登录 Microsoft 应用程序时出现的问题

Microsoft 应用程序(如 Office 365 Exchange、SharePoint、Yammer 等)的分配和管理与集成到 Azure AD 以进行单一登录的第三方 SaaS 应用程序或其他应用程序略有不同。

用户访问 Microsoft 发布的应用程序的方法主要有三种。

  • 对于 Office 365 或其他付费套件中的应用程序,可以通过许可证分配直接向用户的用户帐户授予访问权限,也可以使用基于组的许可证分配功能通过组授予用户访问权限。

  • 对于 Microsoft 或第三方发布的可供任何人免费使用的应用程序,可以通过用户许可授予用户访问权限。 这意味着他们使用其 Azure AD 工作或学校帐户登录到应用程序,并允许它访问其帐户上一些受限制的数据集。

  • 对于 Microsoft 或第三方发布的可供任何人免费使用的应用程序,还可以通过管理员许可授予用户访问权限。 这意味着管理员已确定组织中的所有人都可以使用此应用程序,因此他们使用全局管理员帐户可以登录到应用程序并向组织中所有人授予访问权限。

要解决问题,请从对于应用程序访问要考虑的常规问题区域开始,并阅读演练:对 Microsoft 应用程序访问进行故障排除的步骤了解详细信息。

对于应用程序访问要考虑的常规问题区域

如果知道从何处着手,以下列表提供了需要深入了解的常规问题区域,但我们建议阅读以下演练以便快速开始操作:演练:对 Microsoft 应用程序访问进行故障排除的步骤

对 Microsoft 应用程序访问进行故障排除的步骤

下面是当用户无法登录到 Microsoft 应用程序时遇到的一些常见问题。

用户帐户问题

由于已分配到应用程序的用户出现问题,应用程序访问可能会遭到阻止。 下面是可以用来排除和解决用户及其帐户设置存在的问题的一些方法:

检查在 Azure Active Directory 中是否存在用户帐户

若要检查是否存在某个用户帐户,请执行以下步骤:

  1. 打开 Azure 门户,并以“全局管理员”身份登录。

  2. 在左侧主导航菜单顶部单击“所有服务”,打开“Azure Active Directory”。

  3. 在筛选器搜索框中键入“Azure Active Directory”,选择“Azure Active Directory”项。

  4. 在导航菜单中单击“用户”。

  5. 单击“所有用户”。

  6. 搜索感兴趣的用户,并单击对应的行进行选择。

  7. 检查用户对象的属性,确保它们看上去与预期一致并且未丢失任何数据。

检查用户帐户的状态

若要检查用户帐户的状态,请执行以下步骤:

  1. 打开 Azure 门户,并以“全局管理员”身份登录。

  2. 在左侧主导航菜单顶部单击“所有服务”,打开“Azure Active Directory”。

  3. 在筛选器搜索框中键入“Azure Active Directory”,选择“Azure Active Directory”项。

  4. 在导航菜单中单击“用户”。

  5. 单击“所有用户”。

  6. 搜索感兴趣的用户,并单击对应的行进行选择。

  7. 单击“配置文件”。

  8. 在“设置”下,确保“阻止登录”设置为“否”。

重置用户的密码

若要重置用户的密码,请执行以下步骤:

  1. 打开 Azure 门户,并以“全局管理员”身份登录。

  2. 在左侧主导航菜单顶部单击“所有服务”,打开“Azure Active Directory”。

  3. 在筛选器搜索框中键入“Azure Active Directory”,选择“Azure Active Directory”项。

  4. 在导航菜单中单击“用户”。

  5. 单击“所有用户”。

  6. 搜索感兴趣的用户,并单击对应的行进行选择。

  7. 单击用户窗格顶部的“重置密码”按钮。

  8. 在出现的“重置密码”窗格上,单击“重置密码”按钮。

  9. 为用户复制临时密码输入新密码

  10. 告知用户此新密码,在他们下一次登录到 Azure Active Directory 时,需要更改此密码。

检查用户的多重身份验证状态

若要检查用户的多重身份验证状态,请执行以下步骤:

  1. 打开 Azure 门户,并以“全局管理员”身份登录。

  2. 在左侧主导航菜单顶部单击“所有服务”,打开“Azure Active Directory”。

  3. 在筛选器搜索框中键入“Azure Active Directory”,选择“Azure Active Directory”项。

  4. 在导航菜单中单击“用户”。

  5. 单击“所有用户”。

  6. 单击窗格顶部的“多重身份验证”按钮。

  7. 多重身份验证管理门户加载后,确保位于“用户”选项卡上。

  8. 通过搜索、筛选或排序在用户列表中找到用户。

  9. 从用户列表中选择用户,根据需要启用禁用强制执行多重身份验证。

    • 注意:如果用户处于已强制执行状态,可暂时将其设置为已禁用以允许用户重新登录到其帐户。 一旦他们重新登录到帐户,便可以再次将其状态更改为已启用来要求他们在下次登录期间重新注册联系信息。 此外,也可以按照检查用户的身份验证联系信息中的步骤为其验证或设置此数据。

检查用户的身份验证联系信息

若要检查用于多重身份验证和密码重置的用户身份验证联系信息,请执行以下步骤:

  1. 打开 Azure 门户,并以“全局管理员”身份登录。

  2. 在左侧主导航菜单顶部单击“所有服务”,打开“Azure Active Directory”。

  3. 在筛选器搜索框中键入“Azure Active Directory”,选择“Azure Active Directory”项。

  4. 在导航菜单中单击“用户”。

  5. 单击“所有用户”。

  6. 搜索感兴趣的用户,并单击对应的行进行选择。

  7. 单击“配置文件”。

  8. 向下滚动到“身份验证联系信息”。

  9. 查看为用户注册的数据并根据需要进行更新。

检查用户的组成员身份

若要检查用户的组成员身份,请执行以下步骤:

  1. 打开 Azure 门户,并以“全局管理员”身份登录。

  2. 在左侧主导航菜单顶部单击“所有服务”,打开“Azure Active Directory”。

  3. 在筛选器搜索框中键入“Azure Active Directory”,选择“Azure Active Directory”项。

  4. 在导航菜单中单击“用户”。

  5. 单击“所有用户”。

  6. 搜索感兴趣的用户,并单击对应的行进行选择。

  7. 单击“组”查看用户所属的组。

检查用户的已分配许可证

若要检查用户的已分配许可证,请执行以下步骤:

  1. 打开 Azure 门户,并以“全局管理员”身份登录。

  2. 在左侧主导航菜单顶部单击“所有服务”,打开“Azure Active Directory”。

  3. 在筛选器搜索框中键入“Azure Active Directory”,选择“Azure Active Directory”项。

  4. 在导航菜单中单击“用户”。

  5. 单击“所有用户”。

  6. 搜索感兴趣的用户,并单击对应的行进行选择。

  7. 单击“许可证”查看当前已分配给用户的许可证。

为用户分配许可证

若要将许可证分配给用户,请执行以下步骤:

  1. 打开 Azure 门户,并以“全局管理员”身份登录。

  2. 在左侧主导航菜单顶部单击“所有服务”,打开“Azure Active Directory”。

  3. 在筛选器搜索框中键入“Azure Active Directory”,选择“Azure Active Directory”项。

  4. 在导航菜单中单击“用户”。

  5. 单击“所有用户”。

  6. 搜索感兴趣的用户,并单击对应的行进行选择。

  7. 单击“许可证”查看当前已分配给用户的许可证。

  8. 单击“分配”按钮。

  9. 从可用产品列表中选择一个或多个产品

  10. 可选单击“分配选项”项精确分配产品。 完成此操作后,单击“确定”。

  11. 单击“分配”按钮,将这些许可证分配给此用户。

组问题

由于已分配到应用程序的组出现问题,应用程序访问可能会遭到阻止。 下面是可以用来进行故障排除并解决组和组成员身份问题的一些方法:

检查组的成员身份

若要检查组的成员身份,请执行以下步骤:

  1. 打开 Azure 门户,并以“全局管理员”身份登录。

  2. 在左侧主导航菜单顶部单击“所有服务”,打开“Azure Active Directory”。

  3. 在筛选器搜索框中键入“Azure Active Directory”,选择“Azure Active Directory”项。

  4. 在导航菜单中单击“组”。

  5. 单击“所有组”。

  6. 搜索感兴趣的组,并单击对应的行进行选择。

  7. 单击“成员”查看分配到此组的用户列表。

检查组的已分配许可证

若要检查组的已分配许可证,请执行以下步骤:

  1. 打开 Azure 门户,并以“全局管理员”身份登录。

  2. 在左侧主导航菜单顶部单击“所有服务”,打开“Azure Active Directory”。

  3. 在筛选器搜索框中键入“Azure Active Directory”,选择“Azure Active Directory”项。

  4. 在导航菜单中单击“组”。

  5. 单击“所有组”。

  6. 搜索感兴趣的组,并单击对应的行进行选择。

  7. 单击“许可证”查看当前已分配给组的许可证。

重新处理组的许可证

若要重新处理组的已分配许可证,请执行以下步骤:

  1. 打开 Azure 门户,并以“全局管理员”身份登录。

  2. 在左侧主导航菜单顶部单击“所有服务”,打开“Azure Active Directory”。

  3. 在筛选器搜索框中键入“Azure Active Directory”,选择“Azure Active Directory”项。

  4. 在导航菜单中单击“组”。

  5. 单击“所有组”。

  6. 搜索感兴趣的组,并单击对应的行进行选择。

  7. 单击“许可证”查看当前已分配给组的许可证。

  8. 单击“重新处理”按钮,确保分配给此组成员的许可证是最新许可证。 这可能需要较长时间,具体取决于组的大小和复杂程度。

    Note

    要更快地执行此操作,可考虑暂时会许可证直接分配给用户。 为用户分配许可证

为组分配许可证

若要将许可证分配给组,请执行以下步骤:

  1. 打开 Azure 门户,并以“全局管理员”身份登录。

  2. 在左侧主导航菜单顶部单击“所有服务”,打开“Azure Active Directory”。

  3. 在筛选器搜索框中键入“Azure Active Directory”,选择“Azure Active Directory”项。

  4. 在导航菜单中单击“组”。

  5. 单击“所有组”。

  6. 搜索感兴趣的组,并单击对应的行进行选择。

  7. 单击“许可证”查看当前已分配给组的许可证。

  8. 单击“分配”按钮。

  9. 从可用产品列表中选择一个或多个产品

  10. 可选单击“分配选项”项精确分配产品。 完成此操作后,单击“确定”。

  11. 单击“分配”按钮,将这些许可证分配给此组。 这可能需要较长时间,具体取决于组的大小和复杂程度。

    Note

    要更快地执行此操作,可考虑暂时会许可证直接分配给用户。 为用户分配许可证

由于相应的权限许可操作并未发生,应用程序访问可能会遭到阻止。 下面是可以用来进行故障排除并解决应用程序许可问题的一些方法:

  • 对于需要权限的任何已启用 Open ID Connect 的应用程序,导航到应用程序的登录屏幕都会面向已登录用户为应用程序执行用户级许可。
  • 对于仅使用 V1 应用程序模型开发的应用程序,可通过在应用程序的登录 URL 末尾添加“?prompt=admin_consent”强制执行此管理员级许可。
  • 对于请求权限的单租户应用程序(如组织内正在开发或组织拥有的应用程序),可以通过以全局管理员”身份登录,并单击“应用程序注册表”->“所有应用程序”-> 选择应用 ->“所需权限”窗格顶部的“授予权限”按钮,代表所有用户执行“管理级许可”操作。
  • 对于请求权限的多租户应用程序(如第三方或 Microsoft 开发的应用程序),可以执行“管理级许可”操作。 以“全局管理员”身份登录,并在“企业应用程序”->“所有应用程序”-> 选择应用 ->“权限”窗格(即将可用)下单击“授予权限”按钮。