Poradce při potížích s účtem pro federované uživatele v Office 365, Azure nebo Intune

Poznámka

Office 365 ProPlus se přejmenuje na Microsoft 365 Apps for enterprise. Pro další informace o této změně si přečtěte tento blog.

Problém

Když se pokusíte ověřit přístup k cloudové službě společnosti Microsoft, jako je Office 365, Microsoft Azure nebo Microsoft Intune, pomocí federovaného účtu, ověřování se nezdařilo a k tomu dochází jeden nebo více následujících problémů:

  • Při pokusu o aktualizaci Usernamefield pomocí federovaného uživatelského jména na přihlašovacím panelu prohlížeče se zobrazí adresa URL podobná následujícímu příkladu namísto webové stránky, která obsahuje odkaz Přihlásit se na <AD FS endpoint name> : https://login.microsoftonline.com/login.srf?.. .

  • Po přihlášení pomocí federovaného účtu a pokusu o přístup k prostředku cloudové služby, jako je třeba Office 365, Outlook Web App, SharePoint Online nebo Skype pro firmy online (dřív online), se zobrazí tato chybová zpráva:

    Odepření přístupu

Příčina

Pokud k těmto problémům dochází jenom u některých uživatelských účtů, znamená to, že v prostředí místního adresáře Active Directory je nesprávně nastaven účet uživatele. V tomto scénáři se nesprávně nastaví některé z následujících položek:

  • Je použito nesprávné hlavní uživatelské jméno (UPN) a heslo.

  • Hlavní název uživatele se neaktualizuje pro uživatelské účty.

    V tomto případě musí být přípona hlavního názvu uživatele pro každý federovaný účet pro identitu aktualizována tak, aby odrážela název federované domény. Pokud chcete ověřit uživatelské jméno UPN, postupujte takto:

    1. V místním řadiči domény služby Active Directory klikněte na Start, přejděte na všechny programy, klikněte na nástroje pro správu a potom klikněte na uživatelé a počítače služby Active Directory.
    2. Klikněte pravým tlačítkem na uživatelský účet, který chcete změnit, a potom klikněte na vlastnosti.
    3. Na kartě účet zkontrolujte, že je v seznamu v levém horním rohu uvedená přípona UPN pro federované obor názvů, a klikněte na OK.
  • Uživatelský účet Office 365 není licencován pro prostředek Office 365

    Přístup k prostředkům Office 365, ke kterým uživatelský účet nemá licenci, je omezen. Pokud chcete zkontrolovat stav licence pro uživatelský účet, postupujte takto:

    1. Přihlaste se na portál Office 365 ( https://portal.office.com ) pomocí uživatelského účtu správce Office 365. V případě potřeby můžete použít spravovaný účet.

    2. Klikněte na správce, na Office 365a potom v levém navigačním podokně klikněte na Uživatelé a skupiny.

    3. V seznamu uživatelů Najděte uživatelské účty, které chcete testovat, a pak vyberte zobrazované jméno. Zkontrolujte, jestli má každý uživatelský účet požadovaná licence pro prostředek Office 365.

    4. Zaškrtněte políčko Vybrat všechny položky   .

      Pokud není v seznamu uvedený uživatelský účet, který chcete testovat, může synchronizace účtu v Azure Active Directory (Azure AD) synchronizovat účet.

      Poznámka: Pokud má uživatelský účet místní poštovní schránku, není vytvořená poštovní schránka Office 365. Tento specifický prostředek zůstane nedostupný ani v případě, že je účet uživatele licencován pro Exchange Online.

  • Subdoména nedědí nastavení federace nadřazené domény

    Po přidání subdomény (například subdomain.contoso.com) před její nadřazenou doménou, například contoso.com, subdoménou se automaticky zdědí stav federace nadřazené domény. Pokud chcete zjistit stav dědičnosti, postupujte takto:

    1. Přihlaste se k Office 365 ( https://portal.office.com ) pomocí uživatelského účtu správce Office 365. V případě potřeby můžete použít spravovaný účet.
    2. Klikněte na správcea potom v levém navigačním podokně klikněte na domény.
    3. V seznamu domén vyhledejte název federovaného subdomény a pak Zjistěte, jestli je nastavení typ domény nastavené na jednotné přihlašování.
    4. Opakujte kroky 1 až 3 pro nadřazenou doménu. Pokud se nastavení typ domény liší od nastavení subdomény, poddoména byla osamocená od nadřazeného objektu.
  • Problémy se synchronizací adresáře zabraňují místní konfiguraci uživatelského účtu v synchronizaci se službou Azure AD.

    Jednotné přihlašování je závislé na identických uživatelských účtech v místní službě Active Directory i v Azure AD. Synchronizace adresářů je zodpovědná za to, že se pro každý místní uživatelský účet vytvoří stejný uživatelský účet Office 365. Pokud synchronizace adresáře nesynchronizuje správné nastavení účtu z místní služby Active Directory do Azure AD, přihlášení se může zdařit.

Řešení

Tento problém vyřešíte pomocí některé z následujících metod:

  • Zkontrolujte, jestli se pro přihlášení používá správné uživatelské jméno a heslo.

  • Hlavní název uživatele se neaktualizuje pro federované účty.

    Další informace o řešení tohoto problému najdete v následujícím článku znalostní báze Microsoft Knowledge Base:

    2392130   Řešení problémů s uživatelským jménem, ke kterým dochází pro federované uživatele při přihlášení k Office 365, Azure nebo Intune 

  • Uživatelský účet Office 365 není licencován pro prostředky Office 365.

    Tento problém vyřešíte tak, že na portál Office 365 přiřadíte uživatelské účty, které vyžadují licenci.

  • Subdoména Office 365 nedědí nastavení federace nadřazené domény.

    Tento problém vyřešíte tak, že z portálu Office 365 odeberete subdoménu. Další informace o tom, jak odebrat doménu, najdete na následujícím webu společnosti Microsoft:

    Odebrání domény

    Po odebrání domény je třeba doménu znovu vytvořit.

    Po opětovném vytvoření domény dědí subdoména nastavení typu domény nadřazené domény.

    Poznámka: Při opětovném vytváření subdomény není potřeba ověřit doménu pomocí záznamů TXT DNS nebo záznamů MX, protože subdomény jsou rozpoznané jako součást již ověřené nadřazené domény.

  • Problémy se synchronizací adresářů zabraňují správné synchronizaci konfigurace místního uživatelského účtu pro službu Windows Azure AD.

    Pokud chcete zjistit, jestli došlo k neshodě účtů, postupujte takto:

    1. Proveďte nepatrnou změnu na místní uživatelský účet služby Active Directory.

    2. Vynucení synchronizace adresářů Další informace o vynucení synchronizace najdete na následujícím webu společnosti Microsoft:

      Vynucení synchronizace adresářů

      Informace o tom, jak zjistit, jestli byla synchronizace úspěšná, najdete na následujícím webu společnosti Microsoft:

      Ověření synchronizace adresářů

      Pokud se na uživatelský účet Office 365 nesynchronizují menší změny, může tento problém způsobovat problém synchronizace adresářů.

      Poznámka: Synchronizace adresářů se mohla úspěšně synchronizovat bez aktualizace hlavního názvu uživatele (UPN) na příslušnou hodnotu, pokud je účet uživatele již licencován.

      Další informace o tom, jak aktualizovat hlavní název uživatele (UPN), najdete v následujícím článku znalostní báze Microsoft Knowledge Base:

      2523192   Uživatelská jména v Office 365, Azure nebo Intune se neshodují s místním uživatelským jménem (UPN) nebo alternativním přihlašovacím ID 

Další informace

Stále potřebujete pomoc? Přejděte na web komunity Microsoftu nebo na webu služby Azure Active Directory .