解决联合用户在 Office 365、Azure 或 Intune 中的帐户问题
备注
Office 365 ProPlus 正在重命名为 适用于企业的 Microsoft 365 应用。 有关此更改的详细信息, 请阅读此博客文章。
问题
当您尝试使用联合帐户向 Microsoft 云服务(如 Office 365、Microsoft Azure 或 Microsoft Intune)进行身份验证时,身份验证不成功,并且会出现以下一个或多个问题:
在登录提示符下,当您尝试使用联合用户名更新 Usernamefield 时,浏览器地址栏包含类似于以下示例的 URL,而不是包含"Sign in <AD FS endpoint name> at"链接的网页 https://login.microsoftonline.com/login.srf?.. :。
在使用联合帐户登录并尝试访问云服务资源(如 Office 365、Outlook Web App、SharePoint Online 或 Skype for Business Online (以前为 Lync Online) )后,您收到以下错误消息:
访问被拒绝
原因
如果仅某些用户帐户出现这些问题,则表明这些用户帐户在本地 Active Directory 环境中设置不正确。 在这种情况下,以下一个或多个项设置可能不正确:
使用错误的用户主体 (UPN) 密码。
不会为用户帐户更新 UPN。
在这种情况下,必须更新每个标识联合帐户的 UPN 后缀以反映联合域名。 若要验证用户帐户 UPN,请按照以下步骤操作:
- 在本地 Active Directory 域控制器上,单击"开始",指向"所有程序",单击"管理工具",然后单击"Active Directory 用户和计算机"。
- 右键单击要更改的用户帐户,然后单击"属性"。
- 在"帐户"选项卡上,确保联合命名空间的 UPN 后缀在左上角的列表中列出,然后单击"确定"。
Office 365用户帐户未获得资源Office 365许可
对Office 365用户帐户没有许可证的资源的访问权限受到限制。 若要检查用户帐户的许可证状态,请按照以下步骤操作:
使用管理员Office 365 () 登录 Office 365 https://portal.office.com 门户。 如果需要,可以使用管理帐户。
单击 " 管理 ",Office 365", 然后在左侧导航窗格中,单击"用户和组"。
在用户列表中,找到要测试的用户帐户,然后选择"显示 名称"。 检查每个用户帐户是否具有该资源所需的Office 365许可。
选中" 选择所有项目 "复选框。
如果未列出要测试的用户帐户,则 Active Directory 同步可能会将该帐户同步到Azure Active Directory (Azure AD) 。
注意 如果用户帐户具有本地邮箱,则Office 365邮箱。 此特定资源仍然不可用,即使用户帐户已获得许可,Exchange Online。
子域不继承父域的联盟设置
当子域(如 subdomain.contoso.com) 添加到其父域(例如 contoso.com) 之前时,子域将自动继承父域的联盟状态。 若要确定继承状态,请按照以下步骤操作:
- 使用管理员 https://portal.office.com Office 365 () 登录Office 365登录。 如果需要,可以使用管理帐户。
- 单击 "管理",然后在左侧导航窗格中,单击"域 "。
- 在域列表中,找到联合子域名称,然后确定是否将"域 类型"设置设置为"单一登录"。
- 对父域重复步骤 1 至步骤 3。 如果"域类型"设置与子域设置不同,则子域已孤立于其父域。
目录同步问题阻止了正确的本地用户帐户配置同步到Azure AD。
SSO (单一) 依赖于在本地 Active Directory 和 Azure AD 中表示的相同用户帐户。 目录同步负责确保为Office 365用户帐户创建相同的目录同步。 如果目录同步未将正确的帐户设置从本地 Active Directory 同步到本地 Active Directory,登录Azure AD。
解决方案
若要解决此问题,请使用以下一种或多种方法:
确保登录使用了正确的 UPN 和密码。
不会为联合帐户更新 UPN。
若要详细了解如何解决此问题,请参阅以下 Microsoft 知识库文章:
2392130联合用户在登录到 Office 365、Azure 或 Intune 时发生的用户名问题疑难解答
the Office 365 user account isn't licensed for Office 365 resources.
若要解决此问题,请使用 Office 365 门户向需要许可证的用户帐户分配相应的许可证。
Office 365域不继承父域的联盟设置。
若要解决此问题,请从管理门户中删除Office 365域。 若要详细了解如何删除域,请转到以下 Microsoft 网站:
删除域后,必须重新创建域。
在重新创建域时,子域将继承父域的"域类型"设置。
注意 重新创建子域不需要使用 DNS TXT 记录或 MX 记录验证域,因为子域被识别为已验证的父域的一部分。
目录同步问题阻止本地用户帐户配置正确同步到Windows Azure AD。
若要确定是否发生了帐户不匹配,请按照以下步骤操作:
更多信息
仍然需要帮助? 转到 Microsoft 社区或 Azure Active Directory 论坛网站。