Risoluzione dei problemi relativi agli account per gli utenti federati in Office 365, Azure o Intune

Nota

Office 365 ProPlus viene rinominato in Microsoft 365 Apps for enterprise. Per ulteriori informazioni su questa modifica, leggere questo post di blog.

Problema

Quando si tenta di eseguire l'autenticazione in un servizio cloud di Microsoft, ad esempio Office 365, Microsoft Azure o Microsoft Intune utilizzando un account federato, l'operazione non è riuscita e si verifica uno o più dei problemi seguenti:

  • Al prompt di accesso, quando si tenta di aggiornare usernameField utilizzando un nome utente federato, la barra degli indirizzi del browser contiene un URL analogo a quello riportato nell'esempio seguente, invece di una pagina Web che include un collegamento "accedi al < nome dell'endpoint di ad FS>": https://login.microsoftonline.com/login.srf?.. .

  • Dopo aver eseguito l'accesso utilizzando un account federato e si tenta di accedere a una risorsa del servizio cloud, ad esempio Office 365, Outlook Web App, SharePoint Online o Skype for business online (in precedenza Lync Online), viene visualizzato il messaggio di errore seguente:

    Accesso negato

Causa

Se questi problemi si verificano solo per alcuni account utente, ciò indica che gli account utente sono probabilmente configurati in modo errato nell'ambiente Active Directory locale. In questo scenario, è possibile configurare uno o più dei seguenti elementi in modo non corretto:

  • Viene utilizzato il nome dell'entità utente (UPN) e la password errati.

  • L'UPN non viene aggiornato per gli account utente.

    In questo caso, è necessario che il suffisso UPN per ogni account federato identità sia aggiornato per riflettere il nome di dominio federato. Per verificare un UPN dell'account utente, eseguire la procedura seguente:

    1. Nel controller di dominio di Active Directory locale fare clic sul pulsante Start, scegliere tutti i programmi, strumenti di amministrazione e quindi fare clic su utenti e computer di Active Directory.
    2. Fare clic con il pulsante destro del mouse sull'account utente che si desidera modificare e quindi scegliere Proprietà.
    3. Nella scheda account verificare che il suffisso UPN dello spazio dei nomi federato sia elencato nell'elenco nell'angolo in alto a sinistra e quindi fare clic su OK.
  • L'account utente di Office 365 non è concesso in licenza per la risorsa Office 365

    L'accesso alle risorse di Office 365 per le quali l'account utente non dispone di una licenza è limitato. Per controllare lo stato della licenza per un account utente, eseguire la procedura seguente:

    1. Accedere al portale di Office 365 ( https://portal.office.com ) utilizzando un account utente di office 365 admin. Se necessario, è possibile utilizzare un account gestito.

    2. Fare clic su amministratore, fare clic su Office 365e quindi nel riquadro di spostamento a sinistra, fare clic su utenti e gruppi.

    3. Nell'elenco degli utenti, individuare gli account utente che si desidera testare, quindi selezionare nome visualizzato. Controllare che ogni account utente disponga delle licenze necessarie per la risorsa Office 365.

    4. Selezionare la casella di controllo Seleziona tutti gli elementi   .

      Se un account utente che si desidera testare non è elencato, la sincronizzazione di Active Directory potrebbe sincronizzare l'account in Azure Active Directory (Azure AD).

      Nota Se l'account utente dispone di una cassetta postale locale, non viene creata una cassetta postale di Office 365. Questa risorsa specifica non è disponibile, anche quando l'account utente è concesso in licenza per Exchange Online.

  • Il sottodominio non eredita le impostazioni di Federazione del dominio padre

    Quando un sottodominio, come subdomain.contoso.com, viene aggiunto prima del dominio padre, ad esempio contoso.com, il sottodominio eredita automaticamente lo stato di Federazione del dominio padre. Per determinare lo stato di ereditarietà, eseguire la procedura seguente:

    1. Accedere a Office 365 ( https://portal.office.com ) utilizzando un account utente di office 365 admin. Se necessario, è possibile utilizzare un account gestito.
    2. Fare clic su amministratoree quindi nel riquadro di spostamento a sinistra, fare clic su domini.
    3. Nell'elenco dei domini individuare il nome di sottodominio federato e quindi determinare se l'impostazione del tipo di dominio è impostata su Single Sign-on.
    4. Ripetere il passaggio 1 al passaggio 3 per il dominio padre. Se l'impostazione del tipo di dominio è diversa dall'impostazione del sottodominio, il sottodominio è rimasto orfano dal relativo elemento padre.
  • I problemi di sincronizzazione della directory impediscono la configurazione dell'account utente corretta in locale dalla sincronizzazione con Azure AD.

    Il servizio Single Sign-on (SSO) si basa su account utente identici rappresentati sia in Active Directory locale che in Azure AD. La sincronizzazione della directory è responsabile del fatto che venga creato lo stesso account utente di Office 365 per ogni account utente locale. L'accesso potrebbe avere esito negativo quando la sincronizzazione della directory non sincronizza le impostazioni degli account corrette da Active Directory locale ad Azure AD.

Soluzione

Per risolvere il problema, utilizzare uno o più dei metodi seguenti:

  • Verificare che l'UPN e la password corretti vengano utilizzati per l'accesso.

  • L'UPN non viene aggiornato per gli account federati.

    Per ulteriori informazioni su come risolvere il problema, vedere l'articolo della Microsoft Knowledge Base seguente:

    2392130   Risolvere i problemi relativi ai nomi utente che si verificano per gli utenti federati quando eseguono l'accesso a Office 365, Azure o Intune 

  • L'account utente di Office 365 non è concesso in licenza per le risorse di Office 365.

    Per risolvere il problema, utilizzare il portale di Office 365 per assegnare le licenze appropriate agli account utente che richiedono una licenza.

  • Il sottodominio di Office 365 non eredita le impostazioni di Federazione del dominio padre.

    Per risolvere il problema, rimuovere il sottodominio dal portale di Office 365. Per ulteriori informazioni su come rimuovere un dominio, visitare il seguente sito Web Microsoft:

    Rimuovere un dominio

    Dopo la rimozione del dominio, è necessario ricreare il dominio.

    Quando viene creato di nuovo il dominio, il sottodominio eredita l'impostazione del tipo di dominio del dominio padre.

    Note La verifica del dominio tramite record TXT DNS o record MX non è necessaria per la ricreazione di sottodomini poiché il sottodominio è riconosciuto come parte del dominio padre già verificato.

  • I problemi di sincronizzazione della directory impediscono la sincronizzazione corretta della configurazione dell'account utente locale in Windows Azure AD.

    Per determinare se si è verificata una mancata corrispondenza di un account, eseguire la procedura seguente:

    1. Apportare una modifica secondaria (arbitraria) all'account utente di Active Directory locale.

    2. Forzare la sincronizzazione della directory. Per ulteriori informazioni su come forzare la sincronizzazione, visitare il seguente sito Web Microsoft:

      Forzare la sincronizzazione della directory

      Per informazioni su come determinare se la sincronizzazione ha avuto esito positivo, visitare il seguente sito Web Microsoft:

      Verifica della sincronizzazione della directory

      Se le modifiche minime non vengono sincronizzate con l'account utente di Office 365, potrebbe verificarsi un problema di sincronizzazione della directory.

      Note La sincronizzazione della directory può essere eseguita correttamente senza che l'UPN dell'utente venga aggiornato al valore appropriato se l'account utente è già stato concesso in licenza.

      Per ulteriori informazioni su come aggiornare l'UPN in questo caso, vedere l'articolo della Microsoft Knowledge Base riportato di seguito:

      2523192   I nomi utente in Office 365, Azure o Intune non corrispondono all'UPN locale o all'ID di accesso alternativo 

Ulteriori informazioni

Ulteriore assistenza Accedere a Microsoft Community o al sito Web di Azure Active Directory Forum .