Řešení problémů s účtem federovaných uživatelů v Office 365, Azure nebo Intune

Poznámka

Office 365 ProPlus se přejmenuje na Microsoft 365 Apps for enterprise. Pro další informace o této změně si přečtěte tento blog.

Problém

Když se pokusíte ověřit u microsoftu cloudovou službu, jako je Office 365, Microsoft Azure nebo Microsoft Intune pomocí federovaného účtu, ověřování neproběhne úspěšně a dojde k jednomu nebo více z následujících problémů:

  • Když se při pokusu o aktualizaci pole Uživatelské jméno pomocí federovaného uživatelského jména zobrazí výzva k přihlášení, obsahuje adresní řádek prohlížeče adresu URL, která se podobá následujícímu příkladu, místo webové stránky, která obsahuje odkaz Přihlásit se <AD FS endpoint name> u: https://login.microsoftonline.com/login.srf?.. .

  • Po přihlášení pomocí federovaného účtu a pokusu o přístup k prostředku cloudové služby, jako jsou například Office 365, Outlook Web App, SharePoint Online nebo Skype pro firmy Online (dřív Lync Online), se zobrazí následující chybová zpráva:

    Přístup odepřen

Příčina

Pokud k těmto problémům dochází jenom u některých uživatelských účtů, znamená to, že tyto uživatelské účty jsou pravděpodobně nesprávně nastavené v místním prostředí služby Active Directory. V tomto scénáři může být jedna nebo více z následujících položek nesprávně nastavena:

  • Používá se nesprávné hlavní uživatelské jméno (UPN) a heslo.

  • Hlavní název uživatele není aktualizován pro uživatelské účty.

    V takovém případě musí být přípona hlavního názvu uživatele pro každý účet federovaný identitou aktualizována tak, aby odrážela název federované domény. Pokud chcete ověřit název upn uživatelského účtu, postupujte takto:

    1. V místním řadiči domény active directory klikněte na Start, přejděte na Všechny programy, klikněte na Nástroje pro správu a potom klikněte na Uživatelé a počítače služby Active Directory.
    2. Klikněte pravým tlačítkem myši na uživatelský účet, který chcete změnit, a potom klikněte na Vlastnosti.
    3. Na kartě Účet se ujistěte, že je v seznamu v levém horním rohu uvedena přípona UPN federovaného oboru názvů, a potom klikněte na OK.
  • Office 365 uživatelský účet není licencován pro tento Office 365.

    Přístup k Office 365, pro které uživatelský účet nemá licenci, je omezený. Pokud chcete zkontrolovat stav licence uživatelského účtu, postupujte takto:

    1. Přihlaste se k Office 365 ( ) pomocí https://portal.office.com uživatelského účtu Office 365 správce. V případě potřeby můžete použít spravovaný účet.

    2. Klikněte na Správce, klikněte Office 365 a potom v levém navigačním podokně klikněte na uživatelé a skupiny.

    3. V seznamu uživatelů vyhledejte uživatelské účty, které chcete otestovat, a pak vyberte Zobrazované jméno. Zkontrolujte, že každý uživatelský účet má pro tento zdroj Office 365 licencování.

    4. Zaškrtněte políčko Vybrat všechny položky.

      Pokud uživatelský účet, který chcete otestovat, není uvedený, synchronizace služby Active Directory může synchronizovat účet s Azure Active Directory (Azure AD).

      Poznámka: Pokud má uživatelský účet místní poštovní schránku, Office 365 poštovní schránka není vytvořena. Tento konkrétní zdroj není dostupný, i když je uživatelský účet licencovaný pro Exchange Online.

  • Subdoména nezdědí nastavení federace nadřazené domény.

    Když je subdoména, například subdomain.contoso.com, přidána před nadřazenou doménu, například contoso.com, subdoména automaticky dědí stav federace nadřazené domény. Pokud chcete zjistit stav dědičnosti, postupujte takto:

    1. Přihlaste se k Office 365 ( ) pomocí https://portal.office.com uživatelského Office 365 správce. Pokud je to potřeba, můžete použít spravovaný účet.
    2. Klikněte na Správce a v levém navigačním podokně klikněte na Domény.
    3. V seznamu domén vyhledejte federovaný název subdomény a zjistěte, jestli je nastavení Domain type (Typ domény) nastavené na Single Sign-On (Jednotné přihlašování).
    4. Opakujte kroky 1 až 3 pro nadřazenou doménu. Pokud se nastavení Typ domény liší od nastavení subdomény, je subdoména osiřelá od nadřazené domény.
  • Problémy se synchronizací adresářů brání místní konfiguraci správného uživatelského účtu v synchronizaci s Azure AD.

    Jednotné přihlašování (SSO) závisí na tom, že se identické uživatelské účty zastupují v místní službě Active Directory i v Azure AD. Synchronizace adresářů je zodpovědná za to, že se pro každý místní uživatelský účet Office 365 vytvoří stejný uživatelský účet. Pokud synchronizace adresářů nesynchronuje správné nastavení účtu z místního adresáře Active Directory do Azure AD, může selhat přihlášení.

Řešení

Chcete-li tento problém vyřešit, použijte jednu nebo více z následujících metod:

  • Ujistěte se, že se pro přihlášení používá správný hlavní název uživatele a heslo.

  • Hlavní název uživatele není u federovaných účtů aktualizován.

    Další informace o řešení tohoto problému najdete v následujícím článku znalostní báze Microsoft Knowledge Base:

    2392130 řešení problémů s uživatelským jménem, ke kterým dochází u federovaných uživatelů při přihlášení Office 365, Azure nebo Intune

  • Uživatelský Office 365 účet není licencován pro Office 365 prostředků.

    K vyřešení tohoto problému použijte Office 365 k přiřazení příslušných licencí uživatelským účtům, které vyžadují licenci.

  • Office 365 subdoména nezdědí nastavení federace nadřazené domény.

    Pokud chcete tento problém vyřešit, odeberte subdoménu z Office 365 portálu. Další informace o tom, jak odebrat doménu, najdete na následujícím webu Microsoftu:

    Odebrání domény

    Po odebrání domény je nutné doménu znovu vytvořit.

    Po opětovném vytvoření domény dědí subdoména nastavení Typu domény nadřazené domény.

    Poznámka: Ověření domény pomocí záznamů DNS TXT nebo záznamů MX se nevyžaduje pro opětovné vytvoření subdomény, protože subdoména je rozpoznaná jako součást již ověřené nadřazené domény.

  • Problémy se synchronizací adresářů brání správné synchronizaci konfigurace místního uživatelského účtu Windows Azure AD.

    Pokud chcete zjistit, jestli došlo k neshodě účtu, postupujte takto:

    1. Proveďte menší (libovolnou) změnu místního uživatelského účtu služby Active Directory.

    2. Vynutí synchronizaci adresářů. Další informace o vynucení synchronizace najdete na následujícím webu Společnosti Microsoft:

      Vynucení synchronizace adresářů

      Informace o tom, jak zjistit, jestli synchronizace byla úspěšná, najdete na následujícím webu Společnosti Microsoft:

      Ověření synchronizace adresářů

      Pokud se menší změny nesynchronují s uživatelským účtem Office 365, může tento problém způsobovat problém se synchronizací adresářů.

      Poznámka: Synchronizace adresářů se může úspěšně synchronizovat, aniž by se hlavní název uživatele u uživatele synchronizoval na příslušnou hodnotu, pokud už je uživatelský účet licencovaný.

Další informace

Stále potřebujete pomoc? Přejděte na stránku Komunita Microsoft nebo Azure Active Directory Forums.