Solucionar problemas de conta para usuários federados no Office 365, no Azure ou no Intune

Observação

O Office 365 ProPlus está sendo renomeado como Microsoft 365 Apps para empresas. Para obter mais informações sobre essa mudança, leia esta postagem de blog.

Problema

Quando você tenta autenticar para um serviço de nuvem da Microsoft, como o Office 365, o Microsoft Azure ou o Microsoft Intune usando uma conta federada, a autenticação não é bem sucedida e um ou mais dos seguintes problemas ocorrem:

  • No prompt de entrada, quando você tenta atualizar o usernamefield usando um nome de usuário federado, a barra de endereços do navegador contém uma URL que se assemelha ao exemplo a seguir, em vez de uma página da Web que inclui um link "entrar em <AD FS endpoint name> ": https://login.microsoftonline.com/login.srf?.. .

  • Após entrar usando uma conta federada e tentar acessar um recurso de serviço de nuvem, como o Office 365, Outlook Web App, SharePoint Online ou Skype for Business online (anteriormente Lync Online), você receberá a seguinte mensagem de erro:

    Acesso negado

Motivo

Se esses problemas ocorrerem apenas para algumas contas de usuário, isso indica que as contas de usuário provavelmente estão configuradas incorretamente no ambiente do Active Directory local. Neste cenário, um ou mais dos seguintes itens podem ser configurados incorretamente:

  • O nome principal do usuário (UPN) e a senha estão sendo usados.

  • O UPN não é atualizado para contas de usuário.

    Nesse caso, o sufixo UPN para cada conta federada de identidade deve ser atualizado para refletir o nome de domínio federado. Para verificar um UPN da conta de usuário, siga estas etapas:

    1. No controlador de domínio do Active Directory local, clique em Iniciar, aponte para todos os programas, clique em ferramentas administrativas e, em seguida, clique em usuários e computadores do Active Directory.
    2. Clique com o botão direito do mouse na conta de usuário que você deseja alterar e clique em Propriedades.
    3. Na guia conta, verifique se o sufixo UPN do namespace federado está listado na lista no canto superior esquerdo e clique em OK.
  • A conta de usuário do Office 365 não é licenciada para o recurso do Office 365

    Acesso aos recursos do Office 365 para os quais a conta de usuário não tem uma licença é restrita. Para verificar o status da licença de uma conta de usuário, siga estas etapas:

    1. Entre no portal do Office 365 ( https://portal.office.com ) usando uma conta de usuário do administrador do office 365. Você pode usar uma conta gerenciada, se necessário.

    2. Clique em administrador, clique em Office 365e, no painel de navegação esquerdo, clique em usuários e grupos.

    3. Na lista de usuários, localize as contas de usuário que você deseja testar e selecione nome para exibição. Verifique se cada conta de usuário tem o licenciamento necessário para o recurso do Office 365.

    4. Marque a caixa de seleção selecionar todos os itens   .

      Se uma conta de usuário que você deseja testar não estiver listada, a sincronização do Active Directory poderá estar sincronizando a conta para o Azure Active Directory (Azure AD).

      Observação se a conta de usuário tem uma caixa de correio local, uma caixa de correio do Office 365 não é criada. Esse recurso específico permanece indisponível, mesmo quando a conta de usuário é licenciada para o Exchange Online.

  • O subdomínio não herda as configurações de Federação do domínio pai

    Quando um subdomínio, como subdomain.contoso.com, é adicionado antes do seu domínio pai, por exemplo, contoso.com, o subdomínio herda automaticamente o status de Federação do domínio pai. Para determinar o status da herança, siga estas etapas:

    1. Entre no Office 365 ( https://portal.office.com ) usando uma conta de usuário de administrador do office 365. Você pode usar uma conta gerenciada se isso for necessário.
    2. Clique em administradore, no painel de navegação esquerdo, clique em domínios.
    3. Na lista de domínios, localize o nome de subdomínio federado e, em seguida, determine se a configuração de tipo de domínio está definida como Single Sign-on.
    4. Repita a etapa 1 para a etapa 3 para o domínio pai. Se a configuração de tipo de domínio difere da configuração de subdomínio, o subdomínio ficou órfão de seu pai.
  • Problemas de sincronização de diretório estão impedindo a configuração de conta de usuário adequada no local para sincronização com o Azure AD.

    O logon único (SSO) se baseia em contas de usuário idênticas representadas no Active Directory local e no Azure AD. A sincronização de diretórios é responsável por garantir que a mesma conta de usuário do Office 365 seja criada para cada conta de usuário local. A entrada pode falhar quando a sincronização de diretório não sincronizar as configurações de conta corretas do Active Directory local para o Azure AD.

Solução

Para resolver esse problema, use um ou mais dos seguintes métodos:

  • Certifique-se de que o UPN e a senha corretos são usados para entrar.

  • O UPN não é atualizado para contas federadas.

    Para obter mais informações sobre como resolver esse problema, confira o seguinte artigo da base de dados de conhecimento da Microsoft:

    2392130   Solucionar problemas de nome de usuário que ocorrem para usuários federados quando eles entram no Office 365, no Azure ou no Intune 

  • A conta de usuário do Office 365 não é licenciada para recursos do Office 365.

    Para resolver esse problema, use o portal do Office 365 para atribuir as licenças apropriadas às contas de usuário que exigem uma licença.

  • O subdomínio do Office 365 não herda as definições de Federação do domínio pai.

    Para resolver esse problema, remova o subdomínio do portal do Office 365. Para obter mais informações sobre como remover um domínio, acesse o seguinte site da Microsoft:

    Excluir um domínio

    Depois que o domínio for removido, será necessário recriar o domínio.

    Quando o domínio é recriado, o subdomínio herda a configuração de tipo de domínio do domínio pai.

    Observação A verificação de domínio usando registros TXT DNS ou registros MX não é necessária para a recriação de subdomínio porque o subdomínio é reconhecido como parte do domínio pai já verificado.

  • Problemas de sincronização de diretório impedem a configuração da conta de usuário local da sincronização adequada para o Windows Azure AD.

    Para determinar se uma incompatibilidade de conta ocorreu, siga estas etapas:

    1. Faça uma alteração secundária (arbitrária) na conta de usuário local do Active Directory.

    2. Forçar a sincronização de diretórios. Para obter mais informações sobre como forçar a sincronização, acesse o seguinte site da Microsoft:

      Forçar a sincronização de diretórios

      Para obter informações sobre como determinar se a sincronização foi bem-sucedida, vá para o seguinte site da Microsoft:

      Verificar a sincronização de diretórios

      Se as alterações secundárias não forem sincronizadas com a conta de usuário do Office 365, um problema de sincronização de diretório poderá causar esse problema.

      Observação A sincronização de diretórios pode ser sincronizada com êxito sem Atualizar o UPN do usuário para o valor apropriado se a conta de usuário já estiver licenciada.

      Para obter mais informações sobre como atualizar o UPN nesse caso, consulte o seguinte artigo da base de dados de conhecimento da Microsoft:

      2523192   Os nomes de usuário no Office 365, no Azure ou no Intune não correspondem à ID de logon alternativa ou de UPN local 

Informações adicionais

Ainda precisa de ajuda? Vá para comunidade da Microsoft ou site do Fórum do Azure Active Directory .