Logowanie do usługi Microsoft Entra ID przy użyciu poczty e-mail jako alternatywnego identyfikatora logowania (wersja zapoznawcza) (wersja zapoznawcza)
Uwaga
Zaloguj się do firmy Microsoft Entra ID przy użyciu adresu e-mail jako alternatywnego identyfikatora logowania jest funkcją publicznej wersji zapoznawczej identyfikatora Entra firmy Microsoft. Aby uzyskać więcej informacji na temat wersji zapoznawczych, zobacz temat Dodatkowe warunki użytkowania dotyczące wersji zapoznawczych platformy Microsoft Azure.
Wiele organizacji chce zezwolić użytkownikom na logowanie się do identyfikatora Entra firmy Microsoft przy użyciu tych samych poświadczeń co środowisko katalogu lokalnego. W przypadku tego podejścia, znanego jako uwierzytelnianie hybrydowe, użytkownicy muszą pamiętać tylko jeden zestaw poświadczeń.
Niektóre organizacje nie zostały przeniesione do uwierzytelniania hybrydowego z następujących powodów:
- Domyślnie główna nazwa użytkownika firmy Microsoft (UPN) jest ustawiona na tę samą wartość co lokalna nazwa UPN.
- Zmiana nazwy UPN firmy Microsoft powoduje niezgodność między środowiskami lokalnymi i microsoft Entra, które mogą powodować problemy z niektórymi aplikacjami i usługami.
- Ze względu na przyczyny biznesowe lub zgodność organizacja nie chce używać lokalnej nazwy UPN do logowania się do identyfikatora Entra firmy Microsoft.
Aby przejść do uwierzytelniania hybrydowego, możesz skonfigurować identyfikator entra firmy Microsoft, aby umożliwić użytkownikom logowanie się przy użyciu adresu e-mail jako alternatywnego identyfikatora logowania. Jeśli na przykład firma Contoso zmieniła nazwę na Fabrikam, zamiast logować się przy użyciu starszej ana@contoso.com
nazwy UPN, można użyć adresu e-mail jako alternatywnego identyfikatora logowania. Aby uzyskać dostęp do aplikacji lub usługi, użytkownicy logują się do usługi Microsoft Entra ID przy użyciu adresu e-mail innego niż UPN, takiego jak ana@fabrikam.com
.
W tym artykule przedstawiono sposób włączania i używania poczty e-mail jako alternatywnego identyfikatora logowania.
Zanim rozpoczniesz
Oto, co musisz wiedzieć o wiadomości e-mail jako alternatywny identyfikator logowania:
Funkcja jest dostępna w wersji Microsoft Entra ID Free i nowszej.
Ta funkcja umożliwia logowanie się za pomocą proxyAddresses, oprócz nazwy UPN, dla użytkowników firmy Microsoft Entra uwierzytelnionych w chmurze. Więcej informacji na temat tego, jak dotyczy to współpracy między firmami firmy Microsoft (B2B) w sekcji B2B .
Gdy użytkownik zaloguje się przy użyciu adresu e-mail innego niż nazwa UPN,
unique_name
oświadczenia ipreferred_username
(jeśli istnieją) w tokenie identyfikatora, zwróci wiadomość e-mail inną niż UPN.- Jeśli używana wiadomość e-mail innej niż UPN stanie się nieaktualna (nie należy już do użytkownika), te oświadczenia będą zwracać zamiast tego nazwę UPN.
Funkcja obsługuje uwierzytelnianie zarządzane za pomocą funkcji synchronizacji skrótów haseł (PHS) lub uwierzytelniania przekazywanego (PTA).
Istnieją dwie opcje konfigurowania funkcji:
- Zasady odnajdywania obszaru głównego (HRD) — ta opcja umożliwia włączenie funkcji dla całej dzierżawy. Wymagana jest co najmniej rola administratora aplikacji.
- Zasady wdrażania etapowego — ta opcja służy do testowania funkcji z określonymi grupami firmy Microsoft Entra. Po pierwszym dodaniu grupy zabezpieczeń do wdrożenia etapowego możesz ograniczyć do 200 użytkowników, aby uniknąć przekroczenia limitu czasu środowiska użytkownika. Po dodaniu grupy możesz dodać do niej więcej użytkowników bezpośrednio, zgodnie z potrzebami.
Do zarządzania tą funkcją jest wymagany administrator globalny.
Ograniczenia wersji zapoznawczej
W bieżącym stanie wersji zapoznawczej następujące ograniczenia dotyczą wiadomości e-mail jako alternatywnego identyfikatora logowania:
Środowisko użytkownika — użytkownicy mogą widzieć swoją nazwę UPN, nawet jeśli zalogowali się przy użyciu poczty e-mail innej niż UPN. Można zobaczyć następujące przykładowe zachowanie:
- Użytkownik jest monitowany o zalogowanie się przy użyciu nazwy UPN po przekierowaniu do usługi Microsoft Entra logowania przy użyciu polecenia
login_hint=<non-UPN email>
. - Gdy użytkownik loguje się przy użyciu wiadomości e-mail innej niż UPN i wprowadza nieprawidłowe hasło, strona "Wprowadź hasło" zmieni się, aby wyświetlić nazwę UPN.
- W niektórych witrynach i aplikacjach firmy Microsoft, takich jak Microsoft Office, kontrolka Menedżer kont zazwyczaj wyświetlana w prawym górnym rogu może wyświetlać nazwę UPN użytkownika zamiast adresu e-mail innego niż nazwa UPN używana do logowania.
- Użytkownik jest monitowany o zalogowanie się przy użyciu nazwy UPN po przekierowaniu do usługi Microsoft Entra logowania przy użyciu polecenia
Nieobsługiwane przepływy — niektóre przepływy nie są obecnie zgodne z wiadomościami e-mail innych niż nazwy UPN, takimi jak następujące:
- Ochrona tożsamości Microsoft Entra nie pasuje do wiadomości e-mail innych niż nazwy UPNWykrywanie ryzyka wycieku poświadczeń. To wykrywanie ryzyka używa nazwy UPN do dopasowania poświadczeń, które zostały ujawnione. Aby uzyskać więcej informacji, zobacz How To: Investigate risk (Instrukcje: badanie ryzyka).
- Gdy użytkownik jest zalogowany przy użyciu wiadomości e-mail innej niż UPN, nie może zmienić hasła. Samoobsługowe resetowanie haseł (SSPR) firmy Microsoft powinno działać zgodnie z oczekiwaniami. Podczas samoobsługowego resetowania hasła użytkownik może zobaczyć swoją nazwę UPN, jeśli zweryfikuje swoją tożsamość przy użyciu wiadomości e-mail innej niż UPN.
Nieobsługiwane scenariusze — następujące scenariusze nie są obsługiwane. Zaloguj się przy użyciu adresu e-mail innego niż nazwa UPN dla:
- Urządzenia dołączone hybrydo do firmy Microsoft Entra
- Urządzenia dołączone do usługi Microsoft Entra
- Zarejestrowane urządzenia firmy Microsoft
- Poświadczenia hasła właściciela zasobu (ROPC)
- Logowanie jednokrotne i zasady ochrony aplikacji na platformie mobilnej
- Starsze uwierzytelnianie, takie jak POP3 i SMTP
- Skype dla firm
Nieobsługiwane aplikacje — niektóre aplikacje innych firm mogą nie działać zgodnie z oczekiwaniami, jeśli zakładają, że
unique_name
oświadczenia lubpreferred_username
są niezmienne lub zawsze będą zgodne z określonym atrybutem użytkownika, takim jak nazwa UPN.Rejestrowanie — zmiany wprowadzone w konfiguracji funkcji w zasadach HRD nie są jawnie wyświetlane w dziennikach inspekcji.
Zasady wdrażania etapowego — następujące ograniczenia mają zastosowanie tylko wtedy, gdy funkcja jest włączona przy użyciu zasad wdrażania etapowego:
- Funkcja nie działa zgodnie z oczekiwaniami w przypadku użytkowników, którzy są uwzględniani w innych zasadach wprowadzania etapowego.
- Zasady wprowadzania etapowego obsługują maksymalnie 10 grup na funkcję.
- Zasady wprowadzania etapowego nie obsługują grup zagnieżdżonych.
- Zasady wdrażania etapowego nie obsługują dynamicznych grup członkostwa.
- Obiekty kontaktów wewnątrz grupy będą blokować dodawanie grupy do zasad wprowadzania etapowego.
Zduplikowane wartości — w dzierżawie nazwa UPN użytkownika tylko w chmurze może być taka sama jak adres proxy innego użytkownika zsynchronizowany z katalogu lokalnego. W tym scenariuszu z włączoną funkcją użytkownik tylko w chmurze nie będzie mógł zalogować się przy użyciu nazwy UPN. Więcej informacji na temat tego problemu znajduje się w sekcji Rozwiązywanie problemów .
Omówienie alternatywnych opcji identyfikatora logowania
Aby zalogować się do identyfikatora Entra firmy Microsoft, użytkownicy wprowadź wartość, która jednoznacznie identyfikuje swoje konto. W przeszłości można było użyć tylko nazwy UPN firmy Microsoft jako identyfikatora logowania.
W przypadku organizacji, w których lokalna nazwa UPN jest preferowaną pocztą e-mail logowania użytkownika, takie podejście było doskonałe. Te organizacje ustawiłyby nazwę UPN firmy Microsoft na dokładnie taką samą wartość jak lokalna nazwa UPN, a użytkownicy mieliby spójne środowisko logowania.
Alternatywny identyfikator logowania dla usług AD FS
Jednak w niektórych organizacjach nazwa UPN lokalna nie jest używana jako identyfikator logowania. W środowiskach lokalnych należy skonfigurować lokalne usługi AD DS, aby zezwolić na logowanie przy użyciu alternatywnego identyfikatora logowania. Ustawienie nazwy UPN firmy Microsoft na taką samą wartość jak lokalna nazwa UPN nie jest opcją, ponieważ identyfikator Entra firmy Microsoft wymaga od użytkowników zalogowania się przy użyciu tej wartości.
Alternatywny identyfikator logowania w programie Microsoft Entra Connect
Typowym obejściem tego problemu było ustawienie nazwy UPN firmy Microsoft na adres e-mail, za pomocą którego użytkownik spodziewa się się zalogować. To podejście działa, chociaż powoduje różne nazwy UPN między lokalną usługą AD i identyfikatorem Microsoft Entra ID, a ta konfiguracja nie jest zgodna ze wszystkimi obciążeniami platformy Microsoft 365.
Adres e-mail jako alternatywny identyfikator logowania
Innym podejściem jest zsynchronizowanie identyfikatora Entra firmy Microsoft i lokalnych nazw UPN z tą samą wartością, a następnie skonfigurowanie identyfikatora Entra firmy Microsoft w celu umożliwienia użytkownikom logowania się do identyfikatora Entra firmy Microsoft przy użyciu zweryfikowanej poczty e-mail. Aby zapewnić tę możliwość, należy zdefiniować co najmniej jeden adres e-mail w atrybucie ProxyAddresses użytkownika w katalogu lokalnym. Adresy proxy są następnie automatycznie synchronizowane z identyfikatorem Entra FIRMY Microsoft przy użyciu programu Microsoft Entra Connect.
Opcja | Opis |
---|---|
Alternatywny identyfikator logowania dla usług AD FS | Włącz logowanie za pomocą atrybutu alternatywnego (takiego jak Poczta) dla użytkowników usług AD FS. |
Alternatywny identyfikator logowania w programie Microsoft Entra Connect | Zsynchronizuj atrybut alternatywny (taki jak Poczta) jako nazwę UPN firmy Microsoft. |
Adres e-mail jako alternatywny identyfikator logowania | Włącz logowanie przy użyciu zweryfikowanego serwera proxy domenyAddresses dla użytkowników firmy Microsoft Entra. |
Synchronizowanie adresów e-mail logowania z identyfikatorem entra firmy Microsoft
Tradycyjne uwierzytelnianie usług domena usługi Active Directory Services (AD DS) lub Active Directory Federation Services (AD FS) odbywa się bezpośrednio w sieci i jest obsługiwane przez infrastrukturę usług AD DS. W przypadku uwierzytelniania hybrydowego użytkownicy mogą zamiast tego logować się bezpośrednio do identyfikatora Entra firmy Microsoft.
Aby zapewnić obsługę tego podejścia do uwierzytelniania hybrydowego, należy zsynchronizować lokalne środowisko usług AD DS z identyfikatorem Entra ID firmy Microsoft przy użyciu programu Microsoft Entra Connect i skonfigurować je do używania phS lub PTA. Aby uzyskać więcej informacji, zobacz Wybieranie odpowiedniej metody uwierzytelniania dla rozwiązania tożsamości hybrydowej firmy Microsoft Entra.
W obu opcjach konfiguracji użytkownik przesyła swoją nazwę użytkownika i hasło do identyfikatora Entra firmy Microsoft, który weryfikuje poświadczenia i wystawia bilet. Gdy użytkownicy logowali się do identyfikatora Entra firmy Microsoft, eliminuje konieczność hostowania infrastruktury usług AD FS i zarządzania nią.
Jednym z atrybutów użytkownika, które są automatycznie synchronizowane przez program Microsoft Entra Connect, jest ProxyAddresses. Jeśli użytkownicy mają adres e-mail zdefiniowany w lokalnym środowisku usług AD DS w ramach atrybutu ProxyAddresses , jest on automatycznie synchronizowany z identyfikatorem Entra firmy Microsoft. Ten adres e-mail może być następnie używany bezpośrednio w procesie logowania w usłudze Microsoft Entra jako alternatywny identyfikator logowania.
Ważne
Tylko wiadomości e-mail w zweryfikowanych domenach dzierżawy są synchronizowane z identyfikatorem Entra firmy Microsoft. Każda dzierżawa firmy Microsoft Entra ma co najmniej jedną zweryfikowaną domenę, dla której sprawdzono własność i jest unikatowo powiązana z dzierżawą.
Aby uzyskać więcej informacji, zobacz Dodawanie i weryfikowanie niestandardowej nazwy domeny w identyfikatorze Entra firmy Microsoft.
Logowanie użytkownika-gościa B2B przy użyciu adresu e-mail
Adres e-mail jako alternatywny identyfikator logowania ma zastosowanie do współpracy Firmy Microsoft Entra B2B w modelu "bring your own sign-in identifiers". Jeśli adres e-mail jako identyfikator logowania alternatywnego jest włączony w dzierżawie głównej, użytkownicy firmy Microsoft Entra mogą wykonywać logowanie gościa przy użyciu poczty e-mail innej niż NAZWA UPN w punkcie końcowym dzierżawy zasobów. Aby włączyć tę funkcję, nie jest wymagana żadna akcja z dzierżawy zasobów.
Uwaga
Jeśli alternatywny identyfikator logowania jest używany w punkcie końcowym dzierżawy zasobów, który nie ma włączonej funkcji, proces logowania będzie działać bezproblemowo, ale logowanie jednokrotne zostanie przerwane.
Włączanie logowania użytkownika przy użyciu adresu e-mail
Uwaga
Ta opcja konfiguracji używa zasad HRD. Aby uzyskać więcej informacji, zobacz homeRealmDiscoveryPolicy typ zasobu.
Gdy użytkownicy z zastosowanym atrybutem ProxyAddresses zostaną zsynchronizowani z identyfikatorem Entra firmy Microsoft przy użyciu programu Microsoft Entra Connect, musisz włączyć tę funkcję, aby użytkownicy logowali się za pomocą poczty e-mail jako alternatywny identyfikator logowania dla dzierżawy. Ta funkcja informuje serwery logowania firmy Microsoft Entra, aby nie tylko sprawdzać identyfikator logowania względem wartości nazwy UPN, ale także względem wartości ProxyAddresses dla adresu e-mail.
Aby skonfigurować tę funkcję, możesz użyć centrum administracyjnego usługi Microsoft Entra lub programu Graph PowerShell.
Do zarządzania tą funkcją jest wymagany administrator globalny.
Centrum administracyjne Microsoft Entra
Napiwek
Kroki opisane w tym artykule mogą się nieznacznie różnić w zależności od portalu, od którego zaczynasz.
-
Zaloguj się do centrum administracyjnego firmy Microsoft Entra jako administrator globalny.
W menu nawigacji po lewej stronie okna Microsoft Entra wybierz pozycję Microsoft Entra Connect > Email jako alternatywny identyfikator logowania.
Kliknij pole wyboru obok pozycji Adres e-mail jako alternatywny identyfikator logowania.
Kliknij przycisk Zapisz.
Zastosowanie zasad może potrwać do jednej godziny, a użytkownicy mogą zalogować się przy użyciu alternatywnego identyfikatora logowania.
PowerShell
Uwaga
Ta opcja konfiguracji używa zasad HRD. Aby uzyskać więcej informacji, zobacz homeRealmDiscoveryPolicy typ zasobu.
Gdy użytkownicy z zastosowanym atrybutem ProxyAddresses zostaną zsynchronizowani z identyfikatorem Entra firmy Microsoft przy użyciu programu Microsoft Entra Connect, musisz włączyć tę funkcję, aby użytkownicy logowali się przy użyciu poczty e-mail jako alternatywny identyfikator logowania dzierżawy. Ta funkcja informuje serwery logowania firmy Microsoft Entra, aby nie tylko sprawdzać identyfikator logowania względem wartości nazwy UPN, ale także względem wartości ProxyAddresses dla adresu e-mail.
Do zarządzania tą funkcją jest wymagany administrator globalny.
Otwórz sesję programu PowerShell jako administrator, a następnie zainstaluj moduł Microsoft.Graph przy użyciu
Install-Module
polecenia cmdlet :Install-Module Microsoft.Graph
Aby uzyskać więcej informacji na temat instalacji, zobacz Instalowanie zestawu Microsoft Graph PowerShell SDK.
Zaloguj się do dzierżawy usługi Microsoft Entra przy użyciu
Connect-MgGraph
polecenia cmdlet :Connect-MgGraph -Scopes "Policy.ReadWrite.ApplicationConfiguration" -TenantId organizations
Polecenie wyświetli monit o uwierzytelnienie przy użyciu przeglądarki internetowej.
Sprawdź, czy element HomeRealmDiscoveryPolicy już istnieje w dzierżawie, używając
Get-MgPolicyHomeRealmDiscoveryPolicy
polecenia cmdlet w następujący sposób:Get-MgPolicyHomeRealmDiscoveryPolicy
Jeśli obecnie nie skonfigurowano żadnych zasad, polecenie nie zwraca niczego. Jeśli zasady są zwracane, pomiń ten krok i przejdź do następnego kroku, aby zaktualizować istniejące zasady.
Aby dodać element HomeRealmDiscoveryPolicy do dzierżawy, użyj
New-MgPolicyHomeRealmDiscoveryPolicy
polecenia cmdlet i ustaw atrybut AlternateIdLogin na wartość "Enabled": true , jak pokazano w poniższym przykładzie:$AzureADPolicyDefinition = @( @{ "HomeRealmDiscoveryPolicy" = @{ "AlternateIdLogin" = @{ "Enabled" = $true } } } | ConvertTo-JSON -Compress ) $AzureADPolicyParameters = @{ Definition = $AzureADPolicyDefinition DisplayName = "BasicAutoAccelerationPolicy" AdditionalProperties = @{ IsOrganizationDefault = $true } } New-MgPolicyHomeRealmDiscoveryPolicy @AzureADPolicyParameters
Po pomyślnym utworzeniu zasad polecenie zwraca identyfikator zasad, jak pokazano w następujących przykładowych danych wyjściowych:
Definition DeletedDateTime Description DisplayName Id IsOrganizationDefault ---------- --------------- ----------- ----------- -- --------------------- {{"HomeRealmDiscoveryPolicy":{"AlternateIdLogin":{"Enabled":true}}}} BasicAutoAccelerationPolicy HRD_POLICY_ID True
Jeśli istnieją już skonfigurowane zasady, sprawdź, czy atrybut AlternateIdLogin jest włączony, jak pokazano w następujących przykładowych danych wyjściowych zasad:
Definition DeletedDateTime Description DisplayName Id IsOrganizationDefault ---------- --------------- ----------- ----------- -- --------------------- {{"HomeRealmDiscoveryPolicy":{"AlternateIdLogin":{"Enabled":true}}}} BasicAutoAccelerationPolicy HRD_POLICY_ID True
Jeśli zasady istnieją, ale atrybut AlternateIdLogin , który nie jest obecny lub włączony, lub jeśli istnieją inne atrybuty w zasadach, które chcesz zachować, zaktualizuj istniejące zasady przy użyciu
Update-MgPolicyHomeRealmDiscoveryPolicy
polecenia cmdlet .Ważne
Podczas aktualizowania zasad upewnij się, że wszystkie stare ustawienia i nowy atrybut AlternateIdLogin .
Poniższy przykład dodaje atrybut AlternateIdLogin i zachowuje atrybut AllowCloudPasswordValidation , który został wcześniej ustawiony:
$AzureADPolicyDefinition = @( @{ "HomeRealmDiscoveryPolicy" = @{ "AllowCloudPasswordValidation" = $true "AlternateIdLogin" = @{ "Enabled" = $true } } } | ConvertTo-JSON -Compress ) $AzureADPolicyParameters = @{ HomeRealmDiscoveryPolicyId = "HRD_POLICY_ID" Definition = $AzureADPolicyDefinition DisplayName = "BasicAutoAccelerationPolicy" AdditionalProperties = @{ "IsOrganizationDefault" = $true } } Update-MgPolicyHomeRealmDiscoveryPolicy @AzureADPolicyParameters
Upewnij się, że zaktualizowane zasady zawierają zmiany i że atrybut AlternateIdLogin jest teraz włączony:
Get-MgPolicyHomeRealmDiscoveryPolicy
Uwaga
Zastosowanie zasad może potrwać do godziny, aby umożliwić użytkownikom logowanie się przy użyciu poczty e-mail jako alternatywnego identyfikatora logowania.
Usuwanie zasad
Aby usunąć zasady HRD, użyj Remove-MgPolicyHomeRealmDiscoveryPolicy
polecenia cmdlet :
Remove-MgPolicyHomeRealmDiscoveryPolicy -HomeRealmDiscoveryPolicyId "HRD_POLICY_ID"
Włączanie wprowadzania etapowego w celu przetestowania logowania użytkownika przy użyciu adresu e-mail
Uwaga
Ta opcja konfiguracji używa zasad wdrażania etapowego. Aby uzyskać więcej informacji, zobacz featureRolloutPolicy typ zasobu.
Zasady wdrażania etapowego umożliwiają administratorom dzierżawy włączanie funkcji dla określonych grup firmy Microsoft Entra. Zaleca się, aby administratorzy dzierżawy używali etapowego wdrażania w celu przetestowania logowania użytkownika przy użyciu adresu e-mail. Gdy administratorzy są gotowi do wdrożenia tej funkcji w całej dzierżawie, powinni używać zasad HRD.
Do zarządzania tą funkcją jest wymagany administrator globalny.
Otwórz sesję programu PowerShell jako administrator, a następnie zainstaluj moduł Microsoft.Graph.Beta przy użyciu polecenia cmdlet Install-Module :
Install-Module Microsoft.Graph.Beta
Jeśli zostanie wyświetlony monit, wybierz pozycję Y , aby zainstalować pakiet NuGet lub zainstalować z niezaufanego repozytorium.
Zaloguj się do dzierżawy firmy Microsoft Entra przy użyciu polecenia cmdlet Connect-MgGraph :
Connect-MgGraph -Scopes "Directory.ReadWrite.All"
Polecenie zwraca informacje o koncie, środowisku i identyfikatorze dzierżawy.
Wyświetl listę wszystkich istniejących zasad wdrażania etapowego przy użyciu następującego polecenia cmdlet:
Get-MgBetaPolicyFeatureRolloutPolicy
Jeśli nie ma istniejących zasad wdrażania etapowego dla tej funkcji, utwórz nowe zasady wdrażania etapowego i zanotuj identyfikator zasad:
$MgPolicyFeatureRolloutPolicy = @{ Feature = "EmailAsAlternateId" DisplayName = "EmailAsAlternateId Rollout Policy" IsEnabled = $true } New-MgBetaPolicyFeatureRolloutPolicy @MgPolicyFeatureRolloutPolicy
Znajdź identyfikator directoryObject grupy, która ma zostać dodana do zasad wdrażania etapowego. Zanotuj wartość zwróconą dla parametru Id , ponieważ zostanie użyta w następnym kroku.
Get-MgBetaGroup -Filter "DisplayName eq 'Name of group to be added to the staged rollout policy'"
Dodaj grupę do zasad wdrażania etapowego, jak pokazano w poniższym przykładzie. Zastąp wartość w parametrze -FeatureRolloutPolicyId wartością zwróconą dla identyfikatora zasad w kroku 4 i zastąp wartość parametru -OdataId identyfikatorem zanotowaną w kroku 5. Może upłynąć do 1 godziny, zanim użytkownicy w grupie będą mogli zalogować się do identyfikatora Entra firmy Microsoft przy użyciu adresu e-mail jako alternatywnego identyfikatora logowania.
New-MgBetaDirectoryFeatureRolloutPolicyApplyToByRef ` -FeatureRolloutPolicyId "ROLLOUT_POLICY_ID" ` -OdataId "https://graph.microsoft.com/v1.0/directoryObjects/{GROUP_OBJECT_ID}"
W przypadku nowych członków dodanych do grupy może upłynąć do 24 godzin, zanim będą mogli zalogować się do identyfikatora Entra firmy Microsoft przy użyciu adresu e-mail jako alternatywnego identyfikatora logowania.
Usuwanie grup
Aby usunąć grupę z zasad wdrażania etapowego, uruchom następujące polecenie:
Remove-MgBetaPolicyFeatureRolloutPolicyApplyToByRef -FeatureRolloutPolicyId "ROLLOUT_POLICY_ID" -DirectoryObjectId "GROUP_OBJECT_ID"
Usuwanie zasad
Aby usunąć zasady wdrażania etapowego, najpierw wyłącz zasady, a następnie usuń je z systemu:
Update-MgBetaPolicyFeatureRolloutPolicy -FeatureRolloutPolicyId "ROLLOUT_POLICY_ID" -IsEnabled:$false
Remove-MgBetaPolicyFeatureRolloutPolicy -FeatureRolloutPolicyId "ROLLOUT_POLICY_ID"
Testowanie logowania użytkownika przy użyciu adresu e-mail
Aby przetestować, czy użytkownicy mogą zalogować się przy użyciu poczty e-mail, przejdź do https://myprofile.microsoft.com adresu e-mail innego niż NAZWA UPN, na przykład balas@fabrikam.com
. Środowisko logowania powinno wyglądać tak samo jak logowanie przy użyciu nazwy UPN.
Rozwiązywanie problemów
Jeśli użytkownicy mają problemy z logowaniem się przy użyciu adresu e-mail, zapoznaj się z następującymi krokami rozwiązywania problemów:
Upewnij się, że wiadomość e-mail była co najmniej 1 godzina od włączenia alternatywnego identyfikatora logowania. Jeśli użytkownik został niedawno dodany do grupy na potrzeby zasad wdrażania etapowego, upewnij się, że został on dodany do grupy co najmniej 24 godziny.
Jeśli korzystasz z zasad HRD, upewnij się, że właściwość definicji Identyfikator Entra ID Firmy Microsoft HomeRealmDiscoveryPolicy ma właściwość definicji AlternateIdLogin ustawioną na wartość "Enabled": true i właściwość IsOrganizationDefault ustawioną na true:
Get-MgBetaPolicyHomeRealmDiscoveryPolicy | Format-List *
Jeśli używasz zasad wdrażania etapowego, upewnij się, że właściwość FeatureRolloutPolicy identyfikatora entra firmy Microsoft ma właściwość IsEnabled ustawioną na true:
Get-MgBetaPolicyFeatureRolloutPolicy
Upewnij się, że konto użytkownika ma swój adres e-mail ustawiony w atrybucie ProxyAddresses w identyfikatorze Entra firmy Microsoft.
Dzienniki logowania
Aby uzyskać więcej informacji, możesz przejrzeć dzienniki logowania w usłudze Microsoft Entra ID . Logowania za pomocą poczty e-mail jako alternatywnego identyfikatora logowania będą emitowane proxyAddress
w polu Typ identyfikatora logowania i wprowadzonej nazwy użytkownika w polu Identyfikator logowania.
Wartości powodujące konflikt między użytkownikami tylko w chmurze i zsynchronizowanymi użytkownikami
W ramach dzierżawy nazwa UPN użytkownika tylko w chmurze może przyjmować tę samą wartość, co adres proxy innego użytkownika zsynchronizowany z katalogu lokalnego. W tym scenariuszu z włączoną funkcją użytkownik tylko w chmurze nie będzie mógł zalogować się przy użyciu nazwy UPN. Poniżej przedstawiono kroki wykrywania wystąpień tego problemu.
Otwórz sesję programu PowerShell jako administrator, a następnie zainstaluj moduł AzureADPreview przy użyciu polecenia cmdlet Install-Module :
Install-Module Microsoft.Graph.Beta
Jeśli zostanie wyświetlony monit, wybierz pozycję Y , aby zainstalować pakiet NuGet lub zainstalować z niezaufanego repozytorium.
-
Do zarządzania tą funkcją jest wymagany administrator globalny.
Zaloguj się do dzierżawy usługi Microsoft Entra przy użyciu polecenia cmdlet Connect-AzureAD :
Connect-MgGraph -Scopes "User.Read.All"
Uzyskaj użytkowników, których dotyczy problem.
# Get all users $allUsers = Get-MgUser -All # Get list of proxy addresses from all synced users $syncedProxyAddresses = $allUsers | Where-Object {$_.ImmutableId} | Select-Object -ExpandProperty ProxyAddresses | ForEach-Object {$_ -Replace "smtp:", ""} # Get list of user principal names from all cloud-only users $cloudOnlyUserPrincipalNames = $allUsers | Where-Object {!$_.ImmutableId} | Select-Object -ExpandProperty UserPrincipalName # Get intersection of two lists $duplicateValues = $syncedProxyAddresses | Where-Object {$cloudOnlyUserPrincipalNames -Contains $_}
Aby uzyskać dane wyjściowe dla użytkowników, których dotyczy problem:
# Output affected synced users $allUsers | Where-Object {$_.ImmutableId -And ($_.ProxyAddresses | Where-Object {($duplicateValues | ForEach-Object {"smtp:$_"}) -Contains $_}).Length -GT 0} | Select-Object ObjectId, DisplayName, UserPrincipalName, ProxyAddresses, ImmutableId, UserType # Output affected cloud-only users $allUsers | Where-Object {!$_.ImmutableId -And $duplicateValues -Contains $_.UserPrincipalName} | Select-Object ObjectId, DisplayName, UserPrincipalName, ProxyAddresses, ImmutableId, UserType
Aby uzyskać dane wyjściowe dla użytkowników, których dotyczy problem, do woluminu CSV:
# Output affected users to CSV $allUsers | Where-Object { ($_.ImmutableId -And ($_.ProxyAddresses | Where-Object {($duplicateValues | ForEach-Object {"smtp:$_"}) -Contains $_}).Length -GT 0) -Or (!$_.ImmutableId -And $duplicateValues -Contains $_.UserPrincipalName) } | Select-Object ObjectId, DisplayName, UserPrincipalName, @{n="ProxyAddresses"; e={$_.ProxyAddresses -Join ','}}, @{n="IsSyncedUser"; e={$_.ImmutableId.Length -GT 0}}, UserType | Export-Csv -Path .\AffectedUsers.csv -NoTypeInformation
Następne kroki
Aby dowiedzieć się więcej o tożsamości hybrydowej, takiej jak microsoft Entra application proxy lub Microsoft Entra Domain Services, zobacz Microsoft Entra hybrid identity for access and management of on-prem workloads (Tożsamość hybrydowa firmy Microsoft Entra w celu uzyskania dostępu do obciążeń lokalnych i zarządzania nimi).
Aby uzyskać więcej informacji na temat operacji tożsamości hybrydowej, zobacz jak działa synchronizacja skrótów haseł lub synchronizacja uwierzytelniania przekazywanego.