Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Problema
Quando você tenta autenticar em um serviço de nuvem da Microsoft, como o Microsoft 365, o Microsoft Azure ou o Microsoft Intune usando uma conta federada, a autenticação não tem êxito e ocorre um ou mais dos seguintes problemas:
No prompt de entrada, quando você tenta atualizar o Usernamefield usando um nome de usuário federado, a barra de endereços do navegador contém uma URL semelhante ao exemplo a seguir, em vez de uma página da Web que inclui um link "Entrar no <nome> do ponto de extremidade do AD FS":
https://login.microsoftonline.com/login.srf?...Depois de entrar usando uma conta federada e tentar acessar um recurso de serviço de nuvem, como o Microsoft 365, o Outlook Web App, o SharePoint Online ou o Skype for Business Online (antigo Lync Online), você receberá a seguinte mensagem de erro:
Acesso negado
Motivo
Se esses problemas ocorrerem apenas para algumas contas de usuário, isso indicará que essas contas de usuário provavelmente serão configuradas incorretamente no ambiente do Active Directory local. Nesse cenário, um ou mais dos seguintes itens podem ser configurados incorretamente:
O nome principal de usuário (UPN) incorreto e a senha estão sendo usados.
O UPN não é atualizado para contas de usuário.
Nesse caso, o sufixo UPN para cada conta federada por identidade deve ser atualizado para refletir o nome de domínio federado. Para verificar um UPN de conta de usuário, siga estas etapas:
- No controlador de domínio local do Active Directory, clique em Iniciar, aponte para Todos os Programas, clique em Ferramentas Administrativas e clique em Usuários e Computadores do Active Directory.
- Clique com o botão direito do mouse na conta de usuário que você deseja alterar e clique em Propriedades.
- Na guia Conta, verifique se o sufixo UPN do namespace federado está listado na lista no canto superior esquerdo e clique em OK.
A conta de usuário do Microsoft 365 não está licenciada para o recurso do Microsoft 365
O acesso aos recursos do Microsoft 365 para os quais a conta de usuário não tem uma licença é restrito. Para verificar o status da licença de uma conta de usuário, siga estas etapas:
Entre no portal do Microsoft 365 (https://portal.office.com) usando uma conta de usuário administrador do Microsoft 365. Você pode usar uma conta gerenciada se ela for necessária.
Selecione Administrador e, no painel de navegação esquerdo, selecione Usuários.
Na lista de usuários, localize as contas de usuário que você deseja testar e selecione Nome de Exibição. Verifique se cada conta de usuário tem o licenciamento necessário para o recurso do Microsoft 365.
Marque a caixa de seleção Selecionar todos os itens .
Se uma conta de usuário que você deseja testar não estiver listada, a sincronização do Active Directory poderá estar sincronizando a conta com a ID do Microsoft Entra.
Observação Se a conta de usuário tiver uma caixa de correio local, uma caixa de correio do Microsoft 365 não será criada. Esse recurso específico permanece indisponível, mesmo quando a conta de usuário é licenciada para o Exchange Online.
O subdomínio não herda as configurações de federação do domínio pai
Quando um subdomínio, como subdomain.contoso.com, é adicionado antes de seu domínio pai, por exemplo , contoso.com, o subdomínio herda automaticamente o status de federação do domínio pai. Para determinar o status da herança, siga estas etapas:
- Entre no Microsoft 365 (https://portal.office.com) usando uma conta de usuário administrador do Microsoft 365. Você pode usar uma conta gerenciada se isso for necessário.
- Clique em Administrador e, no painel de navegação esquerdo, clique em Domínios.
- Na lista de domínios, localize o nome do subdomínio federado e determine se a configuração de tipo de domínio está definida como Logon Único.
- Repita do passo 1 ao passo 3 para o domínio pai. Se a configuração de tipo de domínio for diferente da configuração de subdomínio, o subdomínio será órfão de seu pai.
Os problemas de sincronização de diretório estão impedindo que a configuração de conta de usuário local adequada sincronize com a ID do Microsoft Entra.
O SSO (logon único) depende de contas de usuário idênticas que estão sendo representadas no Active Directory local e na ID do Microsoft Entra. A sincronização de diretório é responsável por garantir que a mesma conta de usuário do Microsoft 365 seja criada para cada conta de usuário local. O login pode falhar quando a sincronização de diretórios não sincroniza as configurações corretas de conta do Active Directory local para o Microsoft Entra ID.
Solução
Para resolver esse problema, use um ou mais dos seguintes métodos:
Verifique se o UPN e a senha corretos são usados para entrar.
O UPN não é atualizado para contas federadas.
Para obter mais informações sobre como resolver esse problema, consulte o seguinte artigo da Base de Dados de Conhecimento da Microsoft:
2392130 Solucionar problemas de nome de usuário que ocorrem para usuários federados quando eles entram no Microsoft 365, Azure ou Intune
A conta de usuário do Microsoft 365 não está licenciada para recursos do Microsoft 365.
Para resolver esse problema, use o portal do Microsoft 365 para atribuir as licenças apropriadas às contas de usuário que exigem uma licença.
O subdomínio do Microsoft 365 não herda as configurações de federação do domínio pai.
Para resolver esse problema, remova o subdomínio do portal do Microsoft 365. Para obter mais informações sobre como remover um domínio, acesse o seguinte site da Microsoft:
Depois que o domínio for removido, você precisará recriar o domínio.
Quando o domínio é recriado, o subdomínio herda a configuração de tipo de domínio pai.
Nota A verificação de domínio usando registros TXT DNS ou registros MX não é necessária para a recriação do subdomínio porque o subdomínio é reconhecido como parte do domínio pai já verificado.
Problemas de sincronização de diretório impedem que a configuração da conta de usuário local seja sincronizada corretamente com o Windows Azure AD.
Para determinar se ocorreu uma incompatibilidade de conta, siga estas etapas:
Faça uma alteração secundária (arbitrária) na conta de usuário local do Active Directory.
Forçar a sincronização de diretórios. Para obter mais informações sobre como forçar a sincronização, acesse o seguinte site da Microsoft:
Forçar sincronização de diretório
Para obter informações sobre como determinar se a sincronização foi bem-sucedida, acesse o seguinte site da Microsoft:
Verificar sincronização de diretório
Se pequenas alterações não forem sincronizadas com a conta de usuário do Microsoft 365, um problema de sincronização de diretório poderá causar esse problema.
Nota A sincronização de diretório pode ser sincronizada com êxito sem atualizar o UPN do usuário para o valor apropriado se a conta de usuário já estiver licenciada.
Mais informações
Ainda precisa de ajuda? Acesse Microsoft Community ou o site Microsoft Entra Forums.