Freigeben über


Anmeldung bei Microsoft Entra ID mit einer E-Mail-Adresse als alternative Anmelde-ID (Vorschau)

Hinweis

Die Anmeldung bei Microsoft Entra ID mit einer E-Mail-Adresse als alternative Anmelde-ID ist eine öffentliche Previewfunktion von Microsoft Entra ID. Weitere Informationen zu Vorschauversionen finden Sie unter Zusätzliche Nutzungsbestimmungen für Microsoft Azure-Vorschauen.

Viele Organisationen möchten es Benutzer*innen ermöglichen, sich mit denselben Anmeldeinformationen bei Microsoft Entra ID anzumelden, die sie auch für ihre lokale Verzeichnisumgebung verwenden. Bei diesem Ansatz, der als Hybridauthentifizierung bezeichnet wird, müssen sich Benutzer nur eine Kombination von Anmeldeinformationen merken.

Einige Organisationen sind aus folgenden Gründen nicht auf die Hybridauthentifizierung umgestiegen:

  • Der Microsoft Entra-UPN (User Principal Name, Benutzerprinzipalname) wird standardmäßig auf denselben Wert wie der lokale UPN festgelegt.
  • Wenn Sie den Microsoft Entra-UPN ändern, stimmen die lokale Umgebung und die Microsoft Entra-Umgebung nicht mehr überein, was zu Problemen mit bestimmten Anwendungen und Diensten führen kann.
  • Aus betrieblichen Gründen oder Compliancegründen möchte die Organisation den lokalen UPN nicht für die Anmeldung bei Microsoft Entra ID verwenden.

Zur Umstellung auf die Hybridauthentifizierung können Sie Microsoft Entra ID so konfigurieren, dass sich Benutzer*innen mit ihren E-Mail-Adressen als alternative Anmelde-ID anmelden können. Wenn Contoso beispielsweise eine Markenumstellung auf Fabrikam durchführen würde, könnte die E-Mail-Adresse als alternative Anmelde-ID verwendet werden, anstatt Anmeldungen weiterhin mit dem veralteten UPN ana@contoso.com durchzuführen. Für den Zugriff auf eine Anwendung oder einen Dienst würden Benutzer*innen sich dann mit einer E-Mail-Adresse bei Microsoft Entra ID anmelden, die nicht als UPN registriert ist, z. B. ana@fabrikam.com.

Diagramm der E-Mail-Adresse als alternative Anmelde-ID.

In diesem Artikel erfahren Sie, wie Sie die E-Mail-Adresse als alternative Anmelde-ID aktivieren und verwenden.

Voraussetzungen

Sie müssen Folgendes über die Verwendung von E-Mail-Adressen als alternative Anmelde-IDs wissen:

  • Das Feature ist in Microsoft Entra ID Free und höher verfügbar.

  • Das Feature ermöglicht die Anmeldung mit ProxyAddresses (zusätzlich zum UPN) für cloudauthentifizierte Microsoft Entra-Benutzer*innen. Weitere Informationen zur Anwendung dieses Features für die Microsoft Entra-B2B-Zusammenarbeit (Business-to-Business) finden Sie im Abschnitt B2B.

  • Wenn ein Benutzer sich mit einer E-Mail-Adresse anmeldet, die nicht als UPN registriert ist, geben die Ansprüche unique_name und preferred_username (sofern vorhanden) im ID-Token den Wert der E-Mail-Adresse zurück, die nicht als UPN registriert ist.

    • Wenn die verwendete Nicht-UPN-E-Mail-Adresse veraltet ist (dem Benutzer nicht mehr gehört), wird durch diese Ansprüche stattdessen der UPN zurückgegeben.
  • Das Feature unterstützt die verwaltete Authentifizierung mit Kennworthashsynchronisierung (Password Hash Sync, PHS) oder Passthrough-Authentifizierung (PTA).

  • Es gibt zwei Optionen zum Konfigurieren des Features:

    • HRD-Richtlinie (Home Realm Discovery, Startbereichsermittlung): Verwenden Sie diese Option, um das Feature für den gesamten Mandanten zu aktivieren. Mindestens die Rolle Anwendungsadministrator ist erforderlich.
    • Richtlinie für gestaffelten Rollout: Verwenden Sie diese Option, um das Feature mit spezifischen Microsoft Entra-Gruppen zu testen. Wenn Sie zum ersten Mal eine Sicherheitsgruppe für den gestaffelten Rollout hinzufügen, besteht eine Einschränkung auf 200 Benutzer, um ein UX-Timeout zu vermeiden. Nachdem Sie die Gruppe hinzugefügt haben, können Sie ihr nach Bedarf weitere Benutzer hinzufügen.

    Zum Verwalten dieses Features ist ein globaler Administrator erforderlich.

Einschränkungen der Vorschau

In der aktuellen Vorschauversion gelten die folgenden Einschränkungen für die Verwendung von E-Mail-Adressen als alternative Anmelde-IDs:

  • Benutzeroberfläche: Benutzern wird möglicherweise ihr UPN angezeigt, selbst wenn sie sich mit einer E-Mail-Adresse angemeldet haben, die nicht als UPN registriert ist. Beobachten lässt sich das folgende Beispielverhalten:

    • Benutzer*innen werden aufgefordert, sich mit dem UPN anzumelden, wenn sie mit login_hint=<non-UPN email> zur Microsoft Entra-Anmeldung umgeleitet werden.
    • Wenn ein Benutzer sich mit einer E-Mail-Adresse anmeldet, die nicht als UPN registriert ist, und ein falsches Kennwort eingibt, wird der UPN auf der Seite „Kennwort eingeben“ angezeigt.
    • Bei einigen Websites und Apps von Microsoft (z. B. Microsoft Office) zeigt das Steuerelement Konto-Manager, das in der Regel oben rechts angezeigt wird, möglicherweise den UPN des Benutzers anstelle der E-Mail-Adresse an, die nicht als UPN registriert ist und für die Anmeldung verwendet wurde.
  • Nicht unterstützte Flows: Einige Flows sind derzeit nicht mit E-Mail-Adressen kompatibel, die nicht als UPN registriert wurden. Dazu gehören unter anderem folgende:

    • Microsoft Entra ID Protection gleicht nicht als UPN registrierte E-Mail-Adressen nicht mit der Risikoerkennung Kompromittierte Anmeldeinformationen ab. Diese Risikoerkennung verwendet zum Abgleichen kompromittierter Anmeldeinformationen den UPN. Weitere Informationen finden Sie im Artikel Untersuchen von Risiken.
    • Wenn ein Benutzer sich mit einer nicht als UPN registrierten E-Mail-Adresse anmeldet, kann dieser sein Kennwort nicht ändern. Die Self-Service-Kennwortzurücksetzung (SSPR) von Microsoft Entra sollte erwartungsgemäß funktionieren. Während der SSPR wird dem Benutzer möglicherweise sein UPN angezeigt, wenn er seine Identität unter Verwendung einer Nicht-UPN-E-Mail-Adresse verifiziert.
  • Nicht unterstützte Szenarien: Folgende Szenarien werden nicht unterstützt: Anmelden mit einer nicht als UPN registrierten E-Mail-Adresse bei den folgenden Diensten/Geräten:

  • Nicht unterstützte Apps: Einige Anwendungen von Drittanbietern funktionieren möglicherweise nicht wie erwartet, wenn sie voraussetzen, dass die Ansprüche vom Typ unique_name oder preferred_username unveränderlich sind oder immer einem bestimmten Benutzerattribut entsprechen (beispielsweise UPN).

  • Protokollierung: Änderungen an der Konfiguration des Features in der HRD-Richtlinie werden nicht explizit in den Überwachungsprotokollen angezeigt.

  • Richtlinie für gestaffelte Rollouts: Die folgenden Einschränkungen gelten nur, wenn das Feature per Richtlinie für gestaffelte Rollouts aktiviert wird:

    • Das Feature funktioniert für Benutzer, die in anderen Richtlinien für gestaffelte Rollouts enthalten sind, nicht wie erwartet.
    • Von der Richtlinie für gestaffelte Rollouts werden maximal zehn Gruppen pro Feature unterstützt.
    • Von der Richtlinie für gestaffelte Rollouts werden keine geschachtelten Gruppen unterstützt.
    • Von der Richtlinie für gestaffelte Rollouts werden keine Gruppen mit dynamischer Mitgliedschaft unterstützt.
    • Durch Kontaktobjekte innerhalb der Gruppe wird das Hinzufügen der Gruppe zu einer Richtlinie für gestaffelte Rollouts blockiert.
  • Doppelte Werte: Innerhalb eines Mandanten kann ein UPN eines reinen Cloudbenutzers den gleichen Wert haben wie die Proxyadresse eines anderen Benutzers, die aus dem lokalen Verzeichnis synchronisiert wurde. In diesem Szenario kann der Benutzer, der nur die Cloud verwendet, sich nicht mit seinem UPN anmelden, wenn das Feature aktiviert ist. Weitere Informationen zu diesem Problem finden Sie im Abschnitt Problembehandlung.

Übersicht über alternative Optionen für die Anmelde-ID

Für die Anmeldung bei Microsoft Entra ID geben Benutzer*innen einen Wert ein, der ihr Konto eindeutig identifiziert. Bisher konnten Sie nur den Microsoft Entra-UPN als Anmeldebezeichner verwenden.

Für Organisationen, bei denen der lokale UPN der bevorzugten E-Mail-Adresse für Anmeldungen des Benutzers entspricht, war dieser Ansatz perfekt geeignet. In diesen Organisationen wird der Microsoft Entra-UPN auf genau denselben Wert wie der lokale UPN festgelegt werden, und die Anmeldung erfolgt für Benutzer*innen überall gleich.

Alternative Anmelde-ID für AD FS

Allerdings wird der lokale UPN in einigen Organisationen nicht als Anmeldebezeichner verwendet. In lokalen Umgebungen konfigurieren Sie die lokale AD DS-Instanz, um Anmeldungen mit einer alternativen Anmelde-ID zu ermöglichen. Das Festlegen des Microsoft Entra-UPN auf denselben Wert wie der des lokalen UPN ist keine Option, da Microsoft Entra ID dann erfordern würde, dass Benutzer*innen sich mit diesem Wert anmelden.

Alternative Anmelde-ID in Microsoft Entra Connect

Die typische Umgehung für dieses Problem besteht darin, den Microsoft Entra-UPN auf die E-Mail-Adresse festzulegen, mit der sich der Benutzer oder die Benutzerin anmelden möchte. Dieser Ansatz funktioniert, führt jedoch zu unterschiedlichen UPNs zwischen der lokalen AD-Instanz und Microsoft Entra ID. Außerdem ist diese Konfiguration nicht mit allen Microsoft 365-Workloads kompatibel.

E-Mail-Adresse als alternative Anmelde-ID

Ein anderer Ansatz besteht darin, Microsoft Entra ID und lokale UPNs mit demselben Wert zu synchronisieren und dann Microsoft Entra ID zu konfigurieren, damit sich Benutzer*innen mit einer verifizierten E-Mail-Adresse bei Microsoft Entra ID anmelden können. Dazu definieren Sie mindestens eine E-Mail-Adresse im ProxyAddresses-Attribut des Benutzers im lokalen Verzeichnis. ProxyAddresses-Werte werden dann mithilfe von Microsoft Entra Connect automatisch mit Microsoft Entra ID synchronisiert.

Option BESCHREIBUNG
Alternative Anmelde-ID für AD FS Aktivieren Sie die Anmeldung mit einem alternativen Attribut (z. B. E-Mail-Adressen) für AD FS-Benutzer.
Alternative Anmelde-ID in Microsoft Entra Connect Synchronisieren Sie ein alternatives Attribut (z. B. E-Mail-Adressen) als Microsoft Entra-UPN.
E-Mail-Adresse als alternative Anmelde-ID Aktivieren Sie die Anmeldung mit ProxyAddresses-Attributen einer verifizierten Domäne für Microsoft Entra-Benutzer*innen.

Synchronisieren von Anmelde-E-Mail-Adressen mit Microsoft Entra ID

Die Authentifizierung herkömmlicher Active Directory Domain Services (AD DS) oder Active Directory-Verbunddienste (AD FS) erfolgt direkt in Ihrem Netzwerk und wird von Ihrer AD DS-Infrastruktur verarbeitet. Bei der Hybridauthentifizierung können sich Benutzer*innen stattdessen direkt bei Microsoft Entra ID anmelden.

Zur Unterstützung dieses Hybridauthentifizierungsansatzes synchronisieren Sie Ihre lokale AD DS-Umgebung mithilfe von Azure AD Connect mit Microsoft Entra ID und konfigurieren sie für die Verwendung von PHS oder PTA. Weitere Informationen finden Sie unter Wählen der richtigen Authentifizierungsmethode für Ihre Microsoft Entra-Hybrididentitätslösung.

Bei beiden Konfigurationsoptionen übermitteln Benutzer*innen ihren Benutzernamen und ihr Kennwort an Microsoft Entra ID. Anschließend werden die Anmeldeinformationen überprüft, und ein Ticket wird ausgestellt. Wenn sich Benutzer*innen bei Microsoft Entra ID anmelden, ist es nicht mehr erforderlich, dass Ihre Organisation eine AD FS-Infrastruktur hostet und verwaltet.

Eines der Benutzerattribute, das automatisch von Microsoft Entra Connect synchronisiert wird, ist ProxyAddresses. Wenn Benutzer*innen eine E-Mail-Adresse besitzen, die in der lokalen AD DS-Umgebung als Teil des Attributs ProxyAddresses definiert ist, wird diese automatisch mit Microsoft Entra ID synchronisiert. Diese E-Mail-Adresse kann dann direkt beim Microsoft Entra-Anmeldevorgang als alternative Anmelde-ID verwendet werden.

Wichtig

Nur E-Mail-Adressen in für den Mandanten verifizierten Domänen werden mit Microsoft Entra ID synchronisiert. Jeder Microsoft Entra-Mandant verfügt über mindestens eine verifizierte Domäne, deren Eigentümer er nachweislich ist und die eindeutig an ihren Mandanten gebunden ist.

Weitere Informationen finden Sie unter Hinzufügen und Verifizieren eines benutzerdefinierten Domänennamens in Microsoft Entra ID.

B2B-Gastbenutzeranmeldung mit einer E-Mail-Adresse

Diagramm von „E-Mail-Adresse als alternative Anmelde-ID“ für die B2B-Gastbenutzeranmeldung

„E-Mail als alternative Anmelde-ID“ kann für Microsoft Entra-B2B-Zusammenarbeit unter einem Modell vom Typ „Bring Your Own Sign-In Identifiers“ verwendet werden. Wenn im Basismandanten E-Mail-Adressen als alternative Anmelde-IDs aktiviert sind, können Microsoft Entra-Benutzer*innen die Gastanmeldung mit einer Nicht-UPN-E-Mail-Adresse am Endpunkt des Ressourcenmandanten durchführen. Es ist keine Aktion vom Ressourcenmandanten erforderlich, um diese Funktionalität zu aktivieren.

Hinweis

Wenn eine alternative Anmelde-ID auf einem Ressourcenmandantenendpunkt, für den die Funktionalität nicht aktiviert ist, verwendet wird, funktioniert der Anmeldeprozess nahtlos, aber SSO wird unterbrochen.

Aktivieren der Benutzeranmeldung mit einer E-Mail-Adresse

Hinweis

Diese Konfigurationsoption verwendet die HRD-Richtlinie. Weitere Informationen finden Sie unter homeRealmDiscoveryPolicy-Ressourcentyp.

Nachdem Benutzer*innen mit angewendetem ProxyAddresses-Attribut mithilfe von Microsoft Entra Connect mit Microsoft Entra ID synchronisiert wurden, müssen Sie die Funktion aktivieren, mit der sich Benutzer*innen per E-Mail-Adresse als alternative Anmelde-ID für Ihren Mandanten anmelden können. Dieses Feature weist Microsoft Entra-Anmeldeserver an, den Anmeldebezeichner nicht nur auf UPN-Werte zu überprüfen, sondern auch ProxyAddresses-Werte auf E-Mail-Adressen.

Sie können Microsoft Entra Admin Center oder Graph PowerShell verwenden, um das Feature einzurichten.

Zum Verwalten dieses Features ist ein globaler Administrator erforderlich.

Microsoft Entra Admin Center

Tipp

Die Schritte in diesem Artikel können je nach dem Portal, mit dem Sie beginnen, geringfügig variieren.

  1. Melden Sie sich beim Microsoft Entra-Admin Center als Globaler Administrator an.

  2. Wählen Sie im Navigationsmenü auf der linken Seite des Microsoft Entra-Fensters Microsoft Entra Connect > E-Mail-Adresse als alternative Anmelde-ID aus.

    Screenshot der Option „E-Mail-Adresse als alternative Anmelde-ID“ im Microsoft Entra Admin Center.

  3. Klicken Sie auf das Kontrollkästchen neben E-Mail-Adresse als alternative Anmelde-ID.

  4. Klicken Sie auf Speichern.

    Screenshot des Blatts „E-Mail-Adresse als alternative Anmelde-ID“ im Microsoft Entra Admin Center.

Nachdem die Richtlinie angewandt wurde, kann es bis zu einer Stunde dauern, bis Benutzer*innen sich mit ihrer alternativen Anmelde-ID anmelden können.

PowerShell

Hinweis

Diese Konfigurationsoption verwendet die HRD-Richtlinie. Weitere Informationen finden Sie unter homeRealmDiscoveryPolicy-Ressourcentyp.

Nachdem Benutzer*innen mit angewendetem ProxyAddresses-Attribut mithilfe von Microsoft Entra Connect mit Microsoft Entra ID synchronisiert wurden, müssen Sie die Funktion aktivieren, mit der sich Benutzer*innen per E-Mail-Adresse als alternative Anmelde-ID für Ihren Mandanten anmelden können. Dieses Feature weist Microsoft Entra-Anmeldeserver an, den Anmeldebezeichner nicht nur auf UPN-Werte zu überprüfen, sondern auch ProxyAddresses-Werte auf E-Mail-Adressen.

Zum Verwalten dieses Features ist ein globaler Administrator erforderlich.

  1. Öffnen Sie eine PowerShell-Sitzung als Administrator, und installieren Sie dann das Microsoft.Graph-Modul mit dem Cmdlet Install-Module:

    Install-Module Microsoft.Graph
    

    Weitere Informationen zur Installation finden Sie unter Installieren des Microsoft Graph PowerShell SDK.

  2. Melden Sie sich mit dem Cmdlet Connect-MgGraph bei Ihrem Microsoft Entra-Mandanten an:

    Connect-MgGraph -Scopes "Policy.ReadWrite.ApplicationConfiguration" -TenantId organizations
    

    Der Befehl fordert Sie auf, sich über einen Webbrowser zu authentifizieren.

  3. Überprüfen Sie mithilfe des Cmdlets wie folgt, ob HomeRealmDiscoveryPolicyGet-MgPolicyHomeRealmDiscoveryPolicy bereits in Ihrem Mandanten vorhanden ist:

    Get-MgPolicyHomeRealmDiscoveryPolicy
    
  4. Wenn derzeit keine Richtlinie konfiguriert ist, gibt der Befehl nichts zurück. Wenn eine Richtlinie zurückgegeben wird, können Sie diesen Schritt überspringen und mit dem nächsten Schritt fortfahren, um eine vorhandene Richtlinie zu aktualisieren.

    Um HomeRealmDiscoveryPolicy zum Mandanten hinzuzufügen, verwenden Sie das Cmdlet New-MgPolicyHomeRealmDiscoveryPolicy, und legen Sie das AlternateIdLogin-Attribut wie im folgenden Beispiel auf "Enabled": true fest:

    $AzureADPolicyDefinition = @(
      @{
         "HomeRealmDiscoveryPolicy" = @{
            "AlternateIdLogin" = @{
               "Enabled" = $true
            }
         }
      } | ConvertTo-JSON -Compress
    )
    
    $AzureADPolicyParameters = @{
      Definition            = $AzureADPolicyDefinition
      DisplayName           = "BasicAutoAccelerationPolicy"
      AdditionalProperties  = @{ IsOrganizationDefault = $true }
    }
    
    New-MgPolicyHomeRealmDiscoveryPolicy @AzureADPolicyParameters
    

    Wenn die Richtlinie erfolgreich erstellt wurde, gibt der Befehl die Richtlinien-ID zurück, wie in der folgenden Beispielausgabe dargestellt:

    Definition                                                           DeletedDateTime Description DisplayName                 Id            IsOrganizationDefault
    ----------                                                           --------------- ----------- -----------                 --            ---------------------
    {{"HomeRealmDiscoveryPolicy":{"AlternateIdLogin":{"Enabled":true}}}}                             BasicAutoAccelerationPolicy HRD_POLICY_ID True
    
  5. Wenn bereits eine Richtlinie konfiguriert ist, überprüfen Sie, ob das Attribut AlternateIdLogin aktiviert ist, wie in der folgenden Beispielrichtlinienausgabe dargestellt:

    Definition                                                           DeletedDateTime Description DisplayName                 Id            IsOrganizationDefault
    ----------                                                           --------------- ----------- -----------                 --            ---------------------
    {{"HomeRealmDiscoveryPolicy":{"AlternateIdLogin":{"Enabled":true}}}}                             BasicAutoAccelerationPolicy HRD_POLICY_ID True
    

    Wenn die Richtlinie vorhanden ist, das AlternateIdLogin-Attribut jedoch nicht vorhanden oder nicht aktiviert ist, oder wenn andere Attribute für die Richtlinie vorhanden sind, die Sie beibehalten möchten, aktualisieren Sie die vorhandene Richtlinie mithilfe des Cmdlets Update-MgPolicyHomeRealmDiscoveryPolicy.

    Wichtig

    Wenn Sie die Richtlinie aktualisieren, stellen Sie sicher, dass Sie alle alten Einstellungen und das neueAlternateIdLogin-Attribut einschließen.

    Im folgenden Beispiel wird das Attribut AlternateIdLogin hinzugefügt und das zuvor festgelegte Attribut AllowCloudPasswordValidation beibehalten:

    $AzureADPolicyDefinition = @(
      @{
         "HomeRealmDiscoveryPolicy" = @{
            "AllowCloudPasswordValidation" = $true
            "AlternateIdLogin" = @{
               "Enabled" = $true
            }
         }
      } | ConvertTo-JSON -Compress
    )
    
    $AzureADPolicyParameters = @{
      HomeRealmDiscoveryPolicyId = "HRD_POLICY_ID"
      Definition                 = $AzureADPolicyDefinition
      DisplayName                = "BasicAutoAccelerationPolicy"
      AdditionalProperties       = @{ "IsOrganizationDefault" = $true }
    }
    
    Update-MgPolicyHomeRealmDiscoveryPolicy @AzureADPolicyParameters
    

    Vergewissern Sie sich, dass die aktualisierte Richtlinie ihre Änderungen aufweist und dass das AlternateIdLogin-Attribut jetzt aktiviert ist:

    Get-MgPolicyHomeRealmDiscoveryPolicy
    

Hinweis

Nachdem die Richtlinie angewendet wurde, kann es bis zu einer Stunde dauern, bis Benutzer sich mit ihrer E-Mail-Adresse als alternative Anmelde-ID anmelden können.

Entfernen von Richtlinien

Um eine HRD-Richtlinie zu entfernen, verwenden Sie das Remove-MgPolicyHomeRealmDiscoveryPolicy-Cmdlet:

Remove-MgPolicyHomeRealmDiscoveryPolicy -HomeRealmDiscoveryPolicyId "HRD_POLICY_ID"

Aktivieren von gestaffelten Rollouts zum Testen der Benutzeranmeldung mit einer E-Mail-Adresse

Hinweis

Diese Konfigurationsoption verwendet die Richtlinie für gestaffelte Rollouts. Weitere Informationen finden Sie unter featureRolloutPolicy-Ressourcentyp.

Die Richtlinie für gestaffelte Rollouts ermöglicht es Mandantenadministrator*innen, Features für spezifische Microsoft Entra-Gruppen zu aktivieren. Es wird empfohlen, dass Mandantenadministratoren einen gestaffelten Rollout verwenden, um die Benutzeranmeldung mit einer E-Mail-Adresse zu testen. Wenn Administratoren bereit sind, dieses Feature für ihren gesamten Mandanten bereitzustellen, sollten sie die HRD-Richtlinie verwenden.

Zum Verwalten dieses Features ist ein globaler Administrator erforderlich.

  1. Öffnen Sie eine PowerShell-Sitzung als Administrator und installieren Sie dann das Microsoft.Graph.Beta-Modul mithilfe des Cmdlets Install-Module:

    Install-Module Microsoft.Graph.Beta
    

    Wenn Sie dazu aufgefordert werden, wählen Sie Y, um NuGet zu installieren oder das Modul aus einem nicht vertrauenswürdigen Repository zu installieren.

  2. Melden Sie sich mit dem Cmdlet Connect-MgGraph bei Ihrem Microsoft Entra-Mandanten an:

    Connect-MgGraph -Scopes "Directory.ReadWrite.All"
    

    Der Befehl gibt die Informationen zu Ihrem Konto, Ihrer Umgebung und Ihrer Mandanten-ID zurück.

  3. Führen Sie die folgenden Cmdlets aus, um alle vorhandenen Richtlinien für gestaffelte Rollouts aufzulisten:

    Get-MgBetaPolicyFeatureRolloutPolicy
    
  4. Wenn für dieses Feature keine Richtlinien für gestaffelte Rollouts vorhanden sind, erstellen Sie eine neue Richtlinie für gestaffelte Rollouts, und notieren Sie sich die Richtlinien-ID:

    $MgPolicyFeatureRolloutPolicy = @{
    Feature    = "EmailAsAlternateId"
    DisplayName = "EmailAsAlternateId Rollout Policy"
    IsEnabled   = $true
    }
    New-MgBetaPolicyFeatureRolloutPolicy @MgPolicyFeatureRolloutPolicy
    
  5. Suchen Sie die directoryObject-ID für die Gruppe, die der Richtlinie für gestaffelte Rollouts hinzugefügt werden soll. Notieren Sie sich den Wert, der für den Id-Parameter zurückgegeben wird, da Sie ihn im nächsten Schritt benötigen.

    Get-MgBetaGroup -Filter "DisplayName eq 'Name of group to be added to the staged rollout policy'"
    
  6. Fügen Sie die Gruppe wie im folgenden Beispiel der Richtlinie für gestaffelte Rollouts hinzu. Ersetzen Sie den Wert im Parameter FeatureRolloutPolicyId durch den Wert, der in Schritt 4 für die Richtlinien-ID zurückgegeben wurde, und den Wert im Parameter -OdataId durch die Id, die Sie sich in Schritt 5 notiert haben. Es kann bis zu einer Stunde dauern, bis Benutzer*innen in der Gruppe sich mit ihrer E-Mail-Adresse als alternative Anmelde-ID bei Microsoft Entra ID anmelden können.

    New-MgBetaDirectoryFeatureRolloutPolicyApplyToByRef `
       -FeatureRolloutPolicyId "ROLLOUT_POLICY_ID" `
       -OdataId "https://graph.microsoft.com/v1.0/directoryObjects/{GROUP_OBJECT_ID}"
    

Für neu zur Gruppe hinzugefügte Mitglieder kann es bis zu 24 Stunden dauern, bis sie sich mit ihrer E-Mail-Adresse als alternative Anmelde-ID bei Microsoft Entra ID anmelden können.

Entfernen von Gruppen

Führen Sie den folgenden Befehl aus, um eine Gruppe aus einer Richtlinie für gestaffelte Rollouts zu entfernen:

Remove-MgBetaPolicyFeatureRolloutPolicyApplyToByRef -FeatureRolloutPolicyId "ROLLOUT_POLICY_ID" -DirectoryObjectId "GROUP_OBJECT_ID"

Entfernen von Richtlinien

Um eine Richtlinie für gestaffelte Rollouts zu entfernen, deaktivieren Sie die Richtlinie zunächst und entfernen sie dann aus dem System:

Update-MgBetaPolicyFeatureRolloutPolicy -FeatureRolloutPolicyId "ROLLOUT_POLICY_ID" -IsEnabled:$false 
Remove-MgBetaPolicyFeatureRolloutPolicy -FeatureRolloutPolicyId "ROLLOUT_POLICY_ID"

Testen der Benutzeranmeldung mit einer E-Mail-Adresse

Rufen Sie https://myprofile.microsoft.com auf, und melden Sie sich mit einer nicht als UPN registrierten E-Mail-Adresse (z. B. balas@fabrikam.com ) an, um zu testen, ob Benutzer sich mit einer E-Mail-Adresse anmelden können. Die Anmeldung sollte der Anmeldung mit einem UPN ähneln.

Problembehandlung

Wenn Benutzer Probleme mit der Anmeldung mit ihrer E-Mail-Adresse haben, führen Sie die folgenden Schritte zur Problembehandlung durch:

  1. Stellen Sie sicher, dass eine Stunde vergangen ist, seitdem die E-Mail-Adresse als alternative Anmelde-ID aktiviert wurde. Wenn der Benutzer erst kürzlich zu einer Gruppe für Richtlinien für gestaffelte Rollouts hinzugefügt wurde, müssen Sie sicherstellen, dass 24 Stunden seit dieser Hinzufügung zur Gruppe vergangen sind.

  2. Vergewissern Sie sich bei Verwendung von HRD-Richtlinien, dass die Definitionseigenschaft AlternateIdLogin der Microsoft Entra ID-Richtlinie HomeRealmDiscoveryPolicy auf "Enabled": true und die Eigenschaft IsOrganizationDefault auf True festgelegt sind:

    Get-MgBetaPolicyHomeRealmDiscoveryPolicy | Format-List *
    

    Vergewissern Sie sich bei Verwendung von Richtlinien für gestaffelte Rollouts, dass die Eigenschaft IsEnabled der Microsoft Entra ID-Richtlinie FeatureRolloutPolicy auf True festgelegt ist:

    Get-MgBetaPolicyFeatureRolloutPolicy
    
  3. Stellen Sie sicher, dass die E-Mail-Adresse des Benutzerkontos im ProxyAddresses-Attribut in Microsoft Entra ID festgelegt ist.

Anmeldeprotokolle

Screenshot: Microsoft Entra-Anmeldeprotokolle mit Aktivität „E-Mail-Adresse als alternative Anmelde-ID“

Sie können die Anmeldeprotokolle in Microsoft Entra ID überprüfen, um weitere Informationen zu erhalten. Anmeldungen mit der E-Mail-Adresse als alternative Anmelde-ID geben proxyAddress im Feld Anmeldebezeichnertyp und den eingegebenen Benutzername im Feld Anmeldebezeichner aus.

Widersprüchliche Werte zwischen synchronisierten Benutzern und reinen Cloudbenutzern

In einem Mandanten kann der UPN eines reinen Cloudbenutzers denselben Wert wie die Proxyadresse eines anderen Benutzers aufweisen, die aus dem lokalen Verzeichnis synchronisiert wurde. In diesem Szenario kann der Benutzer, der nur die Cloud verwendet, sich nicht mit seinem UPN anmelden, wenn das Feature aktiviert ist. Im Folgenden werden die Schritte zum Ermitteln dieses Problems aufgeführt.

  1. Öffnen Sie eine PowerShell-Sitzung als Administrator, und installieren Sie dann das AzureADPreview-Modul mithilfe des Cmdlets Install-Module:

    Install-Module Microsoft.Graph.Beta
    

    Wenn Sie dazu aufgefordert werden, wählen Sie Y, um NuGet zu installieren oder das Modul aus einem nicht vertrauenswürdigen Repository zu installieren.

  2. Zum Verwalten dieses Features ist ein globaler Administrator erforderlich.

    Melden Sie sich mit dem Cmdlet Connect-AzureAD bei Ihrem Microsoft Entra-Mandanten an:

    Connect-MgGraph -Scopes "User.Read.All"
    
  3. Rufen Sie die betroffenen Benutzer ab.

    # Get all users
    $allUsers = Get-MgUser -All
    
    # Get list of proxy addresses from all synced users
    $syncedProxyAddresses = $allUsers |
        Where-Object {$_.ImmutableId} |
        Select-Object -ExpandProperty ProxyAddresses |
        ForEach-Object {$_ -Replace "smtp:", ""}
    
    # Get list of user principal names from all cloud-only users
    $cloudOnlyUserPrincipalNames = $allUsers |
        Where-Object {!$_.ImmutableId} |
        Select-Object -ExpandProperty UserPrincipalName
    
    # Get intersection of two lists
    $duplicateValues = $syncedProxyAddresses |
        Where-Object {$cloudOnlyUserPrincipalNames -Contains $_}
    
  4. So geben Sie die betroffenen Benutzer aus:

    # Output affected synced users
    $allUsers |
        Where-Object {$_.ImmutableId -And ($_.ProxyAddresses | Where-Object {($duplicateValues | ForEach-Object {"smtp:$_"}) -Contains $_}).Length -GT 0} |
        Select-Object ObjectId, DisplayName, UserPrincipalName, ProxyAddresses, ImmutableId, UserType
    
    # Output affected cloud-only users
    $allUsers |
        Where-Object {!$_.ImmutableId -And $duplicateValues -Contains $_.UserPrincipalName} |
        Select-Object ObjectId, DisplayName, UserPrincipalName, ProxyAddresses, ImmutableId, UserType
    
  5. So geben Sie die betroffenen Benutzer in einer CSV-Datei aus:

    # Output affected users to CSV
    $allUsers |
        Where-Object {
            ($_.ImmutableId -And ($_.ProxyAddresses | Where-Object {($duplicateValues | ForEach-Object {"smtp:$_"}) -Contains $_}).Length -GT 0) -Or
            (!$_.ImmutableId -And $duplicateValues -Contains $_.UserPrincipalName)
        } |
        Select-Object ObjectId, DisplayName, UserPrincipalName, @{n="ProxyAddresses"; e={$_.ProxyAddresses -Join ','}}, @{n="IsSyncedUser"; e={$_.ImmutableId.Length -GT 0}}, UserType |
        Export-Csv -Path .\AffectedUsers.csv -NoTypeInformation
    

Nächste Schritte

Weitere Informationen zur Hybrididentität, z. B. Microsoft Entra-Anwendungsproxy oder Microsoft Entra Domain Services, finden Sie unter So stellt Microsoft Entra die über die Cloud gesteuerte Verwaltung für lokale Workloads bereit.

Weitere Informationen zu Hybrididentitätsvorgängen finden Sie unter Funktionsweise der Kennworthashsynchronisierung und Funktionsweise der Passthrough-Authentifizierung.