱下列 Microsoft 知識庫文章:

    2412085 您無法登錄組織帳戶,例如 Office 365、Azure 或 Intune

  • 已正確準備支援 SSO 的聯盟網域,如下所示:

    • 聯邦網域可公開由 DNS 解說。 (:這不包含預設的「onmicrosoft.com」網域。)

    • 根據下列 Microsoft 網站,已針對 SSO 準備聯盟網域。

      注意 網域聯盟轉換可能需要一些時間才能傳播。 在將網域進行聯盟後,您應該等候兩小時,再假設網域組配置有錯誤。

解決 方案

若要解決此問題,請確定使用者帳戶已正確試驗為啟用 SSO 的使用者識別碼。 若要這麼做,請使用下列一或多個方法:

方法 1:如果使用者收到「很抱歉,但我們無法將您簽到」錯誤,請參閱知識庫文章 2615736

如果使用者收到「很抱歉,但我們無法將您簽到」錯誤訊息,請使用下列 Microsoft 知識庫文章來疑難排解問題:

當使用者嘗試登錄 Office 365、Azure 或 Intune 時,發生2615736「很抱歉,但我們無法將您登錄」錯誤

方法 2:更新內部部署使用者帳戶的 UPN,以使用聯盟網域做為尾碼

警告 變更 Active Directory 使用者帳戶的 UPN 對於使用者的內部部署 Active Directory 功能有重大的影響。 建議您謹慎處理 UPN 變更。

效果可能包括下列專案:

  • 使用緩存認證登入作業系統的漫遊使用者,以遠端存取內部部署資源

  • 使用使用者憑證的遠端存取驗證技術

  • 以使用者憑證為基礎的加密技術,例如安全 MIME (SMIME) 、資訊版權管理 (IRM) 技術,以及 NTFS 的加密檔案系統 (EFS) 功能

  • 智慧卡功能

我們強烈建議您試驗單一使用者帳戶,以深入瞭解更新 UPN 如何影響使用者存取。 這項資訊很實用,可提前規劃或減少憑證重新頒發、資料復原,以及使用這類技術維護資料協助工具所需的任何其他補救。

您必須更新使用者帳戶 UPN,以反映內部部署 Active Directory 環境和 Azure AD 中的聯合網域尾碼。 如果要執行這項操作,請依照下列步驟執行:

  1. 請確定已將聯盟網域新增為 UPN 尾碼:

    1. 在內部部署 Active Directory 網域控制站上,按一下 [開始,指向所有程式,按一下管理工具,然後按一下Active Directory 網域和信任

    2. 以滑鼠右鍵按一下Active Directory Domains和 Trusts 的根節點,選取 [屬性」,然後確認 SSO 使用的功能變數名稱存在。

    注意:不可路由的網域尾碼 ,例如 domain.internal 或 domain.microsoftonline.com 網域無法利用 SSO 功能或聯盟服務。 此步驟中不得使用不可路由的網域尾碼。

  2. 手動更新問題使用者帳戶的 UPN 尾碼:

    1. 在內部部署 Active Directory 網域控制站上,按一下 [開始,指向所有程式,按一下管理工具,然後按一下Active Directory 使用者和電腦

    2. 找出問題使用者帳戶,以滑鼠右鍵按一下帳戶,然後按一下 [ 屬性> 。

    3. 在 [ 帳戶」 選項卡上,使用左上角的下拉式清單,將 UPN 尾碼變更為自訂網域,然後按一下 [ 確定

方法 3:確認 Exchange Online 信箱 (SMTP) 使用者識別碼和主要簡易郵件傳輸通訊協定具有相同的網域

使用內部部署 Exchange 管理工具,將內部部署使用者的主要 SMTP 位址設定為方法 2 所述 UPN 屬性的相同網域。 若要詳細資訊,請前往下列 Microsoft TechNet 網站:

編輯電子郵件地址政策

設定使用者和資源信箱屬性如果 Exchange 未安裝在內部部署環境中,您可以使用 Active Directory 使用者和電腦來管理 SMTP 位址值。 如果要執行這項操作,請依照下列步驟執行:

  1. 在 Active Directory 使用者與電腦中,以滑鼠右鍵按一下使用者物件,然後按一下 [ 屬性> 。

  2. 在 [ 一般」 選項卡上,更新 [電子郵件 」 欄位,然後按一下 [確定

方法 4:設定使用者帳戶 UPN 的 Active Directory 同步處理

若要讓 SSO 正確工作,您必須設定 Active Directory 同步處理用戶端。 若要進一步瞭解如何設定 Active Directory 同步處理,請前往下列 Microsoft 網站:

Active Directory 同步處理:藍圖若要進一步瞭解如何強制及驗證同步處理,請前往下列 Microsoft 網站:

方法 5:針對特定使用者帳戶的 UPN 更新問題進行疑難排解

如果同步處理可以驗證,但試驗使用者識別碼的 UPN 仍未更新,則特定使用者可能會發生同步處理問題。

若要進一步瞭解如何針對同步處理特定 Active Directory 物件的潛在問題進行疑難排解,請參閱下列 Microsoft 知識庫文章:

2643629 使用 Azure Active Directory 同步處理工具時,一或多個物件無法同步處理


是否仍需要協助? 請前往 Microsoft 社群 或 Azure Active Directory 論壇 網站。

需要更多協助?

擴展您的技能
探索訓練
優先取得新功能
加入 Microsoft 測試人員

這項資訊有幫助嗎?

感謝您的意見反應!

感謝您的意見反應! 我們將協助您與我們的其中一個 Office 支援專員連絡以深入了解您的意見。

×