配置备用登录 ID

什么是备用登录 ID?

在大多数情况下,用户都会使用其 UPN(用户主体名称)登录到其帐户。 但在某些环境中,由于公司策略或本地业务线应用程序依赖关系的原因,用户可能会使用其他某种形式的登录名。

注意

Microsoft 建议的最佳做法是使 UPN 与主要 SMTP 地址相匹配。 本文介绍如何解决少部分客户遇到的无法修正 UPN 以使其匹配的问题。

例如,他们可能使用电子邮件 ID 登录,而此 ID 与其 UPN 不同。 在 UPN 不可路由的情况下,这种问题特别常见。 假设用户 Jane Doe 的 UPN 为 jdoe@contoso.local,电子邮件地址为 jdoe@contoso.com。 Jane 甚至可能不知道 UPN 是什么,因为她一直使用电子邮件 ID 登录。 使用任何其他登录方法而不是 UPN 就表示使用的是备用 ID。 有关如何创建 UPN 的详细信息,请参阅 Microsoft Entra UserPrincipalName 填充

Active Directory 联合身份验证服务 (AD FS) 允许使用 AD FS 的联合应用程序使用备用 ID 登录。 因此,管理员能够指定可替代默认 UPN 的方法用于登录。 AD FS 已经能够支持使用 Active Directory 域服务 (AD DS) 所接受的任何形式的用户标识符。 进行备用 ID 配置时,AD FS 允许用户使用配置的备用 ID 值(例如电子邮件 ID)登录。 使用备用 ID 可以采用 Office 365 等 SaaS 提供程序,而无需修改本地 UPN。 这样还可以支持使用使用者预配的标识的业务线服务应用程序。

Microsoft Entra ID 中的备用 ID

在以下情况下,组织可能必须使用备用 ID:

  1. 本地域名不可路由(例如 contoso.local),因此默认用户主体名称不可路由 (jdoe@contoso.local)。 由于本地应用程序依赖关系或公司策略的原因,无法更改现有 UPN。 Microsoft Entra ID 和 Office 365 要求与 Microsoft Entra 目录关联的所有域后缀完全可通过 Internet 路由。
  2. 本地 UPN 与用户的电子邮件地址不同,由于组织中的约束,若要登录到 Office 365,用户需使用电子邮件地址,而不能使用 UPN。 在上述情况下,AD FS 的备用 ID 让用户无需修改本地 UPN 即可登录到 Microsoft Entra ID。

配置备用登录 ID

使用 Microsoft Entra Connect 建议使用 Microsoft Entra Connect 为环境配置备用登录 ID。

  • 要全新配置 Microsoft Entra Connect,请参阅“连接到 Microsoft Entra ID”,了解如何配置备用 ID 和 AD FS 场的详细说明。
  • 对于现有的 Microsoft Entra Connect 安装,请参阅“更改用户登录方法”,了解如何将登录方法更改为 AD FS 的说明

为 Microsoft Entra Connect 提供有关 AD FS 环境的详细信息后,它会自动检查 AD FS 上是否存在正确的 KB,并为备用 ID 配置 AD FS,包括用于 Microsoft Entra 联合身份验证信任的所有必要权限声明规则。 无需在向导外部执行其他步骤即可配置备用 ID。

注意

Microsoft 建议使用 Microsoft Entra Connect 配置备用登录 ID。

手动配置备用 ID

若要配置备用登录 ID,必须执行以下任务:

配置 AD FS 声明提供程序信任以启用备用登录 ID

  1. 如果使用 Windows Server 2012 R2,请确保已在所有 AD FS 服务器上安装 KB2919355。 可以通过 Windows 更新服务获取此 KB,也可以直接下载。

  2. 通过在场中的任何联合服务器上运行以下 PowerShell cmdlet 来更新 AD FS 配置(如果你有 WID 场,则必须在该场中的主要 AD FS 服务器上运行此命令):

Set-AdfsClaimsProviderTrust -TargetIdentifier "AD AUTHORITY" -AlternateLoginID <attribute> -LookupForests <forest domain>

AlternateLoginID 是用于登录的属性的 LDAP 名称。

LookupForests 是用户所属的林 DNS 列表。

若要启用备用登录 ID 功能,必须使用非 null 的有效值配置 -AlternateLoginID 和 -LookupForests 参数。

在以下示例中,你将启用备用登录 ID 功能,以便在 contoso.com 和 fabrikam.com 林中拥有帐户的用户可以使用其“mail”属性登录到已启用 AD FS 的应用程序。

Set-AdfsClaimsProviderTrust -TargetIdentifier "AD AUTHORITY" -AlternateLoginID mail -LookupForests contoso.com,fabrikam.com
  1. 若要禁用此功能,请将这两个参数的值设置为 null。
Set-AdfsClaimsProviderTrust -TargetIdentifier "AD AUTHORITY" -AlternateLoginID $NULL -LookupForests $NULL

使用备用 ID 进行混合新式身份验证

重要

以下操作仅已针对 AD FS 进行测试,而未针对第三方标识提供者进行测试。

Exchange 和 Skype for Business

如果在 Exchange 和 Skype for Business 中使用备用登录 ID,则用户体验将根据是否使用 HMA 而异。

注意

为了获得最佳的最终用户体验,Microsoft 建议使用混合新式身份验证。

有关详细信息,请参阅混合新式身份验证概述

Exchange 和 Skype for Business 先决条件

下面是使用备用 ID 实现 SSO 所要满足的先决条件。

  • 应该为 Exchange Online 打开新式身份验证。
  • 应该为 Skype for Business (SFB) Online 打开新式身份验证。
  • 应该为本地 Exchange 打开新式身份验证。 需要在所有 Exchange 服务器上安装 Exchange 2013 CU19 或 Exchange 2016 CU18 或更高版本。 环境中没有 Exchange 2010。
  • 应该为本地 Skype for Business 打开新式身份验证。
  • 必须使用已启用新式身份验证的 Exchange 和 Skype 客户端。 所有服务器必须运行 SFB Server 2015 CU5。
  • 支持新式身份验证的 Skype for Business 客户端
    • iOS、Android、Windows Phone
    • SFB 2016(MA 默认已打开,但请确保它未禁用。)
    • SFB 2013(MA 默认已关闭,因此请确保将其打开。)
    • SFB Mac 桌面
  • 支持新式身份验证和 AltID regkey 的 Exchange 客户端
    • 仅限 Office Pro Plus 2016

支持的 Office 版本

使用备用 ID 为目录配置 SSO

如果未完成这些附加配置,使用备用 ID 可能会导致出现额外的身份验证提示。 请参阅本文,了解使用备用 ID 时可能对用户体验造成的影响。

完成以下附加配置后,用户体验将得到大幅改进,组织中的备用 ID 用户几乎不会看到任何身份验证提示。

步骤 1:更新到所需的 Office 版本

Office 版本 1712(内部版本号 8827.2148)和更高版本已更新身份验证逻辑来处理备用 ID 方案。 若要利用新逻辑,客户端计算机需要更新到 Office 版本 1712(内部版本号 8827.2148)或更高版本。

步骤 2:更新到所需的 Windows 版本

Windows 版本 1709 和更高版本已更新身份验证逻辑来处理备用 ID 方案。 若要利用新逻辑,客户端计算机需要更新到 Windows 版本 1709 或更高版本。

步骤 3:使用组策略为受影响的用户配置注册表

Office 应用程序依赖使用目录管理员推送的信息来识别备用 ID 环境。 需要配置以下注册表项,以帮助 Office 应用程序使用备用 ID 对用户进行身份验证,且不显示任何额外的提示。

要添加的 Regkey Regkey 数据名称、类型和值 Windows 7/8 Windows 10 说明
HKEY_CURRENT_USER\Software\Microsoft\AuthN DomainHint
REG_SZ
contoso.com
必需 必需 此 regkey 的值是组织租户中已验证的自定义域名。 例如,如果 Contoso.com 是租户 Contoso.onmicrosoft.com 中已验证的自定义域名之一,则 Contoso 公司可以在此 regkey 中提供 Contoso.com 值。
HKEY_CURRENT_USER\Software\Microsoft\Office\16.0\Common\Identity EnableAlternateIdSupport
REG_DWORD
1
在 Outlook 2016 专业增强版中是必需的 在 Outlook 2016 专业增强版中是必需的 此 regkey 的值可为 1 或 0,指示 Outlook 应用程序是否应与改进的备用 ID 身份验证逻辑交互。
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\contoso.com\sts *
REG_DWORD
1
必需 必需 此 regkey 可用于在 Internet 设置中将 STS 设置为受信任区域。 标准 AD FS 部署建议将 AD FS 命名空间添加到 Internet Explorer 的本地 Intranet 区域。

完成附加配置后的新身份验证流

Authentication flow

  1. a:使用备用 ID 在 Microsoft Entra ID 中预配用户
    b:目录管理员将所需的 regkey 设置推送到受影响的客户端计算机
  2. 用户在本地计算机上进行身份验证,然后打开 Office 应用程序
  3. Office 应用程序提取本地会话凭据
  4. Office 应用程序使用管理员推送的域提示和本地凭据向 Microsoft Entra ID 进行身份验证
  5. Microsoft Entra ID 通过定向到正确的联合领域来成功对用户进行身份验证,然后颁发令牌

完成附加配置后的应用程序和用户体验

非 Exchange 和 Skype for Business 客户端

客户端 支持声明 注解
Microsoft Teams 支持
  • Microsoft Teams 支持 AD FS(SAML-P、WS-Fed、WS-Trust 与 OAuth)和新式身份验证。
  • Microsoft Teams 核心组件(例如通道、聊天和文件功能)可以使用备用登录 ID。
  • 客户必须单独调查第一方和第三方应用。 这是因为每个应用程序具有自身的支持性身份验证协议。
  • OneDrive for Business 支持 - 建议使用客户端注册表项 配置备用 ID 后,你会看到验证字段中预先填充了本地 UPN。 需要将它更改为正在使用的备用标识。 建议使用本文中所述的客户端注册表项:Office 2013 和 Lync 2013 会定期提示输入 SharePoint Online、OneDrive 和 Lync Online 的凭据。
    OneDrive for Business 移动客户端 支持
    Office 365 专业增强版激活页 支持 - 建议使用客户端注册表项 配置备用 ID 后,你会看到验证字段中预先填充了本地 UPN。 需要将它更改为正在使用的备用标识。 建议使用本文中所述的客户端注册表项:Office 2013 和 Lync 2013 会定期提示输入 SharePoint Online、OneDrive 和 Lync Online 的凭据。

    Exchange 和 Skype for Business 客户端

    客户端 支持状态 - 使用 HMA 支持状态 - 不使用 HMA
    Outlook 支持,不显示额外的提示 支持

    为 Exchange Online 使用新式身份验证:支持

    为 Exchange Online 使用常规身份验证:支持,但需要注意以下事项:
  • 必须位于已加入域的计算机上并已连接到公司网络
  • 只能在不允许邮箱用户进行外部访问的环境中使用备用 ID。 这意味着,当用户连接和加入公司网络、使用 VPN 或通过“直接访问”计算机进行连接时,只能以受支持的方式对邮箱进行身份验证,但你在配置 Outlook 配置文件时会收到一些额外的提示。
  • 混合公用文件夹 支持,不显示额外的提示。 为 Exchange Online 使用新式身份验证:支持

    为 Exchange Online 使用常规身份验证:不支持

  • 如果使用备用 ID,则混合公用文件夹无法扩展,因此暂时不要将其与常规身份验证方法配合使用。
  • 跨界委托 请参阅配置 Exchange 以支持混合部署中的委托邮箱权限 请参阅配置 Exchange 以支持混合部署中的委托邮箱权限
    存档邮箱访问(本地邮箱 - 在云中存档) 支持,不显示额外的提示 支持 - 用户在访问存档时会看到额外的凭据提示,他们必须按照提示提供备用 ID。
    Outlook Web Access 支持 支持
    适用于 Android、IOS 和 Windows Phone 的 Outlook 移动应用 支持 支持
    Skype for Business/Lync 支持,不显示额外的提示 支持(除非另有说明),但用户可能会感到困惑。

    在移动客户端上,仅当 SIP 地址 = 电子邮件地址 = 备用 ID 时才支持备用 ID。

    用户可能需要登录到 Skype for Business 桌面客户端两次,第一次使用本地 UPN,第二次使用备用 ID。 (请注意,“登录地址”实际上是 SIP 地址,它可能与“用户名”不同,但往往相同)。 当第一次出现输入用户名的提示时,用户应输入 UPN,即使系统错误地预先填充了备用 ID 或 SIP 地址。 用户单击“使用 UPN 登录”后,用户名提示将再次出现,此时系统会预先填充 UPN。 这一次,用户必须将 UPN 替换为备用 ID,然后单击“登录”以完成登录过程。 在移动客户端上,用户应在“高级”页面中使用 SAM 样式的格式(域\用户名)而不是 UPN 格式输入本地用户 ID。

    成功登录后,如果 Skype for Business 或 Lync 显示“Exchange 需要你的凭据”,则你需要提供对邮箱所在位置有效的凭据。 如果邮箱位于云中,则你需要提供备用 ID。 如果邮箱位于本地,则你需要提供本地 UPN。

    其他详细信息和注意事项

    • Microsoft Entra ID 提供与“备用登录 ID”相关的不同功能

      • 本文中介绍的用于联合1标识基础结构环境的 AD FS 备用登录 ID 配置功能。
      • 本文中部分介绍的 Microsoft Entra Connect Sync 配置,用于定义要将哪个本地属性用作联合1或托管2标识基础结构环境的 Microsoft Entra 用户名 (userPrincipalName)。
      • 用于托管2 标识基础结构环境的使用电子邮件作为备用登录 ID 登录到 Microsoft Entra ID 功能。
    • 本文中所述的备用登录 ID 功能适用于联合1标识基础结构环境。 在以下情况下不受支持:

    • 启用后,备用登录 ID 功能仅可用于通过 AD FS 支持的所有用户名/密码身份验证协议(SAML-P、WS-Fed、WS-Trust 和 OAuth)进行用户名/密码身份验证。

    • 在执行 Windows 集成身份验证 (WIA) 时(例如,当用户尝试从 Intranet 访问已加入域的计算机上的公司应用程序,并且 AD FS 管理员已将身份验证策略配置为对 Intranet 使用 WIA 时),UPN 将用于身份验证。 如果为备用登录 ID 功能的信赖方配置了任何声明规则,则应确保这些规则在 WIA 案例中仍然有效。

    • 启用后,对于 AD FS 支持的每个用户帐户林,备用登录 ID 功能要求可以从 AD FS 服务器访问至少一个全局目录服务器。 无法访问用户帐户林中的全局目录服务器会导致 AD FS 回退为使用 UPN。 默认情况下,所有域控制器都是全局目录服务器。

    • 启用后,如果 AD FS 服务器找到多个用户对象,并且在所有已配置的用户帐户林中为这些对象指定了相同的备用登录 ID 值,则该服务器将使登录失败。

    • 启用备用登录 ID 功能后,AD FS 首先会尝试使用备用登录 ID 对最终用户进行身份验证,如果找不到可由备用登录 ID 标识的帐户,则回退为使用 UPN。 如果你仍然想要支持 UPN 登录,应确保备用登录 ID 与 UPN 之间没有冲突。 例如,使用一个用户的 UPN 设置另一个用户的 mail 属性会导致前者无法使用其 UPN 登录。

    • 如果管理员配置的某个林关闭,AD FS 将在配置的其他林中继续查找具有备用登录 ID 的用户帐户。 如果 AD FS 服务器在它搜索的林中找到唯一的用户对象,则表示用户已成功登录。

    • 此外,你还可能想要自定义 AD FS 登录页,以便为最终用户提供有关备用登录 ID 的一些提示。 为此,可以添加自定义的登录页说明(有关详细信息,请参阅自定义 AD FS 登录页),或自定义用户名字段上面的“使用组织帐户登录”字符串(有关详细信息,请参阅 AD FS 登录页的高级自定义)。

    • 包含备用登录 ID 值的新声明类型为 http:schemas.microsoft.com/ws/2013/11/alternateloginid

    1 联合标识基础结构环境表示具有标识提供者(例如 AD FS 或其他第三方 IDP)的环境。

    2托管标识基础结构环境表示一个使用 Microsoft Entra ID 作为标识提供者的环境,该环境可通过密码哈希同步 (PHS)直通身份验证 (PTA) 进行部署。

    事件计数器和性能计数器

    添加了以下性能计数器,用于在启用备用登录 ID 时度量 AD FS 服务器的性能:

    • 备用登录 ID 身份验证:使用备用登录 ID 执行的身份验证次数

    • 备用登录 ID 身份验证次数/秒:每秒使用备用登录 ID 执行的身份验证次数

    • 备用登录 ID 的平均搜索延迟:管理员为备用登录 ID 配置的林的平均搜索延迟

    下面是各种错误案例及其对用户登录体验的相应影响,以及 AD FS 记录的事件:

    错误案例 对登录体验的影响 事件
    无法获取用户对象的 SAMAccountName 值 登录失败 出现事件 ID 364 和异常消息 MSIS8012:找不到用户的 samAccountName:“{0}”。
    CanonicalName 属性不可访问 登录失败 出现事件 ID 364 和异常消息 MSIS8013:用户“{1}”的 CanonicalName“{0}”格式错误。
    在一个林中找到多个用户对象 登录失败 出现事件 ID 364 和异常消息 MSIS8015:在林“{1}”中找到多个标识为“{0}”的用户帐户: {2}
    在多个林中找到多个用户对象 登录失败 出现事件 ID 364 和异常消息 MSIS8014:在林中找到多个标识为“{0}”的用户帐户: {1}

    另请参阅

    AD FS 操作