解决联合用户在 Office 365、Azure 或 Intune 中的帐户问题

备注

Office 365 ProPlus 正在重命名为 适用于企业的 Microsoft 365 应用。 有关此更改的详细信息, 请阅读此博客文章

问题

当您尝试使用联合帐户向 Microsoft 云服务(如 Office 365、Microsoft Azure 或 Microsoft Intune)进行身份验证时,身份验证不成功,并且会出现以下一个或多个问题:

  • 在登录提示符下,当您尝试使用联合用户名更新 Usernamefield 时,浏览器地址栏包含类似于以下示例的 URL,而不是包含"Sign in <AD FS endpoint name> at"链接的网页 https://login.microsoftonline.com/login.srf?.. :。

  • 在使用联合帐户登录并尝试访问云服务资源(如 Office 365、Outlook Web App、SharePoint Online 或 Skype for Business Online (以前为 Lync Online) )后,您收到以下错误消息:

    访问被拒绝

原因

如果仅某些用户帐户出现这些问题,则表明这些用户帐户在本地 Active Directory 环境中设置不正确。 在这种情况下,以下一个或多个项设置可能不正确:

  • 使用错误的用户主体 (UPN) 密码。

  • 不会为用户帐户更新 UPN。

    在这种情况下,必须更新每个标识联合帐户的 UPN 后缀以反映联合域名。 若要验证用户帐户 UPN,请按照以下步骤操作:

    1. 在本地 Active Directory 域控制器上,单击"开始",指向"所有程序",单击"管理工具",然后单击"Active Directory 用户和计算机"。
    2. 右键单击要更改的用户帐户,然后单击"属性"。
    3. 在"帐户"选项卡上,确保联合命名空间的 UPN 后缀在左上角的列表中列出,然后单击"确定"。
  • Office 365用户帐户未获得资源Office 365许可

    对Office 365用户帐户没有许可证的资源的访问权限受到限制。 若要检查用户帐户的许可证状态,请按照以下步骤操作:

    1. 使用管理员Office 365 () 登录 Office 365 https://portal.office.com 门户。 如果需要,可以使用管理帐户。

    2. 单击 " 管理 ",Office 365", 然后在左侧导航窗格中,单击"用户和组"。

    3. 在用户列表中,找到要测试的用户帐户,然后选择"显示 名称"。 检查每个用户帐户是否具有该资源所需的Office 365许可。

    4. 选中" 选择所有项目 "复选框。

      如果未列出要测试的用户帐户,则 Active Directory 同步可能会将该帐户同步到Azure Active Directory (Azure AD) 。

      注意 如果用户帐户具有本地邮箱,则Office 365邮箱。 此特定资源仍然不可用,即使用户帐户已获得许可,Exchange Online。

  • 子域不继承父域的联盟设置

    当子域(如 subdomain.contoso.com) 添加到其父域(例如 contoso.com) 之前时,子域将自动继承父域的联盟状态。 若要确定继承状态,请按照以下步骤操作:

    1. 使用管理员 https://portal.office.com Office 365 () 登录Office 365登录。 如果需要,可以使用管理帐户。
    2. 单击 "管理",然后在左侧导航窗格中,单击"域 "。
    3. 在域列表中,找到联合子域名称,然后确定是否将" 类型"设置设置为"单一登录"。
    4. 对父域重复步骤 1 至步骤 3。 如果"域类型"设置与子域设置不同,则子域已孤立于其父域。
  • 目录同步问题阻止了正确的本地用户帐户配置同步到Azure AD。

    SSO (单一) 依赖于在本地 Active Directory 和 Azure AD 中表示的相同用户帐户。 目录同步负责确保为Office 365用户帐户创建相同的目录同步。 如果目录同步未将正确的帐户设置从本地 Active Directory 同步到本地 Active Directory,登录Azure AD。

解决方案

若要解决此问题,请使用以下一种或多种方法:

  • 确保登录使用了正确的 UPN 和密码。

  • 不会为联合帐户更新 UPN。

    若要详细了解如何解决此问题,请参阅以下 Microsoft 知识库文章:

    2392130联合用户在登录到 Office 365、Azure 或 Intune 时发生的用户名问题疑难解答

  • the Office 365 user account isn't licensed for Office 365 resources.

    若要解决此问题,请使用 Office 365 门户向需要许可证的用户帐户分配相应的许可证。

  • Office 365域不继承父域的联盟设置。

    若要解决此问题,请从管理门户中删除Office 365域。 若要详细了解如何删除域,请转到以下 Microsoft 网站:

    删除域

    删除域后,必须重新创建域。

    在重新创建域时,子域将继承父域的"域类型"设置。

    注意 重新创建子域不需要使用 DNS TXT 记录或 MX 记录验证域,因为子域被识别为已验证的父域的一部分。

  • 目录同步问题阻止本地用户帐户配置正确同步到Windows Azure AD。

    若要确定是否发生了帐户不匹配,请按照以下步骤操作:

    1. 对内部 (Active Directory) 进行一些更改。

    2. 强制目录同步。 若要详细了解如何强制同步,请转到以下 Microsoft 网站:

      强制目录同步

      若要了解如何确定同步是否成功,请转到以下 Microsoft 网站:

      验证目录同步

      如果次要更改未同步到Office 365用户帐户,则目录同步问题可能导致此问题。

      注意 如果用户帐户已获得许可,则目录同步可能会成功同步,而不会将用户的 UPN 更新为相应的值。

更多信息

仍然需要帮助? 转到 Microsoft 社区Azure Active Directory 论坛网站。