Настройка альтернативного идентификатора входа

• Применяется к:

  ✅ Windows Server 2025, ✅ Windows Server 2022, ✅ Windows Server 2019, ✅ Windows Server 2016

Что такое альтернативный идентификатор входа?

В большинстве случаев пользователи используют свои унифицированные имена пользователей (UPN) для входа в свои учетные записи. Однако в некоторых средах из-за корпоративных политик или зависимостей локальных бизнес-приложений пользователи могут использовать другую форму входа.

Примечание.

Рекомендованные лучшие практики Microsoft предполагают совпадение UPN с основным SMTP-адресом. В этой статье рассматривается небольшой процент клиентов, которые не могут привести UPN в соответствие с требованиями.

Например, они могут использовать свой идентификатор электронной почты для входа, и он может отличаться от имени пользователя. Это особенно распространено в сценариях, когда их UPN (имя пользователя) не является маршрутизируемым. Представим пользователя Джейн Доу с УПН jdoe@contoso.local и адресом электронной почты jdoe@contoso.com. Джейн может даже не знать об уникальном имени пользователя, так как она всегда использовала свой адрес электронной почты для входа. Использование любого другого метода входа вместо имени пользователя (UPN) считается альтернативным идентификатором. Дополнительную информацию о создании UserPrincipalName см. в разделе Microsoft Entra заполнение UserPrincipalName.

Службы федерации Active Directory (AD FS) позволяют федеративным приложениям использовать AD FS для входа с помощью альтернативного идентификатора. Это позволяет администраторам указать альтернативное значение UPN для использования при входе в систему. AD FS уже поддерживает использование любой формы идентификатора пользователя, принятого доменными службами Active Directory (AD DS). При настройке альтернативного идентификатора AD FS пользователи могут войти с помощью настроенного альтернативного значения идентификатора, например идентификатора электронной почты. Использование альтернативного идентификатора позволяет внедрять поставщика SaaS, такого как Office 365, без изменения имен UPN в локальной инфраструктуре. Он также позволяет поддерживать приложения для бизнес-сервисов с идентификацией, предоставленной потребителем.

Альтернативный идентификатор в Microsoft Entra ID

Организации может потребоваться использовать альтернативный идентификатор в следующих сценариях:

1. Локальное доменное имя не является маршрутизируемым, например contoso.local, и в результате имя участника-пользователя по умолчанию не является маршрутизируемым (jdoe@contoso.local). Существующее уникальное имя пользователя невозможно изменить в связи с зависимостями локальных приложений или политикой компании. Идентификатор Microsoft Entra и Office 365 требуют, чтобы все суффиксы домена, связанные с каталогом Microsoft Entra, были полностью маршрутизируемыми в Интернете.
2. Локальный UPN не совпадает с адресом электронной почты пользователя и для входа в Office 365 пользователи используют адрес электронной почты, поскольку использование UPN невозможно из-за ограничений организации. В описанных выше сценариях альтернативный идентификатор с AD FS позволяет пользователям входить в Microsoft Entra ID без изменения локальных UPN.

Настройка альтернативного идентификатора входа

Использование Microsoft Entra Connect Мы рекомендуем использовать Microsoft Entra Connect для настройки альтернативного идентификатора входа в среду.

• Сведения о новой конфигурации Microsoft Entra Connect см. в разделе "Подключение к идентификатору Microsoft Entra ID" для получения подробных инструкций по настройке альтернативного идентификатора и фермы AD FS.
• Сведения о существующих установках Microsoft Entra Connect см. в разделе "Изменение метода входа пользователя" для инструкций по изменению метода входа в AD FS

Если Microsoft Entra Connect предоставляет сведения о среде AD FS, она автоматически проверяет наличие правильной базы знаний в AD FS и настраивает AD FS для альтернативного идентификатора, включая все необходимые правила утверждений для доверия федерации Microsoft Entra. Для настройки альтернативного идентификатора не требуется дополнительных шагов.

Примечание.

Корпорация Майкрософт рекомендует использовать Microsoft Entra Connect для настройки альтернативного идентификатора входа.

Настройка альтернативного идентификатора вручную

Чтобы настроить альтернативный идентификатор входа, необходимо выполнить следующие задачи:

Настройка доверия поставщика утверждений AD FS для включения альтернативного идентификатора входа

1. Если у вас есть Windows Server 2012 R2, убедитесь, что на всех серверах AD FS установлен KB2919355. Вы можете получить его с помощью служб Центра обновления Windows или скачать его напрямую.

2. Обновите конфигурацию AD FS, выполнив следующий командлет PowerShell на любом из серверов федерации в ферме (если у вас есть ферма WID, необходимо выполнить эту команду на основном сервере AD FS в ферме):

Set-AdfsClaimsProviderTrust -TargetIdentifier "AD AUTHORITY" -AlternateLoginID <attribute> -LookupForests <forest domain>

AlternateLoginID — это имя LDAP атрибута, который вы хотите использовать для входа.

LookupForests — это список DNS лесов, к которым принадлежат ваши пользователи.

Чтобы включить функцию альтернативного идентификатора входа, необходимо настроить параметры как -AlternateLoginID, так и -LookupForests с допустимым значением, не равным NULL.

В следующем примере вы активируете альтернативную функцию идентификатора входа, чтобы пользователи с учетными записями в доменах contoso.com и fabrikam.com могли входить в приложения, поддерживающие AD FS, с помощью атрибута mail.

Set-AdfsClaimsProviderTrust -TargetIdentifier "AD AUTHORITY" -AlternateLoginID mail -LookupForests contoso.com,fabrikam.com

3. Чтобы отключить эту функцию, задайте для обоих параметров значение NULL.

Set-AdfsClaimsProviderTrust -TargetIdentifier "AD AUTHORITY" -AlternateLoginID $NULL -LookupForests $NULL

Гибридная современная проверка подлинности с альтернативным идентификатором

Это важно

Только следующее было протестировано с AD FS, но не со сторонними поставщиками удостоверений.

Exchange и Skype для бизнеса

Если вы используете альтернативный идентификатор входа в Exchange и Skype для бизнеса, взаимодействие с пользователем зависит от того, используете ли вы HMA.

Примечание.

Для лучшего взаимодействия с конечным пользователем корпорация Майкрософт рекомендует использовать гибридную современную проверку подлинности.

для получения дополнительной информации см. Обзор гибридной современной аутентификации

Предварительные требования для Exchange и Skype для бизнеса

Ниже приведены предварительные требования для достижения единого входа, используя альтернативный идентификатор.

• Exchange Online должен включать современную проверку подлинности.
• Skype для бизнеса (SFB) Online должен включать современную проверку подлинности.
• В локальной среде Exchange должна быть включена современная проверка подлинности. Exchange 2013 CU19 или Exchange 2016 CU18 и более поздней версии требуется на всех серверах Exchange. В среде нет Exchange 2010.
• В локальной среде Skype для бизнеса должна быть включена современная проверка подлинности.
• Необходимо использовать клиенты Exchange и Skype с поддержкой современной проверки подлинности. Все серверы должны работать под управлением SFB Server 2015 CU5.
• Клиенты Skype для бизнеса с поддержкой современной проверки подлинности
  • iOS, Android, Windows Phone
  • SFB 2016 (MA имеет значение ON по умолчанию, но убедитесь, что он не отключен.)
  • SFB 2013 (MA — OFF по умолчанию, поэтому убедитесь, что MA включен.)
  • Рабочий стол SFB на Mac
• Клиенты Exchange, которые поддерживают современную проверку подлинности и регистрационные ключи AltID
  • Только Office Pro Plus 2016

Поддерживаемая версия Office

Настройка каталога для единого входа с альтернативным идентификатором

Использование альтернативного идентификатора может вызвать дополнительные запросы на проверку подлинности, если эти дополнительные конфигурации не завершены. См. статью о возможном влиянии на взаимодействие с пользователем с альтернативным идентификатором.

Благодаря следующей дополнительной конфигурации взаимодействие с пользователем значительно улучшается, и вы можете достичь практически отсутствующих запросов на проверку подлинности для пользователей с альтернативными идентификаторами в вашей организации.

Шаг 1. Обновление до требуемой версии Office

Office версии 1712 (сборка no 8827.2148) и выше обновила логику проверки подлинности для обработки сценария альтернативного идентификатора. Чтобы использовать новую логику, клиентские компьютеры должны быть обновлены до Office версии 1712 (сборка no 8827.2148) и выше.

Шаг 2. Обновление до требуемой версии Windows

Windows версии 1709 и выше обновили логику проверки подлинности для обработки сценария альтернативного идентификатора. Чтобы использовать новую логику, клиентские компьютеры должны быть обновлены до Windows версии 1709 и выше.

Шаг 3. Настройка реестра для затронутых пользователей с помощью групповой политики

Приложения Office полагаются на информацию, отправленную администратором каталога, чтобы определить среду Alternate ID. Следующие ключи в реестре должны быть настроены, чтобы помочь приложениям Office аутентифицировать пользователя с альтернативным идентификатором без отображения дополнительных запросов.

Regkey для добавления	Имя, тип и значение данных regkey	Windows 7/8	Windows 10	Описание
HKEY_CURRENT_USER\Software\Microsoft\AuthN	DomainHint REG_SZ contoso.com	Обязательно	Обязательно	Значение этого регистрационного ключа — это проверенное настраиваемое доменное имя в аренде организации. Например, Contoso Corp может предоставить значение Contoso.com в этом regkey, если Contoso.com является одним из проверенных личных доменных имен в клиенте Contoso.onmicrosoft.com.
HKEY_CURRENT_USER\Software\Microsoft\Office\16.0\Common\Identity	EnableAlternateIdSupport REG_DWORD 1	Требуется для Outlook 2016 ProPlus	Требуется для Outlook 2016 Pro Plus	Значение этого regkey может иметь значение 1/0, чтобы указать приложению Outlook, следует ли использовать улучшенную логику проверки подлинности альтернативного идентификатора.
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\contoso.com\sts	* REG_DWORD 1	Обязательно	Обязательно	Этот regkey можно использовать для установки STS в качестве доверенной зоны в параметрах интернета. Стандартное развертывание AD FS рекомендует добавить пространство имен AD FS в зону локальной интрасети для Internet Explorer.

Новый поток проверки подлинности после дополнительной настройки

1. a. Пользователь создан в Microsoft Entra ID с использованием альтернативного идентификатора
   b. Администратор каталога отправляет необходимые параметры ключа реестра на затронутые клиентские компьютеры.
2. Пользователь проходит проверку подлинности на локальном компьютере и открывает приложение office
3. Приложение Office принимает учетные данные локального сеанса
4. Приложение Office проходит аутентификацию в Microsoft Entra ID с использованием подсказки домена, отправленной администратором, и локальных учетных данных.
5. Microsoft Entra ID успешно аутентифицирует пользователя, направляя в правильное федеративное пространство и выдаёт токен.

Приложения и взаимодействие с пользователем после дополнительной настройки

Клиенты, отличные от Exchange и Skype для бизнеса

Клиент	Заявление о поддержке	Замечания
Microsoft Teams	Поддерживается	Microsoft Teams поддерживает AD FS (SAML-P, WS-Fed, WS-Trust и OAuth) и современную проверку подлинности. Основные функции Microsoft Teams, такие как каналы, чаты и файлы, работают с альтернативным идентификатором входа. 1-е и 3-е сторонние приложения должны быть отдельно расследованы клиентом. Это связано с тем, что каждое приложение обладает собственными протоколами аутентификации поддержки.
OneDrive для бизнеса	Поддерживается — рекомендуется создать ключ реестра на стороне клиента	При настройке альтернативного идентификатора вы увидите, что локальный UPN предварительно заполнен в поле подтверждения. Это нужно изменить на альтернативную идентичность, которая используется. Мы рекомендуем использовать ключ реестра клиента, описанный в статье: Office 2013 и Lync 2013 периодически запрашивают учетные данные для SharePoint Online, OneDrive и Lync Online.
Клиент OneDrive для бизнеса Mobile	Поддерживается
Страница активации Office 365 профессиональный плюс	Поддерживается. Рекомендуется настроить ключ реестра на стороне клиента.	При настройке альтернативного идентификатора вы увидите, что локальное имя участника предварительно заполняется в поле проверки. Это необходимо изменить на используемую альтернативную идентичность. Мы рекомендуем использовать ключ реестра на стороне клиента, указанный в этой статье: Office 2013 и Lync 2013 периодически запрашивают учетные данные для SharePoint Online, OneDrive и Lync Online.

Клиенты Exchange и Skype для бизнеса

Клиент	Заявление о поддержке — с HMA	Заявление о поддержке — без HMA
Перспектива	Поддерживается, поддержки дополнительных запросов нет	Поддерживается с модерной аутентификацией для Exchange Online: поддерживается с обычной аутентификацией для Exchange Online: поддерживается со следующими оговорками: Вы должны использовать компьютер, присоединенный к домену, и быть подключены к корпоративной сети. Можно использовать только альтернативный идентификатор в средах, которые не разрешают внешний доступ пользователям почтовых ящиков. Это означает, что пользователи могут проходить проверку подлинности только в почтовому ящику поддерживаемым образом, если они подключены и присоединены к корпоративной сети, на VPN или подключены через машины с Direct Access, но при настройке профиля Outlook появится несколько дополнительных запросов.
Гибридные общедоступные папки	Поддерживается без дополнительных запросов.	С помощью современной проверки подлинности для Exchange Online: поддерживается С помощью регулярной проверки подлинности для Exchange Online: не поддерживается Гибридные общедоступные папки не могут расширяться, если используются альтернативные идентификаторы и поэтому не следует использовать сегодня с обычными методами проверки подлинности.
Делегирование между различными площадками	См. настройте Exchange для поддержки делегированных прав доступа к почтовому ящику в гибридной среде	См. Настроить Exchange для поддержки делегированных разрешений почтового ящика в гибридном развертывании
Архивный доступ к почтовому ящику (локальный почтовый ящик — архив в облаке)	Поддерживаются, дополнительные подсказки не требуются	Поддерживается. Пользователи получают дополнительный запрос учетных данных при доступе к архиву, при появлении запроса им необходимо указать альтернативный идентификатор.
Outlook Web Access	Поддерживается	Поддерживается
Мобильные приложения Outlook для Android, IOS и Windows Phone	Поддерживается	Поддерживается
Skype для бизнеса или Lync	Поддерживается без дополнительных запросов	Поддерживается (за исключением отмеченных), но существует потенциальная путаница для пользователя. На мобильных клиентах альтернативный идентификатор поддерживается только, если SIP-адрес = адрес электронной почты = альтернативный идентификатор. пользователям может потребоваться дважды войти в настольный клиент Skype для бизнеса: сначала с использованием локального имени входа в сеть, а затем с использованием альтернативного идентификатора. (Обратите внимание, что "Адрес входа" на самом деле является SIP-адресом, который может не совпадать с именем пользователя, хотя и часто). При первом появлении запроса на имя пользователя пользователь должен ввести имя участника-пользователя, даже если он неправильно заполнен альтернативным идентификатором или SIP-адресом. После того, как пользователь щелкает Войти с помощью UPN, снова запрашивается имя пользователя, на этот раз предварительно заполненное UPN. На этот раз пользователь должен заменить его альтернативным идентификатором и нажать кнопку "Войти", чтобы завершить процесс входа. На мобильных клиентах пользователи должны ввести локальный идентификатор пользователя на расширенной странице, используя формат стиля SAM (домен\имя пользователя), а не UPN формат. После успешного входа, если Skype для бизнеса или Lync говорит, что "Exchange нуждается в учетных данных", понадобится указать учетные данные, допустимые для расположения почтового ящика. Если почтовый ящик находится в облаке, необходимо указать альтернативный идентификатор. Если почтовый ящик находится в локальной среде, необходимо указать локальный UPN (имя пользователя-пользователя).

Дополнительные сведения и рекомендации

• Идентификатор Microsoft Entra предлагает различные функции, связанные с альтернативным идентификатором входа.

  • Функция конфигурации альтернативного имени входа AD FS для федеративной среды¹ инфраструктуры удостоверений, описанной в этой статье.
  • Конфигурация синхронизации Microsoft Entra Connect , которая определяет, какой локальный атрибут используется в качестве имени пользователя Microsoft Entra (userPrincipalName) для федеративных¹ или управляемых² сред инфраструктуры идентификаций, частично описанных в этой статье.
  • Вход в Microsoft Entra ID с использованием электронной почты в качестве альтернативного логина для управляемой инфраструктуры удостоверений².

• Функция альтернативного идентификатора входа, описанная в этой статье, доступна для среды федеративной инфраструктуры идентификации¹. Он не поддерживается в следующих сценариях:

  • Атрибут AlternateLoginID с не маршрутизируемыми доменами (например, Contoso.local), который не может быть проверен Microsoft Entra ID.
  • Управляемые среды, в которых не развернута служба AD FS. Пожалуйста, обратитесь к документации по синхронизации Microsoft Entra Connect (,) или к документации с инструкцией о том, как использовать адрес электронной почты в качестве альтернативного идентификатора для входа в систему Microsoft Entra ID (). Если вы решите настроить конфигурацию синхронизации Microsoft Entra Connect в управляемой² инфраструктуре удостоверений, раздел "Приложения и пользовательский опыт после дополнительной конфигурации" этой статьи может по-прежнему применяться, хотя конкретная конфигурация AD FS больше не применима, так как AD FS не развертывается в управляемой² инфраструктуре удостоверений.

• При включении функция альтернативного идентификатора входа доступна только для проверки подлинности имени пользователя и пароля во всех протоколах проверки подлинности имени пользователя и пароля, поддерживаемых AD FS (SAML-P, WS-Fed, WS-Trust и OAuth).

• При выполнении интегрированной аутентификации Windows (WIA) (например, когда пользователи пытаются получить доступ к корпоративному приложению на компьютере, подключенном к домену, из интрасети, и администратор AD FS настроил политику аутентификации для использования WIA в интрасети), для аутентификации используется UPN. Если вы настроили какие-либо правила утверждений для проверяющих сторон для функции альтернативного идентификатора входа, убедитесь, что эти правила по-прежнему действительны в случае WIA.

• Если этот параметр включен, требуется, чтобы по крайней мере один глобальный сервер каталога был доступен с сервера AD FS для каждого леса учетных записей пользователей, поддерживаемых AD FS. Сбой доступа к серверу глобального каталога в лесу учетной записи пользователя приводит к тому, что AD FS переходит к использованию UPN. По умолчанию все контроллеры домена являются глобальными серверами каталога.

• Когда эта функция включена, если сервер AD FS находит несколько объектов пользователя с одним и тем же альтернативным значением идентификатора входа, указанным во всех настроенных лесах учетных записей пользователей, вход не выполняется.

• Если включена функция альтернативного идентификатора входа, AD FS сначала пытается выполнить проверку подлинности конечного пользователя с помощью альтернативного идентификатора входа, а затем, если не удается найти учетную запись, которая может быть определена по альтернативному идентификатору, возвращается к использованию UPN. Убедитесь, что между альтернативным идентификатором входа и UPN нет конфликтов, если вы хотите по-прежнему поддерживать вход с использованием UPN. Например, если установить атрибут почты одного пользователя с использованием UPN другого, то это блокирует ему вход с его UPN.

• Если один из лесов, настроенных администратором, отключен, AD FS продолжает искать учетную запись пользователя с альтернативным идентификатором входа в других лесах, настроенных. Если сервер AD FS находит объекты уникальных пользователей в лесах, в которых он осуществил поиск, пользователь успешно входит в систему.

• Кроме того, вы можете настроить страницу входа AD FS, чтобы предоставить конечным пользователям некоторое указание о альтернативном идентификаторе входа. Это можно сделать, добавив описание настраиваемой страницы входа (дополнительные сведения см. в разделе Настройка страниц входа AD FS или настройка строки "Вход с учетной записью организации" над полем имени пользователя (дополнительные сведения см. в разделе Расширенная настройка страниц входа AD FS.

• Новый тип утверждения, содержащий альтернативное значение идентификатора входа, — http:schemas.microsoft.com/ws/2013/11/alternateloginid

¹ Федеративная инфраструктурная среда удостоверений представляет собой среду с поставщиком удостоверений, таким как AD FS, или другим сторонним IDP.

² A Управляемой инфраструктуре удостоверений представляет среду с идентификатором Microsoft Entra в качестве поставщика удостоверений, развернутого с синхронизацией хэша паролей (PHS) или сквозной проверкой подлинности (PTA).

Счетчики событий и производительности

Добавлены следующие счетчики производительности для измерения производительности серверов AD FS при включении альтернативного идентификатора входа:

• Альтернативные проверки подлинности идентификатора входа: количество аутентификаций, выполняемых с помощью альтернативного идентификатора входа

• Альтернативный идентификатор входа в секунду: количество аутентификаций, выполняемых с помощью альтернативного идентификатора входа в секунду

• Средняя задержка поиска для альтернативного идентификатора входа: средняя задержка поиска в лесах, настроенная администратором для альтернативного идентификатора входа

Ниже приведены различные случаи ошибок и соответствующее влияние на взаимодействие с пользователем при входе в систему с событиями, зарегистрированными AD FS:

случаи ошибок	Влияние на опыт входа	Событие
Не удалось получить значение SAMAccountName для объекта пользователя	Сбой входа	Идентификатор события 364 с сообщением об исключении MSIS8012: не удается найти samAccountName для пользователя: "{0}".
Атрибут CanonicalName недоступен	Сбой входа	Идентификатор события 364 с сообщением об исключении MSIS8013: Каноническое имя: "{0}" пользователя:"{1}" имеет неверный формат.
Несколько объектов пользователей находятся в одном лесу	Сбой входа	Идентификатор события 364 с сообщением об исключении MSIS8015: найдено несколько учетных записей пользователей с идентификатором "{0}" в лесу "{1}" с идентификаторами: {2}
Несколько объектов пользователей находятся в нескольких лесах	Сбой входа	Идентификатор события 364 с сообщением об исключении MSIS8014: найдено несколько учетных записей пользователей с удостоверением "{0}" в лесах: {1}

См. также

операции AD FS