Řešení potíží s účtem pro federované uživatele v Microsoftu 365, Azure nebo Intune

Problém

Při pokusu o ověření v cloudové službě Microsoftu, jako je Microsoft 365, Microsoft Azure nebo Microsoft Intune pomocí federovaného účtu, ověření nebude úspěšné a dojde k jednomu nebo několika následujícím problémům:

  • Při pokusu o aktualizaci uživatelského jména pomocí federovaného uživatelského jména na příkazovém řádku přihlášení obsahuje adresní řádek prohlížeče adresu URL, která se podobá následujícímu příkladu, místo webové stránky, která obsahuje odkaz Přihlásit se v <názvu> koncového bodu služby AD FS: https://login.microsoftonline.com/login.srf?...

  • Po přihlášení pomocí federovaného účtu a pokusu o přístup k prostředku cloudové služby, jako je Microsoft 365, Outlook Web App, SharePoint Online nebo Skype pro firmy Online (dříve Lync Online), se zobrazí následující chybová zpráva:

    Přístup byl odepřen.

Příčina

Pokud k těmto problémům dochází pouze u některých uživatelských účtů, znamená to, že tyto uživatelské účty jsou pravděpodobně nesprávně nastaveny v místní Active Directory prostředí. V tomto scénáři může být nesprávně nastavena jedna nebo více následujících položek:

  • Používá se nesprávný hlavní název uživatele (UPN) a heslo.

  • Hlavní název uživatele (UPN) se pro uživatelské účty neaktualizuje.

    V takovém případě je nutné aktualizovat příponu HLAVNÍHO NÁZVU uživatele pro každý federovaný účet identity tak, aby odrážela název federované domény. Pokud chcete ověřit hlavní název uživatele (UPN) uživatelského účtu, postupujte takto:

    1. Na místním řadiči domény služby Active Directory klepněte na tlačítko Start, přejděte na příkaz Všechny programy, klepněte na položku Nástroje pro správu a klepněte na tlačítko Uživatelé a počítače služby Active Directory.
    2. Klikněte pravým tlačítkem myši na uživatelský účet, který chcete změnit, a potom klikněte na příkaz Vlastnosti.
    3. Na kartě Účet se ujistěte, že je v seznamu v levém horním rohu uvedena přípona hlavního názvu uživatele (UPN) federovaného oboru názvů, a potom klikněte na tlačítko OK.
  • Uživatelský účet Microsoft 365 není licencovaný pro prostředek Microsoft 365

    Přístup k prostředkům Microsoftu 365, pro které uživatelský účet nemá licenci, je omezený. Pokud chcete zkontrolovat stav licence pro uživatelský účet, postupujte takto:

    1. Přihlaste se k portálu Microsoft 365 (https://portal.office.com) pomocí uživatelského účtu správce Microsoftu 365. Pokud je to potřeba, můžete použít spravovaný účet.

    2. Vyberte Správa a v levém navigačním podokně vyberte Uživatelé.

    3. V seznamu uživatelů vyhledejte uživatelské účty, které chcete otestovat, a pak vyberte Zobrazované jméno. Zkontrolujte, že každý uživatelský účet má požadované licencování pro prostředek Microsoft 365.

    4. Zaškrtněte políčko Vybrat všechny položky .

      Pokud uživatelský účet, který chcete otestovat, není uvedený v seznamu, synchronizace služby Active Directory pravděpodobně synchronizuje účet se službou Azure Active Directory (Azure AD).

      Poznámka: Pokud má uživatelský účet místní poštovní schránku, nevytvoří se poštovní schránka Microsoftu 365. Tento konkrétní prostředek zůstává nedostupný, i když má uživatelský účet licenci pro Exchange Online.

  • Subdoména nedědí nastavení federace nadřazené domény

    Když se před nadřazenou doménu přidá subdoména, například subdomain.contoso.com contoso.com, subdoména automaticky zdědí stav federace nadřazené domény. Pokud chcete zjistit stav dědičnosti, postupujte takto:

    1. Přihlaste se k Microsoftu 365 (https://portal.office.com) pomocí uživatelského účtu správce Microsoftu 365. Pokud je to potřeba, můžete použít spravovaný účet.
    2. Klikněte na Správa a v levém navigačním podokně klikněte na Domény.
    3. V seznamu domén vyhledejte název federované subdomény a pak určete, zda je nastavení typu domény nastaveno na jednotné přihlašování.
    4. Opakujte krok 1 až krok 3 pro nadřazenou doménu. Pokud se nastavení typu domény liší od nastavení subdomény, subdoména je osamocena od nadřazené domény.
  • Problémy se synchronizací adresářů brání místní synchronizaci správné konfigurace uživatelského účtu do Azure AD.

    Jednotné přihlašování (SSO) spoléhá na to, že identické uživatelské účty jsou reprezentované v místní Active Directory i v Azure AD. Synchronizace adresářů zodpovídá za to, že se pro každý místní uživatelský účet vytvoří stejný uživatelský účet Microsoft 365. Přihlášení může selhat, pokud synchronizace adresářů nesynchronizuje správné nastavení účtu z místní Active Directory do Azure AD.

Řešení

Chcete-li tento problém vyřešit, použijte jednu nebo více z následujících metod:

  • Ujistěte se, že se pro přihlášení používá správný hlavní název uživatele (UPN) a heslo.

  • Hlavní název uživatele (UPN) se neaktualizuje pro federované účty.

    Další informace o řešení tohoto problému najdete v následujícím článku znalostní báze Microsoft Knowledge Base:

    2392130 řešení potíží s uživatelským jménem, ke kterým dochází u federovaných uživatelů při přihlášení k Microsoftu 365, Azure nebo Intune

  • Uživatelský účet Microsoft 365 není licencovaný pro prostředky Microsoftu 365.

    Pokud chcete tento problém vyřešit, pomocí portálu Microsoft 365 přiřaďte příslušné licence uživatelským účtům, které vyžadují licenci.

  • Subdoména Microsoftu 365 nedědí nastavení federace nadřazené domény.

    Pokud chcete tento problém vyřešit, odeberte subdoménu z portálu Microsoft 365. Další informace o tom, jak odebrat doménu, najdete na následujícím webu společnosti Microsoft:

    Odebrání domény

    Po odebrání domény musíte doménu znovu vytvořit.

    Při opětovném vytvoření domény zdědí subdoména nastavení typu domény nadřazené domény.

    Poznámka Ověření domény pomocí záznamů DNS TXT nebo ZÁZNAMŮ MX se pro opětovné vytvoření subdomény nevyžaduje, protože subdoména je rozpoznána jako součást již ověřené nadřazené domény.

  • Problémy se synchronizací adresářů brání správné synchronizaci konfigurace místního uživatelského účtu s Windows Azure AD.

    Pokud chcete zjistit, jestli došlo k neshodě účtu, postupujte takto:

    1. Proveďte menší (libovolnou) změnu uživatelského účtu místní Active Directory.

    2. Vynuťte synchronizaci adresářů. Další informace o vynucení synchronizace najdete na následujícím webu společnosti Microsoft:

      Vynucení synchronizace adresářů

      Informace o tom, jak zjistit, zda byla synchronizace úspěšná, najdete na následujícím webu společnosti Microsoft:

      Ověření synchronizace adresářů

      Pokud se menší změny nesynchronizují s uživatelským účtem Microsoft 365, může tento problém způsobit problém se synchronizací adresářů.

      Poznámka Synchronizace adresářů se může úspěšně synchronizovat bez aktualizace hlavního názvu uživatele (UPN) na příslušnou hodnotu, pokud už má uživatelský účet licenci.

Další informace

Stále potřebujete pomoc? Přejděte na stránku Komunita Microsoft nebo Azure Active Directory Forums.