Přihlášení k Microsoft Entra ID s použitím e-mailu jako alternativního přihlašovacího ID (Preview)
Poznámka:
Přihlášení k Microsoft Entra ID pomocí e-mailu jako alternativního přihlašovacího ID je funkce verze Public Preview pro Microsoft Entra ID. Další informace o verzích Preview najdete v dodatečných podmínkách použití systémů Microsoft Azure Preview.
Mnoho organizací chce uživatelům umožnit přihlášení k ID Microsoft Entra pomocí stejných přihlašovacích údajů jako jejich místní adresářové prostředí. Díky tomuto přístupu, označovanému jako hybridní ověřování, si uživatelé musí pamatovat jenom jednu sadu přihlašovacích údajů.
Některé organizace se z následujících důvodů nepřesunuly na hybridní ověřování:
- Ve výchozím nastavení je hlavní název uživatele Microsoft Entra (UPN) nastavený na stejnou hodnotu jako místní hlavní název uživatele (UPN).
- Změna hlavního názvu uživatele Microsoft Entra vytváří neshodu mezi lokálními prostředími a prostředími Microsoft Entra, která by mohla způsobovat problémy s určitými aplikacemi a službami.
- Organizace kvůli obchodním důvodům nebo dodržování předpisů nechce k přihlášení k ID Microsoft Entra použít místní hlavní název uživatele (UPN).
Pokud chcete přejít k hybridnímu ověřování, můžete nakonfigurovat ID Microsoft Entra tak, aby se uživatelé mohli přihlásit pomocí svého e-mailu jako alternativní přihlašovací ID. Například pokud se společnost Contoso přejmenovala na Fabrikam, místo aby se nadále přihlašovalo pomocí staršího ana@contoso.com hlavního názvu uživatele (UPN), můžete použít e-mail jako alternativní přihlašovací ID. Pro přístup k aplikaci nebo službě by se uživatelé přihlásili do Microsoft Entra ID pomocí e-mailu, který není UPN, například ana@fabrikam.com.
V tomto článku se dozvíte, jak povolit a používat e-mail jako alternativní přihlašovací ID.
Než začnete
Tady je to, co potřebujete vědět o e-mailu jako alternativní přihlašovací ID:
- Tato funkce je dostupná od verze Microsoft Entra ID Free a vyšších.
- Tato funkce umožňuje přihlášení pomocí ProxyAddresses kromě UPN (User Principal Name) pro uživatele ověřené cloudem Microsoft Entra. Další informace o tom, jak se to týká spolupráce Microsoft Entra business-to-business (B2B), naleznete v části B2B.
- Když se uživatel přihlásí pomocí e-mailu s ne-UPN, nároky
unique_nameapreferred_username(pokud jsou k dispozici) v tokenu ID vrátí tento e-mail.- Pokud se e-mail, který není hlavním názvem uživatele (UPN), stane zastaralým (už nepatří uživateli), tyto nároky místo toho vrátí hlavní název uživatele (UPN).
- Tato funkce podporuje spravované ověřování pomocí synchronizace hash hesla (PHS) nebo procházejícího ověřování (PTA).
- Existují dvě možnosti konfigurace této funkce:
- Zásady zjišťování domovské sféry (HRD) – Tuto možnost použijte k povolení této funkce pro celého uživatele. Vyžaduje se aspoň role správce aplikace.
- Zásady fázovaného zavádění – Tuto možnost použijte k otestování funkce s konkrétními skupinami Microsoft Entra. Při prvním přidání skupiny zabezpečení pro postupné uvedení jste omezeni na 200 uživatelů, abyste se vyhnuli vypršení časového limitu uživatelského rozhraní. Jakmile skupinu přidáte, můžete do ní podle potřeby přidat další uživatele.
Omezení verze Preview
V aktuálním stavu Preview platí následující omezení pro e-mail jako alternativní přihlašovací ID:
Uživatelská zkušenost – Uživatelé mohou vidět svoje hlavní uživatelské jméno (UPN), i když se přihlásili pomocí jiného e-mailu než UPN. Může se zobrazit následující příklad chování:
- Uživatel je vyzván k přihlášení pomocí UPN při přesměrování na přihlašovací stránku Microsoft Entra s
login_hint=<non-UPN email>. - Když se uživatel přihlásí pomocí e-mailu bez hlavního názvu uživatele (UPN) a zadá nesprávné heslo, stránka Zadejte heslo se změní tak, aby se zobrazil hlavní název uživatele (UPN).
- Na některých webech a aplikacích Microsoftu, jako je například Microsoft Office, může ovládací prvek Správce účtů, obvykle zobrazovaný v pravém horním rohu, zobrazovat hlavní název uživatele (UPN) místo e-mailu nepoužívajícího UPN, který je používán k přihlášení.
- Uživatel je vyzván k přihlášení pomocí UPN při přesměrování na přihlašovací stránku Microsoft Entra s
Nepodporované toky – Některé toky nejsou v současné době kompatibilní s e-maily, které nepoužívají UPN, jako například tyto:
- Microsoft Entra ID Protection neporovnává e-maily bez UPN s rizikovou detekcí úniku přihlašovacích údajů. Tato detekce rizikových situací používá hlavní název uživatele (UPN) k porovnání s přihlašovacími údaji, u kterých došlo k úniku. Další informace najdete v tématu Postupy: Zkoumání rizika.
- Když je uživatel přihlášený pomocí e-mailu, který není UPN, nemůže změnit heslo. Samoobslužné resetování hesla (SSPR) microsoft Entra by mělo fungovat podle očekávání. Během SSPR se uživateli může zobrazit UPN, pokud ověří svou identitu pomocí ne-UPN e-mailu.
Nepodporované scénáře – Následující scénáře se nepodporují. Přihlášení s e-mailem, který není UPN, pro:
Nepodporované aplikace – Některé aplikace třetích stran nemusí fungovat podle očekávání, pokud předpokládají, že deklarace
unique_namenebopreferred_usernamejsou neměnné nebo vždy odpovídají určitému atributu uživatele, jako je UPN (User Principal Name).Protokolování – Změny provedené v konfiguraci funkce v rámci zásad HRD nejsou výslovně uvedeny v protokolech auditu.
Fázované místní zásady – Následující omezení platí jenom tehdy, když je funkce povolena pomocí fázovaných místních zásad:
- Funkce nefunguje podle očekávání pro uživatele, kteří jsou zahrnuti v jiných fázovaných zásadách zavedení.
- Politika postupného zavedení podporuje maximálně 10 skupin na jednu funkci.
- Zásady postupného zavedení nepodporují vnořené skupiny.
- Fázované zásady zavedení nepodporují dynamické skupiny členství.
- Kontaktní objekty uvnitř skupiny zablokují přidání skupiny do fázovaných zásad zavedení.
Duplicitní hodnoty – V rámci tenanta může uživatelské jméno (UPN) uživatele, který je jen v cloudu, mít stejnou hodnotu jako proxy e-mailová adresa jiného uživatele synchronizovaná z místního adresáře. V tomto scénáři, kdy je funkce povolena, se nebude moct pouze cloudový uživatel přihlásit pomocí hlavního názvu uživatele (UPN). Další informace o tomto problému najdete v části Řešení potíží .
Přehled možností alternativního přihlašovacího ID
Pokud se chcete přihlásit k ID Microsoft Entra, uživatelé zadají hodnotu, která jednoznačně identifikuje svůj účet. Historicky bylo možné jako přihlašovací identifikátor použít pouze hlavní název uživatele (UPN) Microsoft Entra.
Pro organizace, kde je místní uživatelské jméno (UPN) preferovanou přihlašovací e-mailovou adresou, byl tento přístup skvělý. Tyto organizace nastaví UPN Microsoft Entra na stejnou hodnotu jako místní UPN, takže uživatelé budou mít jednotné přihlašovací prostředí.
Alternativní přihlašovací ID pro SLUŽBU AD FS
V některých organizacích se ale místní hlavní název uživatele (UPN) nepoužívá jako identifikátor přihlášení. V místních prostředích byste nakonfigurovali místní službu AD DS tak, aby povolovala přihlášení pomocí alternativního přihlašovacího ID. Nastavení hlavního názvu uživatele (UPN) Microsoft Entra na stejnou hodnotu jako místní hlavní název uživatele (UPN) není možné, protože by pak Microsoft Entra ID vyžadovalo, aby se uživatelé přihlašovali pomocí této hodnoty.
Alternativní přihlašovací ID v Microsoft Entra Connect
Typickým alternativním řešením tohoto problému bylo nastavit Microsoft Entra UPN na e-mailovou adresu, kterou uživatel očekává pro přihlášení. Tento přístup funguje, ale výsledkem jsou různé UPN mezi místní AD a Microsoft Entra ID a tato konfigurace není kompatibilní se všemi úlohami Microsoft 365.
E-mail jako alternativní přihlašovací ID
Jiným přístupem je synchronizace ID Microsoft Entra a místních hlavních názvů uživatelů (UPN) se stejnou hodnotou a pak nakonfigurovat ID Microsoft Entra tak, aby se uživatelé mohli přihlásit k MICROSOFT Entra ID pomocí ověřeného e-mailu. Chcete-li tuto možnost poskytnout, definujete jednu nebo více e-mailových adres v atributu ProxyAddresses uživatele v místním adresáři. ProxyAddresses se pak automaticky synchronizují s Microsoft Entra ID pomocí microsoft Entra Connect.
| Možnost | Popis |
|---|---|
| Alternativní přihlašovací ID pro SLUŽBU AD FS | Povolte přihlášení pomocí alternativního atributu (například Pošty) pro uživatele služby AD FS. |
| Alternativní přihlašovací ID v Microsoft Entra Connect | Synchronizujte alternativní atribut (například Mail) jako UPN systému Microsoft Entra. |
| E-mail jako alternativní přihlašovací ID | Povolte přihlášení pomocí ověřené domény ProxyAddresses pro uživatele Microsoft Entra. |
Synchronizace přihlašovacích e-mailových adres s Microsoft Entra ID
Tradiční ověřování pomocí služeb doménové struktury Active Directory (AD DS) nebo služeb Active Directory pro federaci (AD FS) probíhá přímo ve vaší síti a zpracovává se infrastrukturou služby AD DS. S hybridním ověřováním se uživatelé můžou místo toho přihlásit přímo k ID Microsoft Entra.
Pokud chcete tento přístup hybridního ověřování podporovat, synchronizujete své místní prostředí SLUŽBY AD DS s ID Microsoft Entra pomocí služby Microsoft Entra Connect a nakonfigurujete ho tak, aby používalo PHS nebo PTA. Další informace naleznete v tématu Volba správné metody ověřování pro vaše řešení hybridní identity Microsoft Entra.
V obou možnostech konfigurace uživatel odešle své uživatelské jméno a heslo do Microsoft Entra ID, které ověří přihlašovací údaje a vydá lístek. Když se uživatelé přihlásí k Microsoft Entra ID, odebere potřebu vaší organizace hostovat a spravovat infrastrukturu služby AD FS.
Jedním z atributů uživatele, který je automaticky synchronizován službou Microsoft Entra Connect, je ProxyAddresses. Pokud mají uživatelé e-mailovou adresu definovanou v místním prostředí SLUŽBY AD DS jako součást atributu ProxyAddresses , automaticky se synchronizuje s Microsoft Entra ID. Tuto e-mailovou adresu pak můžete použít přímo v procesu přihlášení Microsoft Entra jako alternativní přihlašovací ID.
Důležité
Do Microsoft Entra ID se synchronizují jenom e-maily v ověřených doménách tenanta. Každý tenant Microsoft Entra má jednu nebo více ověřených domén, pro které jste ověřili vlastnictví, a jsou jedinečně svázané s vaším tenantem.
Další informace naleznete v tématu Přidání a ověření vlastního názvu domény v Microsoft Entra ID.
Přihlášení uživatele typu host B2B pomocí e-mailové adresy
E-mail jako alternativní přihlašovací ID se vztahuje na platformu Microsoft Entra B2B v rámci modelu 'přineste si vlastní přihlašovací identifikátory'. Pokud je v domovském tenantovi povolen e-mail jako alternativní přihlašovací ID, mohou uživatelé Microsoft Entra provádět přihlášení jako host s e-mailem bez UPN na koncovém bodu tenanta zdroje. K povolení této funkce se nevyžaduje žádná akce z tenanta prostředků.
Poznámka:
Pokud se v koncovém bodu tenanta prostředku použije alternativní přihlašovací ID, které nemá povolené funkce, bude proces přihlášení bezproblémově fungovat, ale jednotné přihlašování se přeruší.
Povolení přihlášení uživatele pomocí e-mailové adresy
Poznámka:
Tato možnost konfigurace používá zásady HRD. Další informace naleznete v tématu typ prostředku homeRealmDiscoveryPolicy.
Jakmile se uživatelé s použitým atributem ProxyAddresses synchronizují s Microsoft Entra ID pomocí služby Microsoft Entra Connect, musíte povolit, aby se uživatelé mohli přihlásit pomocí e-mailu jako alternativního přihlašovacího ID vašeho tenanta. Tato funkce informuje přihlašovací servery Microsoft Entra, aby nejen kontrolovaly přihlašovací identifikátor proti hodnotám hlavního názvu uživatele (UPN), ale také hodnoty ProxyAddresses pro e-mailovou adresu.
K nastavení této funkce můžete použít Centrum pro správu Microsoft Entra nebo Graph PowerShell.
Centrum pro správu Microsoft Entra
Přihlaste se do centra pro správu Microsoft Entra alespoň jako správce hybridní identity.
Přejděte na Identity>Hybridní správa>Microsoft Entra Connect>Connect Sync
Vyberte e-mail jako alternativní přihlašovací ID**.
Klikněte na zaškrtávací políčko vedle položky E-mail jako alternativní přihlašovací ID.
Klikněte na Uložit.
Když se zásada použije, může trvat až hodinu, než se rozšíří a uživatelé se budou moct přihlásit pomocí svého alternativního přihlašovacího ID.
PowerShell
Poznámka:
Tato možnost konfigurace používá zásady HRD. Další informace naleznete v tématu typ prostředku homeRealmDiscoveryPolicy.
Jakmile se uživatelé s použitým atributem ProxyAddresses synchronizují s Microsoft Entra ID pomocí služby Microsoft Entra Connect, musíte povolit, aby se uživatelé mohli přihlásit pomocí e-mailu jako alternativního přihlašovacího ID vašeho tenanta. Tato funkce informuje přihlašovací servery Microsoft Entra, aby nejen kontrolovaly přihlašovací identifikátor proti hodnotám hlavního názvu uživatele (UPN), ale také hodnoty ProxyAddresses pro e-mailovou adresu.
Otevřete relaci PowerShellu jako správce a pak pomocí rutiny nainstalujte modul Microsoft.Graph:
Install-ModuleInstall-Module Microsoft.GraphDalší informace o instalaci naleznete v tématu Instalace sady Microsoft Graph PowerShell SDK.
Přihlaste se k tenantovi Microsoft Entra pomocí rutiny
Connect-MgGraph:Connect-MgGraph -Scopes "Policy.ReadWrite.ApplicationConfiguration" -TenantId organizationsPříkaz vás vyzve k ověření ve webovém prohlížeči.
Pomocí rutiny zkontrolujte, jestli v tenantovi již existuje
Get-MgPolicyHomeRealmDiscoveryPolicy:Get-MgPolicyHomeRealmDiscoveryPolicyPokud nejsou aktuálně nakonfigurované žádné zásady, příkaz nevrátí nic. Pokud se vrátí zásada, přeskočte tento krok a přejděte k dalšímu kroku a aktualizujte existující zásadu.
Pokud chcete do tenanta přidat HomeRealmDiscoveryPolicy , použijte rutinu
New-MgPolicyHomeRealmDiscoveryPolicya nastavte atribut AlternateIdLogin na Enabled: true , jak je znázorněno v následujícím příkladu:$AzureADPolicyDefinition = @( @{ "HomeRealmDiscoveryPolicy" = @{ "AlternateIdLogin" = @{ "Enabled" = $true } } } | ConvertTo-JSON -Compress ) $AzureADPolicyParameters = @{ Definition = $AzureADPolicyDefinition DisplayName = "BasicAutoAccelerationPolicy" AdditionalProperties = @{ IsOrganizationDefault = $true } } New-MgPolicyHomeRealmDiscoveryPolicy @AzureADPolicyParametersPo úspěšném vytvoření zásady příkaz vrátí ID zásady, jak je znázorněno v následujícím příkladu výstupu:
Definition DeletedDateTime Description DisplayName Id IsOrganizationDefault ---------- --------------- ----------- ----------- -- --------------------- {{"HomeRealmDiscoveryPolicy":{"AlternateIdLogin":{"Enabled":true}}}} BasicAutoAccelerationPolicy HRD_POLICY_ID TruePokud už jsou nakonfigurované zásady, zkontrolujte, jestli je povolený atribut AlternateIdLogin , jak je znázorněno v následujícím příkladu výstupu zásad:
Definition DeletedDateTime Description DisplayName Id IsOrganizationDefault ---------- --------------- ----------- ----------- -- --------------------- {{"HomeRealmDiscoveryPolicy":{"AlternateIdLogin":{"Enabled":true}}}} BasicAutoAccelerationPolicy HRD_POLICY_ID TruePokud zásada existuje, ale atribut AlternateIdLogin , který není k dispozici nebo povolen, nebo pokud existují jiné atributy zásad, které chcete zachovat, aktualizujte stávající zásady pomocí rutiny
Update-MgPolicyHomeRealmDiscoveryPolicy.Důležité
Při aktualizaci zásad nezapomeňte zahrnout všechna stará nastavení a nový atribut AlternateIdLogin .
Následující příklad přidá Atribut AlternateIdLogin a zachová atribut AllowCloudPasswordValidation , který byl dříve nastaven:
$AzureADPolicyDefinition = @( @{ "HomeRealmDiscoveryPolicy" = @{ "AllowCloudPasswordValidation" = $true "AlternateIdLogin" = @{ "Enabled" = $true } } } | ConvertTo-JSON -Compress ) $AzureADPolicyParameters = @{ HomeRealmDiscoveryPolicyId = "HRD_POLICY_ID" Definition = $AzureADPolicyDefinition DisplayName = "BasicAutoAccelerationPolicy" AdditionalProperties = @{ "IsOrganizationDefault" = $true } } Update-MgPolicyHomeRealmDiscoveryPolicy @AzureADPolicyParametersOvěřte, že aktualizované zásady zobrazují vaše změny a že je teď povolený atribut AlternateIdLogin :
Get-MgPolicyHomeRealmDiscoveryPolicy
Poznámka:
Když se zásada použije, může trvat až hodinu, než se rozšíří a uživatelé se budou moct přihlásit pomocí e-mailu jako alternativního přihlašovacího ID.
Odebrání zásad
Pokud chcete odebrat zásadu HRD, použijte rutinu Remove-MgPolicyHomeRealmDiscoveryPolicy :
Remove-MgPolicyHomeRealmDiscoveryPolicy -HomeRealmDiscoveryPolicyId "HRD_POLICY_ID"
Povolení postupného zavedení pro testování přihlášení uživatele pomocí e-mailové adresy
Poznámka:
Tato možnost konfigurace používá fázované zásady zavedení. Další informace naleznete v části typ prostředku featureRolloutPolicy.
Fázované zásady zavedení umožňují správcům tenanta povolit funkce pro konkrétní skupiny Microsoft Entra. Doporučuje se, aby správci tenantů použili fázované zavedení k otestování přihlašování uživatelů pomocí e-mailové adresy. Až budou správci připraveni tuto funkci nasadit do celého tenanta, měli by použít zásady HRD.
Otevřete relaci PowerShellu jako správce a pak nainstalujte modul Microsoft.Graph.Beta pomocí rutiny Install-Module :
Install-Module Microsoft.Graph.BetaPokud se zobrazí výzva, vyberte Y a nainstalujte NuGet nebo nainstalujte z nedůvěryhodného úložiště.
Přihlaste se ke svému tenantovi Microsoft Entra pomocí rutiny Connect-MgGraph :
Connect-MgGraph -Scopes "Directory.ReadWrite.All"Příkaz vrátí informace o vašem účtu, prostředí a ID tenanta.
Pomocí následující rutiny cmdlet vypište všechny existující zásady fázovaného nasazení.
Get-MgBetaPolicyFeatureRolloutPolicyPokud pro tuto funkci neexistují žádné zásady postupného uvedení, vytvořte novou fázovanou zásadu uvedení a poznamenejte si ID zásady:
$MgPolicyFeatureRolloutPolicy = @{ Feature = "EmailAsAlternateId" DisplayName = "EmailAsAlternateId Rollout Policy" IsEnabled = $true } New-MgBetaPolicyFeatureRolloutPolicy @MgPolicyFeatureRolloutPolicyVyhledejte ID objektu directoryObject pro skupinu, kterou chcete přidat do politiky postupného zavádění. Poznamenejte si hodnotu vrácenou pro parametr ID , protože se použije v dalším kroku.
Get-MgBetaGroup -Filter "DisplayName eq 'Name of group to be added to the staged rollout policy'"Přidejte skupinu do zásady postupného zavádění, jak je znázorněno v následujícím příkladu. Nahraďte hodnotu v parametru -FeatureRolloutPolicyId hodnotou vrácenou pro ID zásady v kroku 4 a nahraďte hodnotu v parametru -OdataId hodnotou ID, kterou jste si poznamenali v kroku 5. Může to trvat až 1 hodinu, než se uživatelé ve skupině můžou přihlásit k Microsoft Entra ID pomocí e-mailu jako alternativního přihlašovacího ID.
New-MgBetaDirectoryFeatureRolloutPolicyApplyToByRef ` -FeatureRolloutPolicyId "ROLLOUT_POLICY_ID" ` -OdataId "https://graph.microsoft.com/v1.0/directoryObjects/{GROUP_OBJECT_ID}"
Novým členům přidaným do skupiny může trvat až 24 hodin, než se budou moct přihlásit k Microsoft Entra ID pomocí e-mailu jako alternativního přihlašovacího ID.
Odebrání skupin
Pokud chcete odebrat skupinu z fázovaného zavádění zásad, spusťte následující příkaz:
Remove-MgBetaPolicyFeatureRolloutPolicyApplyToByRef -FeatureRolloutPolicyId "ROLLOUT_POLICY_ID" -DirectoryObjectId "GROUP_OBJECT_ID"
Odebrání zásad
Pokud chcete odebrat zásadu postupného zavádění, nejprve ji deaktivujte a poté ji odeberte ze systému.
Update-MgBetaPolicyFeatureRolloutPolicy -FeatureRolloutPolicyId "ROLLOUT_POLICY_ID" -IsEnabled:$false
Remove-MgBetaPolicyFeatureRolloutPolicy -FeatureRolloutPolicyId "ROLLOUT_POLICY_ID"
Testování přihlášení uživatele pomocí e-mailové adresy
Pokud chcete otestovat, že se uživatelé můžou přihlásit pomocí e-mailu, přejděte na https://myprofile.microsoft.com a přihlaste se pomocí e-mailu, který není ve formátu UPN, například balas@fabrikam.com. Přihlašovací prostředí by mělo vypadat stejně jako při přihlašování pomocí hlavního názvu uživatele (UPN).
Odstraňování potíží
Pokud mají uživatelé potíže s přihlášením pomocí své e-mailové adresy, projděte si následující kroky pro řešení potíží:
Ujistěte se, že od povolení e-mailu jako alternativního přihlašovacího ID uplynula alespoň 1 hodina. Pokud byl uživatel nedávno přidán do skupiny pro politiku postupného zavádění, ujistěte se, že uplynulo alespoň 24 hodin od jejich přidání do skupiny.
Pokud používáte zásadu HRD, zkontrolujte, zda má Microsoft Entra ID HomeRealmDiscoveryPolicy u vlastnosti AlternateIdLogin nastaveno "Enabled": true a u vlastnosti IsOrganizationDefault nastaveno na True:
Get-MgBetaPolicyHomeRealmDiscoveryPolicy | Format-List *Pokud používáte zásady fázovaného zavádění, ověřte, že Microsoft Entra ID FeatureRolloutPolicy má vlastnost IsEnabled nastavenou na True.
Get-MgBetaPolicyFeatureRolloutPolicyUjistěte se, že uživatelský účet má svoji e-mailovou adresu nastavenou v atributu ProxyAddresses v Microsoft Entra ID.
Přihlašovací protokoly
Další informace najdete v protokolech přihlašování v Microsoft Entra ID . Přihlášení pomocí e-mailu jako alternativního přihlašovacího ID budou zobrazovat proxyAddress v poli typu identifikátoru přihlášení a zadané uživatelské jméno v poli identifikátoru přihlášení.
Konfliktní hodnoty mezi výhradně cloudovými a synchronizovanými uživateli
V rámci tenanta může UPN uživatele pouze cloudu převzít stejnou hodnotu jako proxy adresa jiného uživatele synchronizovaná z místního adresáře. V tomto scénáři, kdy je funkce povolena, se nebude moct pouze cloudový uživatel přihlásit pomocí hlavního názvu uživatele (UPN). Zde jsou kroky pro zjištění případů tohoto problému.
Otevřete relaci PowerShellu jako správce a pak nainstalujte Microsoft Graph pomocí rutiny Install-Module:
Install-Module Microsoft.Graph.AuthenticationPokud se zobrazí výzva, vyberte Y a nainstalujte NuGet nebo nainstalujte z nedůvěryhodného úložiště.
Připojení k Microsoft Graphu:
Connect-MgGraph -Scopes "User.Read.All"Získejte postižené uživatele.
# Get all users $allUsers = Get-MgUser -All # Get list of proxy addresses from all synced users $syncedProxyAddresses = $allUsers | Where-Object {$_.ImmutableId} | Select-Object -ExpandProperty ProxyAddresses | ForEach-Object {$_ -Replace "smtp:", ""} # Get list of user principal names from all cloud-only users $cloudOnlyUserPrincipalNames = $allUsers | Where-Object {!$_.ImmutableId} | Select-Object -ExpandProperty UserPrincipalName # Get intersection of two lists $duplicateValues = $syncedProxyAddresses | Where-Object {$cloudOnlyUserPrincipalNames -Contains $_}K výstupu ovlivněných uživatelů:
# Output affected synced users $allUsers | Where-Object {$_.ImmutableId -And ($_.ProxyAddresses | Where-Object {($duplicateValues | ForEach-Object {"smtp:$_"}) -Contains $_}).Length -GT 0} | Select-Object ObjectId, DisplayName, UserPrincipalName, ProxyAddresses, ImmutableId, UserType # Output affected cloud-only users $allUsers | Where-Object {!$_.ImmutableId -And $duplicateValues -Contains $_.UserPrincipalName} | Select-Object ObjectId, DisplayName, UserPrincipalName, ProxyAddresses, ImmutableId, UserTypeVýstup ovlivněných uživatelů do CSV:
# Output affected users to CSV $allUsers | Where-Object { ($_.ImmutableId -And ($_.ProxyAddresses | Where-Object {($duplicateValues | ForEach-Object {"smtp:$_"}) -Contains $_}).Length -GT 0) -Or (!$_.ImmutableId -And $duplicateValues -Contains $_.UserPrincipalName) } | Select-Object ObjectId, DisplayName, UserPrincipalName, @{n="ProxyAddresses"; e={$_.ProxyAddresses -Join ','}}, @{n="IsSyncedUser"; e={$_.ImmutableId.Length -GT 0}}, UserType | Export-Csv -Path .\AffectedUsers.csv -NoTypeInformation
Další kroky
Další informace o hybridní identitě, jako je proxy aplikace Microsoft Entra nebo Microsoft Entra Domain Services, najdete v tématu Hybridní identita Microsoft Entra pro přístup a správu místních úloh.
Další informace o operacích hybridní identity najdete v jak funguje synchronizace hodnot hash hesel nebo synchronizace ověřování průchozí.