Problemas de conta para utilizadores federados no Office 365, Azure ou Intune

Nota

O Office 365 ProPlus está a ser renomeado para Aplicações do Microsoft 365 para empresas. Para obter mais informações sobre essa alteração, leia este post no blog.

Problema

Quando tenta autenticar para um Microsoft um serviço de cloud como o Office 365, Microsoft Azure ou Microsoft Intune utilizando uma conta federada, a autenticação não tem sucesso e ocorre um ou mais dos seguintes problemas:

  • Na operação de início de sposição, quando tenta atualizar o Usernamefield utilizando um nome de utilizador federado, a barra de endereços do navegador contém um URL que se assemelha ao seguinte exemplo, em vez de uma página web que inclui um link "Iniciar <AD FS endpoint name> sposição em" https://login.microsoftonline.com/login.srf?.. link: .

  • Depois de iniciar sação usando uma conta federada e tentar aceder a um recurso de serviço na nuvem, como o Office 365, Outlook Web App, SharePoint Online ou Skype for Business Online (anteriormente Lync Online), obtém a seguinte mensagem de erro:

    Acesso Negado

Causa

Se estes problemas ocorrerem apenas para algumas contas de utilizador, isto indica que essas contas de utilizador são provavelmente configurada incorretamente no ambiente de Ative Directory no local. Neste cenário, um ou mais dos seguintes itens podem ser configurado incorretamente:

  • O nome principal do utilizador errado (UPN) e a palavra-passe estão a ser usados.

  • A UPN não está atualizada para contas de utilizadores.

    Neste caso, o sufixo UPN para cada conta federada de identidade deve ser atualizado para refletir o nome de domínio federado. Para verificar uma conta de utilizador UPN, siga estes passos:

    1. No controlador de domínio ative local, clique em Iniciar, aponte para Todos os Programas, clique em Ferramentas Administrativas e, em seguida, clique em Utilizadores e Computadores de Diretório Ativo.
    2. Clique com o botão direito na conta de utilizador que pretende alterar e, em seguida, clique em Propriedades.
    3. No separador Conta, certifique-se de que o sufixo UPN do espaço de nome federado está listado na lista no canto superior esquerdo e, em seguida, clique em OK.
  • A conta de utilizador do Office 365 não está licenciada para o recurso Office 365

    O acesso aos recursos do Office 365 para os quais a conta de utilizador não tem licença é restrito. Para verificar o estado da licença de uma conta de utilizador, siga estes passos:

    1. Inscreva-se no portal do Office 365 https://portal.office.com através de uma conta de utilizador administrada do Office 365. Pode utilizar uma conta gerida se for necessário.

    2. Clique em Admin, clique no Office 365, e depois no painel de navegação esquerdo, clique nos utilizadores e grupos.

    3. Na lista de utilizadores, localize as contas do utilizador que pretende testar e, em seguida, selecione o Nome de Exibição. Verifique se cada conta de utilizador tem o licenciamento necessário para o recurso Office 365.

    4. Selecione a caixa de verificação de todos os itens.  

      Se uma conta de utilizador que pretende testar não estiver listada, a sincronização do Ative Directory pode estar a sincronizar a conta para o Azure Ative Directory (Azure AD).

      Nota Se a conta de utilizador tiver uma caixa de correio no local, não é criada uma caixa de correio do Office 365. Este recurso específico permanece indisponível, mesmo quando a conta de utilizador é licenciada para Exchange Online.

  • Subdomínio não herda as configurações da federação de domínio dos pais

    Quando um subdomínio, como subdomain.contoso.com, é adicionado antes do seu domínio-mãe, por exemplo contoso.com, o subdomínio herda automaticamente o estatuto de federação do domínio-mãe. Para determinar o estado da herança, siga estes passos:

    1. Inscreva-se no Office 365 ( https://portal.office.com ) utilizando uma conta de utilizador administrada do Office 365. Pode utilizar uma conta gerida se for necessário.
    2. Clique em Administraçãoe, em seguida, no painel de navegação esquerdo, clique em Domínios.
    3. Na lista de domínios, localize o nome do subdomínio federado e, em seguida, determine se a definição do tipo de domínio está definida para Único Sinal-On.
    4. Repita o passo 1 para o passo 3 para o domínio dos pais. Se a definição do tipo de domínio diferir da definição do subdomínio, o subdomínio foi órfão do seu progenitor.
  • Os problemas de sincronização do diretório estão a impedir que a configuração adequada da conta de utilizador no local se sincronize com a Azure AD.

    O sign-on único (SSO) baseia-se em contas de utilizador idênticas que estão representadas tanto no Ative Directory como no Azure AD. A sincronização do diretório é responsável por garantir que a mesma conta de utilizador do Office 365 é criada para cada conta de utilizador no local. O súdin pode falhar quando a sincronização do diretório não sincronizar as definições de conta corretas do Diretório Ativo no local para o Azure AD.

Solução

Para resolver esta questão, utilize um ou mais dos seguintes métodos:

  • Certifique-se de que a UPN e a palavra-passe corretas são utilizadas para iniciar sção.

  • A UPN não está atualizada para contas federadas.

    Para obter mais informações sobre como resolver este problema, consulte o seguinte artigo da Base de Conhecimento do Microsoft:

    2392130   Problemas de identificação de utilizador que ocorrem para utilizadores federados quando fazem sessão no Office 365, Azure ou Intune 

  • A conta de utilizador do Office 365 não está licenciada para os recursos do Office 365.

    Para resolver este problema, utilize o portal Office 365 para atribuir as licenças adequadas às contas de utilizador que requerem uma licença.

  • O subdomínio do Office 365 não herda as definições da federação de domínio dos pais.

    Para resolver este problema, retire o subdomínio do portal Office 365. Para obter mais informações sobre como remover um domínio, aceda ao seguinte website da Microsoft:

    Remover um domínio

    Depois de o domínio ser removido, tem de recriar o domínio.

    Quando o domínio é recriado, o subdomínio herda a definição do tipo de domínio principal.

    Nota A verificação de domínio utilizando registos DNS TXT ou MX não é necessária para a recriação do subdomínio porque o subdomínio é reconhecido como parte do domínio principal já verificado.

  • Os problemas de sincronização do diretório impedem que a configuração da conta de utilizador no local se sincronize adequadamente para o Windows Azure AD.

    Para determinar se ocorreu um desfasamento da conta, siga estes passos:

    1. Faça uma alteração menor (arbitrária) na conta de utilizador ative do Diretório no local.

    2. Sincronização do diretório de força. Para obter mais informações sobre como forçar a sincronização, aceda ao seguinte website da Microsoft:

      Sincronização do diretório de força

      Para obter informações sobre como determinar se a sincronização foi bem sucedida, aceda ao seguinte website da Microsoft:

      Verificar sincronização de diretórios

      Se não forem sincronizadas pequenas alterações na conta de utilizador do Office 365, um problema de sincronização de diretórios pode causar este problema.

      Nota A sincronização do diretório pode sincronizar com sucesso sem atualizar a UPN do utilizador para o valor apropriado se a conta de utilizador já estiver licenciada.

      Para obter mais informações sobre como atualizar a UPN neste caso, consulte o seguinte artigo da Base de Conhecimento do Microsoft:

      2523192   Os nomes de utilizador no Office 365, Azure ou Intune não correspondem ao UPN no local ou ao ID de login alternativo 

Mais Informações

Ainda necessita de ajuda? Vá ao Microsoft Community ou ao website Azure Ative Directory Forums.