您無法在 Microsoft 365 系統管理 中心將同盟網域指派給使用者
問題
您會在 Microsoft 365 系統管理 中心建立新的使用者。 不過,當您嘗試將同盟網域指派給新使用者時,同盟網域不會列在使用者的網域清單中。
以下是當您遇到此問題時所發生情況的範例案例:
- 在 Microsoft 365 入口網站中,會啟用單一登錄 (SSO) 和 Active Directory 同步處理。
- 當您在 [網域屬性] 頁面上檢視網域的屬性時,網域類型會列為 [同盟 ] 或 [ 單一登錄]。 例如,adatum.com 是同盟網域。
- 當您建立新的使用者時,您會看到 Microsoft 365 提供的預設網域列為下拉式方塊中的第一個選項。 例如,預設網域是 contoso.onmicrosoft.com。
- 當您按下拉式方塊來檢視網域清單時,不會列出同盟網域。 例如,未列出 adatum.com。
原因
這是 Microsoft 365 中的設計行為。 您無法透過入口網站建立同盟使用者。 所有同盟用戶都必須在內部部署環境中建立,而且必須使用 Microsoft Azure Active Directory 同步作業工具 進行同步處理。
注意事項
您也無法在 Microsoft 365 中將同盟網域設定為預設網域。
解決方案
若要解決此行為,請在 內部部署的 Active Directory Domain Services (AD DS) 環境中建立相符的使用者帳戶、適當地設定 UPN (用戶主體名稱) ,然後使用目錄同步處理來同步處理帳戶和 Microsoft Entra ID。 若要這樣做,請遵循下列步驟:
依照下列步驟取得 Microsoft 365 用戶帳戶的主要 SMTP 位址:
- 以全域管理員身分登入 Microsoft 365 入口網站 。
- 選取 管理員>Exchange 以開啟 Exchange 管理員 Center。
- 找出用戶帳戶,然後按兩下它。
- 在左側瀏覽窗格中,選取 [Email 位址],然後記下用戶帳戶的主要 SMTP 位址。
開始 Active Directory 使用者和電腦,然後在內部部署網域中建立符合 Microsoft 365 使用者帳戶的用戶帳戶。 如需詳細資訊,請參閱在 Active Directory 使用者和電腦 中建立用戶帳戶。
請確定用戶帳戶的 UPN 已更新為同盟功能變數名稱。 如需詳細資訊,請參閱 針對試驗為已啟用 Microsoft 365 SSO 的使用者識別碼的 Active Directory 使用者帳戶進行疑難解答。
使用 Active Directory 服務介面 (ADSI) Edit 編輯使用者物件的 proxyAddresses 屬性,使其符合您在步驟 1D 中記下的主要 SMTP 位址。 若要這樣做,請遵循下列步驟:
注意事項
如需如何安裝 ADSI 編輯的詳細資訊,請參閱 安裝 ADSI 編輯。
選 取 [開始>執行],輸入 ADSIEdit.msc,然後選取 [ 確定]。
以滑鼠右鍵按兩下 [ADSI 編輯],選取 [ 連線到],然後選取 [ 確定 ] 以載入網域分割區。
在瀏覽窗格中,找出您要變更的用戶物件,以滑鼠右鍵按兩下它,然後選取 [ 屬性]。
在 [ 屬性] 清單中,選取 proxyAddresses 屬性,然後選取 [ 編輯]。
在 [ 要新增的值] 字段中,輸入適當的 SMTP 位址,然後選取 [ 新增]。
注意事項
用戶物件的主要 SMTP 位址值前面應該加上大寫 SMTP: 指定項,讓 proxyAddressesattribute 的位址值正確格式化。 例如,“SMTP:username@contoso.com” 是可接受的值,而 “username@contoso.com” 不是可接受的值。
選取 [確定] 兩次,然後結束 [ADSI 編輯]。
如需如何使用 ADSI 編輯來編輯 Active Directory 屬性的詳細資訊,請參閱 使用 ADSI 編輯
強制目錄同步處理。
其他相關資訊
如需詳細資訊,請參閱針對同盟使用者登入 Microsoft 365、Azure 或 Intune 時所發生的使用者名稱問題進行疑難解答。
是否仍需要協助? 前往 Microsoft Community。