Řešení potíží s účty federovaných uživatelů v Microsoftu 365, Azure nebo Intune

  • Článek
  • Platí pro:
    Azure Active Directory, Microsoft Intune, Azure Backup, Microsoft 365

Problém

Při pokusu o ověření cloudové služby, jako je Microsoft 365, Microsoft Azure nebo Microsoft Intune pomocí federovaného účtu, ověření je neúspěšné a dojde k jednomu nebo několika následujícím problémům:

  • Při pokusu o aktualizaci pole uživatelského jména pomocí federovaného uživatelského jména při výzvě k přihlášení obsahuje adresní řádek prohlížeče adresu URL, která se podobá následujícímu příkladu, místo webové stránky, která obsahuje odkaz Přihlásit se k <názvu> koncového bodu služby AD FS: https://login.microsoftonline.com/login.srf?...

  • Po přihlášení pomocí federovaného účtu a pokusu o přístup k prostředku cloudové služby, jako je Microsoft 365, Outlook Web App, SharePoint Online nebo Skype pro firmy Online (dřív Lync Online), se zobrazí následující chybová zpráva:

    Přístup odepřen

Příčina

Pokud k těmto problémům dochází pouze u některých uživatelských účtů, znamená to, že tyto uživatelské účty jsou pravděpodobně nesprávně nastavené v prostředí místní Active Directory. V tomto scénáři může být nesprávně nastavena jedna nebo více následujících položek:

  • Používá se nesprávný hlavní název uživatele (UPN) a heslo.

  • Hlavní název uživatele (UPN) se neaktualizuje pro uživatelské účty.

    V takovém případě musí být přípona hlavního názvu uživatele pro každý účet federovaný identitou aktualizována tak, aby odrážela název federované domény. Pokud chcete ověřit hlavní název uživatele (UPN) uživatelského účtu, postupujte takto:

    1. V místním řadiči domény služby Active Directory klikněte na tlačítko Start, přejděte na příkaz Všechny programy, klikněte na položku Nástroje pro správu a potom klikněte na Uživatelé a počítače služby Active Directory.
    2. Klikněte pravým tlačítkem na uživatelský účet, který chcete změnit, a potom klikněte na Vlastnosti.
    3. Na kartě Účet se ujistěte, že je přípona hlavního názvu uživatele federovaného oboru názvů uvedená v seznamu v levém horním rohu, a pak klikněte na OK.

  • Uživatelský účet Microsoft 365 nemá licenci pro prostředek Microsoft 365

    Přístup k prostředkům Microsoftu 365, pro které uživatelský účet nemá licenci, je omezený. Pokud chcete zkontrolovat stav licence uživatelského účtu, postupujte takto:

    1. Přihlaste se k portálu Microsoft 365 (https://portal.office.com) pomocí uživatelského účtu správce Microsoftu 365. V případě potřeby můžete použít spravovaný účet.

    2. Vyberte Správa a pak v levém navigačním podokně vyberte Uživatelé.

    3. V seznamu uživatelů vyhledejte uživatelské účty, které chcete otestovat, a pak vyberte Zobrazovaný název. Zkontrolujte, že každý uživatelský účet má požadované licence pro prostředek Microsoftu 365.

    4. Zaškrtněte políčko Vybrat všechny položky .

      Pokud není v seznamu uvedený uživatelský účet, který chcete testovat, synchronizace služby Active Directory může účet synchronizovat s Microsoft Entra ID.

      Poznámka: Pokud má uživatelský účet místní poštovní schránku, poštovní schránka Microsoftu 365 se nevytvořila. Tento konkrétní prostředek zůstává nedostupný, i když je uživatelský účet licencovaný pro Exchange Online.

  • Subdoména nedědí nastavení federace nadřazené domény

    Když je subdoména, například subdomain.contoso.com, přidána před svou nadřazenou doménu, například contoso.com, subdoména automaticky dědí stav federace nadřazené domény. Pokud chcete zjistit stav dědičnosti, postupujte takto:

    1. Přihlaste se k Microsoftu 365 (https://portal.office.com) pomocí uživatelského účtu správce Microsoftu 365. Pokud je to potřeba, můžete použít spravovaný účet.
    2. Klikněte na Správa a potom v levém navigačním podokně klikněte na Domény.
    3. V seznamu domén vyhledejte název federované subdomény a pak určete, jestli je nastavení Typu domény nastavené na jednotné přihlašování.
    4. Opakujte krok 1 až 3 pro nadřazenou doménu. Pokud se nastavení Typ domény liší od nastavení subdomény, je subdoména od nadřazeného objektu osamocena.

  • Problémy se synchronizací adresářů brání správné místní konfiguraci uživatelského účtu v synchronizaci s Microsoft Entra ID.

    Jednotné přihlašování (SSO) závisí na identických uživatelských účtech reprezentovaných v místní Active Directory i v Microsoft Entra ID. Synchronizace adresářů zodpovídá za to, že se pro každý místní uživatelský účet vytvoří stejný uživatelský účet Microsoft 365. Přihlášení může selhat, pokud synchronizace adresářů nesynchronizuje správná nastavení účtu z místní Active Directory do Microsoft Entra ID.

Řešení

Pokud chcete tento problém vyřešit, použijte jednu nebo více z následujících metod:

  • Ujistěte se, že se pro přihlášení používá správný hlavní název uživatele (UPN) a heslo.

  • Hlavní název uživatele (UPN) se neaktualizuje pro federované účty.

    Další informace o řešení tohoto problému naleznete v následujícím článku znalostní báze Microsoft Knowledge Base:

    2392130 Řešení potíží s uživatelským jménem, ke kterým dochází u federovaných uživatelů při přihlášení k Microsoftu 365, Azure nebo Intune

  • Uživatelský účet Microsoft 365 není licencovaný pro prostředky Microsoftu 365.

    Pokud chcete tento problém vyřešit, použijte portál Microsoft 365 a přiřaďte příslušné licence uživatelským účtům, které licenci vyžadují.

  • Subdoména Microsoft 365 nedědí nastavení federace nadřazené domény.

    Pokud chcete tento problém vyřešit, odeberte subdoménu z portálu Microsoft 365. Další informace o tom, jak odebrat doménu, přejděte na následující web společnosti Microsoft:

    Odebrání domény

    Po odebrání domény musíte doménu znovu vytvořit.

    Při opětovném vytvoření domény zdědí subdoména nastavení Typ domény nadřazené domény.

    Poznámka Při opětovném vytvoření subdomény se ověření domény pomocí záznamů DNS TXT nebo MX nevyžaduje, protože subdoména je rozpoznána jako součást již ověřené nadřazené domény.

  • Problémy se synchronizací adresářů brání správné synchronizaci konfigurace místního uživatelského účtu s Windows Azure AD.

    Pokud chcete zjistit, jestli došlo k neshodě účtu, postupujte takto:

    1. Proveďte menší (libovolnou) změnu uživatelského účtu místní Active Directory.

    2. Vynutit synchronizaci adresářů Další informace o vynucení synchronizace naleznete na následujícím webu společnosti Microsoft:

      Vynutit synchronizaci adresářů

      Informace o tom, jak zjistit, zda byla synchronizace úspěšná, přejděte na následující web společnosti Microsoft:

      Ověření synchronizace adresářů

      Pokud se s uživatelským účtem Microsoft 365 nesynchronizují menší změny, může tento problém způsobit problém se synchronizací adresářů.

      Poznámka Synchronizace adresářů se může úspěšně synchronizovat bez aktualizace hlavního názvu uživatele (UPN) na odpovídající hodnotu, pokud už je uživatelský účet licencovaný.

Další informace

Stále potřebujete pomoc? Přejděte na web Microsoft Community nebo Microsoft Entra Forums.