Konfigurieren von alternativen Anmelde-IDConfiguring Alternate Login ID

Was ist eine Alternative Anmelde-ID?What is Alternate Login ID?

In den meisten Szenarien verwenden Benutzer ihren UPN (Benutzer Prinzipal Namen), um sich bei ihren Konten anzumelden.In most scenarios, users use their UPN (User Principal Names) to login to their accounts. In einigen Umgebungen kann es jedoch sein, dass Benutzer aufgrund von Unternehmensrichtlinien oder lokalen Anwendungsabhängigkeiten eine andere Art von Anmeldung verwenden.However, in some environments due to corporate policies or on-premises line-of-business application dependencies, the users may be using some other form of sign-in.

Hinweis

Die empfohlenen Best Practices von Microsoft sind die Anpassung des UPN an die primäre SMTP-Adresse.Microsoft's recommended best practices are to match UPN to primary SMTP address. In diesem Artikel wird der kleine Prozentsatz der Kunden behandelt, die die UPN nicht wiederherstellen können.This article addresses the small percentage of customers that cannot remediate UPN's to match.

Sie können z. b. Ihre e-Mail-ID für die Anmeldung verwenden und sich vom UPN unterscheiden.For example, they can be using their email-id for sign-in and that can be different from their UPN. Dies ist vor allem ein häufiges Vorkommen in Szenarien, in denen der UPN nicht Routing fähig ist.This is particularly a common occurrence in scenarios where their UPN is non-routable. Nehmen Sie an, dass sich ein Benutzer jdoe@contoso.local Jane Doe mit jdoe@contoso.comUPN und e-Mail-Consider a user Jane Doe with UPN jdoe@contoso.local and email address jdoe@contoso.com. Jane kennt den UPN möglicherweise nicht, da Sie Ihre e-Mail-ID für die Anmeldung immer verwendet hat.Jane might not be even aware of the UPN as she has always used her email id for signing-in. Die Verwendung einer anderen Anmelde Methode anstelle des UPN bildet eine Alternative ID.Use of any other sign-in method instead of UPN constitutes alternate ID. Weitere Informationen zur Erstellung des UPN finden Sie unter Azure AD userPrincipalName Population.For more information on how the UPN is created see, Azure AD UserPrincipalName population.

Mit Active Directory-Verbunddienste (AD FS) (AD FS) können Verbund Anwendungen, die AD FS verwenden, mithilfe der alternativen ID anmelden.Active Directory Federation Services (AD FS) enables federated applications using AD FS to sign-in using alternate ID. Dadurch können Administratoren eine Alternative zum Standard-UPN angeben, die für die Anmeldung verwendet werden soll.This enables administrators to specify an alternative to the default UPN to be used for sign-in. AD FS unterstützt bereits die Verwendung einer beliebigen Art von Benutzer-ID, die von Active Directory Domain Services (AD DS) akzeptiert wird.AD FS already supports using any form of user identifier that is accepted by Active Directory Domain Services (AD DS). Bei der Konfiguration für die Alternative ID ermöglicht AD FS Benutzern, sich mit dem konfigurierten alternativen ID-Wert anzumelden, z. h. e-Mail-ID. Mithilfe der alternativen ID können Sie SaaS-Anbieter, wie z. b. Office 365, übernehmen, ohne Ihre lokalen UPNs zu ändern.When configured for alternate ID, AD FS allows users to sign in using the configured alternate ID value, say email-id. Using the alternate ID enables you to adopt SaaS providers, such as Office 365 without modifying your on-premises UPNs. Sie ermöglicht außerdem die Unterstützung von Line-of-Business-Dienst Anwendungen mit von Kunden bereitgestellten Identitäten.It also enables you to support line-of-business service applications with consumer-provisioned identities.

Alternative ID in Azure ADAlternate id in Azure AD

Möglicherweise muss eine Organisation eine Alternative ID in den folgenden Szenarien verwenden:An organization may have to use alternate ID in the following scenarios:

  1. Der lokale Domänen Name ist nicht Routing fähig, z. b.The on-premises domain name is non-routable, ex. "" Von "" in "" von "" injdoe@contoso.local"".Contoso.local and as a result the default user principal name is non-routable (jdoe@contoso.local). Vorhandener UPN kann aufgrund lokaler Anwendungsabhängigkeiten oder Unternehmensrichtlinien nicht geändert werden.Existing UPN cannot be changed due to local application dependencies or company policies. Azure AD und Office 365 erfordern, dass alle dem Azure AD Verzeichnis zugeordneten Domänen Suffixe vollständig über das Internet Routing fähig sind.Azure AD and Office 365 require all domain suffixes associated with Azure AD directory to be fully internet routable.
  2. Der lokale UPN ist nicht mit der e-Mail-Adresse des Benutzers identisch. um sich bei Office 365 anzumelden, verwenden Benutzer eine e-Mail-Adresse, und der UPN kann aufgrund von Einschränkungen der Organisation nicht verwendet werden.The on-premises UPN is not same as the user's email address and to sign-in to Office 365, users use email address and UPN cannot be used due to organizational constraints. In den oben erwähnten Szenarios ermöglicht die Alternative ID mit AD FS Benutzern das Anmelden bei Azure AD, ohne Ihre lokalen UPNs zu ändern.In the above-mentioned scenarios, alternate ID with AD FS enables users to sign-in to Azure AD without modifying your on-premises UPNs.

Endbenutzer mit alternativer Anmelde-IDEnd-User Experience with Alternate Login ID

Die Endbenutzer-Benutzer Leistung variiert abhängig von der Authentifizierungsmethode, die mit der alternativen Anmelde-ID verwendet wird. Derzeit gibt es drei verschiedene Möglichkeiten, wie eine Alternative Anmelde-ID verwendet werden kann.The end-user experience varies depending on the authentication method used with alternate login id. Currently there three different ways in which using alternate login id can be achieved. Die Überladungen sind:They are:

  • Reguläre Authentifizierung (Legacy) : verwendet das Standard Authentifizierungsprotokoll.Regular Authentication (Legacy)- uses the basic authentication protocol.
  • Moderne Authentifizierung : Active Directory-Authentifizierungsbibliothek (Adal)-basierte Anmeldung bei Anwendungen.Modern Authentication - brings Active Directory Authentication Library (ADAL)-based sign-in to applications. Dies ermöglicht Anmelde Funktionen wie Multi-Factor Authentication (MFA), SAML-basierte Identitäts Anbieter von Drittanbietern mit Office-Client Anwendungen, Smartcard-und Zertifikat basierte Authentifizierung.This enables sign-in features such as Multi-Factor Authentication (MFA), SAML-based third-party Identity Providers with Office client applications, smart card and certificate-based authentication.
  • Hybride Hybrid Authentifizierung : bietet alle Vorteile der modernen Authentifizierung und bietet Benutzern die Möglichkeit, mithilfe von Autorisierungs Token aus der Cloud auf lokale Anwendungen zuzugreifen.Hybrid Modern Authentication - Provides all of the benefits of Modern Authentication and provides users the ability to access on-premises applications using authorization tokens obtained from the cloud.

Hinweis

Um die bestmögliche Leistung zu erzielen, empfiehlt Microsoft dringend die hybride Hybrid Authentifizierung.For the best possible experience, Microsoft highly recommends Hybrid Modern Authentication.

Alternative Anmelde-ID konfigurierenConfigure alternate logon ID

Mithilfe Azure AD Connect empfiehlt sich die Verwendung Azure AD Connect, um eine Alternative Anmelde-ID für Ihre Umgebung zu konfigurieren.Using Azure AD Connect We recommend using Azure AD connect to configure alternate logon ID for your environment.

  • Eine neue Konfiguration Azure AD Connect finden Sie unter Herstellen einer Verbindung mit Azure AD, um eine ausführliche Anleitung zum Konfigurieren alternativer ID und AD FS Farm zu erhalten.For new configuration of Azure AD Connect, see Connect to Azure AD for detailed instruction on how to configure alternate ID and AD FS farm.
  • Informationen zum Ändern der Anmelde Methode für vorhandene Azure AD Connect Installationen finden Sie unter Ändern der Benutzer Anmelde Methode in AD FSFor existing Azure AD Connect installations, see Changing the user sign-in method for instructions on changing sign-in method to AD FS

Wenn Azure AD Connect Details zur AD FS Umgebung bereitgestellt wird, wird automatisch geprüft, ob die richtige KB in Ihrem AD FS vorhanden ist, und AD FS für eine Alternative ID konfiguriert, einschließlich aller erforderlichen richtigen Anspruchs Regeln für Azure AD Verbund Vertrauensstellung.When Azure AD Connect is provided details about AD FS environment, it automatically checks for the presence of the right KB on your AD FS and configures AD FS for alternate ID including all necessary right claim rules for Azure AD federation trust. Es ist kein zusätzlicher Schritt erforderlich, der außerhalb des Assistenten zum Konfigurieren der alternativen ID erforderlich ist.There is no additional step required outside wizard to configure alternate ID.

Hinweis

Microsoft empfiehlt die Verwendung von Azure AD Connect zum Konfigurieren einer alternativen Anmelde-ID.Microsoft recommends using Azure AD Connect to configure alternate logon ID.

Alternative ID manuell konfigurierenManually configure alternate ID

Um eine Alternative Anmelde-ID zu konfigurieren, müssen Sie die folgenden Aufgaben ausführen: Konfigurieren der AD FS Anspruchs Anbieter-Vertrauens Stellungen zum Aktivieren einer alternativen Anmelde-IDIn order to configure alternate login ID, you must perform the following tasks: Configure your AD FS claims provider trusts to enable alternate login ID

  1. Wenn Sie Server 2012r2 haben, stellen Sie sicher, dass KB2919355 auf allen AD FS Servern installiert ist.If you have Server 2012R2, ensure you have KB2919355 installed on all the AD FS servers. Sie können Sie über Windows Update Services herunterladen oder direkt herunterladen.You can get it via Windows Update Services or download it directly.

  2. Aktualisieren Sie die AD FS Konfiguration, indem Sie das folgende PowerShell-Cmdlet auf einem der Verbund Server in der Farm ausführen (wenn Sie über eine wid-Farm verfügen, müssen Sie diesen Befehl auf dem primären AD FS Server in der Farm ausführen):Update the AD FS configuration by running the following PowerShell cmdlet on any of the federation servers in your farm (if you have a WID farm, you must run this command on the primary AD FS server in your farm):

Set-AdfsClaimsProviderTrust -TargetIdentifier "AD AUTHORITY" -AlternateLoginID <attribute> -LookupForests <forest domain>

" Alternativen Name" ist der LDAP-Name des Attributs, das Sie für die Anmeldung verwenden möchten.AlternateLoginID is the LDAP name of the attribute that you want to use for login.

Lookupforest ist die Liste der Gesamtstruktur-DNS, der Ihre Benutzer angehören.LookupForests is the list of forest DNS that your users belong to.

Zum Aktivieren der alternativen Anmelde-ID-Funktion müssen Sie die Parameter "-Alternate eloginid" und "-lookupforest" mit einem gültigen Wert ungleich Null konfigurieren.To enable alternate login ID feature, you must configure both -AlternateLoginID and -LookupForests parameters with a non-null, valid value.

Im folgenden Beispiel aktivieren Sie alternative Anmelde-ID-Funktionen, sodass sich Ihre Benutzer mit Konten in contoso.com-und fabrikam.com-Gesamtstrukturen mit Ihrem "Mail"-Attribut bei AD FS aktivierten Anwendungen anmelden können.In the following example, you are enabling alternate login ID functionality such that your users with accounts in contoso.com and fabrikam.com forests can log in to AD FS-enabled applications with their "mail" attribute.

Set-AdfsClaimsProviderTrust -TargetIdentifier "AD AUTHORITY" -AlternateLoginID mail -LookupForests contoso.com,fabrikam.com
  1. Um diese Funktion zu deaktivieren, legen Sie den Wert für beide Parameter auf NULL fest.To disable this feature, set the value for both parameters to be null.
Set-AdfsClaimsProviderTrust -TargetIdentifier "AD AUTHORITY" -AlternateLoginID $NULL -LookupForests $NULL

Hybride moderne Authentifizierung mit alternativer IDHybrid Modern Authentication with Alternate-ID

Wichtig

Folgendes wurde nur für AD FS und nicht für Identitäts Anbieter von Drittanbietern getestet.The following has only been tested against AD FS and not 3rd party identity providers.

Exchange und Skype for BusinessExchange and Skype for Business

Wenn Sie eine Alternative Anmelde-ID mit Exchange und Skype for Business verwenden, variiert die Benutzer Leistung abhängig davon, ob Sie HMA verwenden oder nicht.If you are using alternate login id with Exchange and Skype for Business, the user experience varies depending on whether or not you are using HMA.

Hinweis

Um die beste Endbenutzer Leistung zu erzielen, empfiehlt Microsoft die Verwendung der Hybriden modernen Authentifizierung.For the best end-user experience, Microsoft recommends using Hybrid Modern Authentication.

Weitere Informationen finden Sie unter Übersicht über die hybride moderne Authentifizierung .or more information see, Hybrid Modern Authentication Overview

Voraussetzungen für Exchange und Skype for BusinessPre-requisites for Exchange and Skype for Business

Die folgenden Voraussetzungen müssen erfüllt sein, damit einmaliges Anmelden (SSO) mit alternativer ID erreicht wird.The following are pre-requisites for achieving SSO with alternate ID.

  • Für Exchange Online sollte die moderne Authentifizierung aktiviert sein.Exchange Online should have Modern Authentication turned ON.
  • Skype for Business (SFB) Online sollte die moderne Authentifizierung aktiviert haben.Skype for Business (SFB) Online should have Modern Authentication turned ON.
  • Für Exchange lokal sollte die moderne Authentifizierung aktiviert sein.Exchange on-premises should have Modern Authentication turned ON. Exchange 2013 CU19 oder Exchange 2016 CU18 und up sind auf allen Exchange-Servern erforderlich.Exchange 2013 CU19 or Exchange 2016 CU18 and up is required on all Exchange servers. Kein Exchange 2010 in der Umgebung.No Exchange 2010 in the environment.
  • Für die lokale Skype for Business-Authentifizierung sollte die moderne Authentifizierung aktiviert sein.Skype for Business on-premises should have Modern Authentication turned ON.
  • Sie müssen Exchange-und Skype-Clients verwenden, bei denen die moderne Authentifizierung aktiviert ist.You must use Exchange and Skype clients that have Modern Authentication enabled. Auf allen Servern muss der Server "SFB Server 2015 CU5" ausgeführt werden.All servers must be running SFB Server 2015 CU5.
  • Skype for Business-Clients, die modern Authentication-fähig sindSkype for Business Clients that are Modern Authentication capable
    • IOS, Android, Windows PhoneiOS, Android, Windows Phone
    • Der SFB 2016 (MA ist standardmäßig aktiviert, stellen Sie jedoch sicher, dass er nicht deaktiviert wurde.)SFB 2016 (MA is ON by default, but make sure it has not been disabled.)
    • SFB 2013 (MA ist standardmäßig deaktiviert, stellen Sie sicher, dass MA aktiviert ist.)SFB 2013 (MA is OFF by default, so ensure MA has been turned ON.)
    • SFB-Mac-DesktopSFB Mac desktop
  • Exchange-Clients, die moderne Authentifizierungs fähig sind und die Unterstützung für "altid"Exchange Clients that are Modern Authentication capable and support AltID regkeys
    • Nur Office Pro Plus 2016Office Pro Plus 2016 only

Unterstützte Office-VersionSupported Office version

Wenn Sie Ihr Verzeichnis für einmaliges Anmelden mit alternativer ID mithilfe von Alternate-ID konfigurieren, können Sie zusätzliche Eingabe Aufforderungen für die Authentifizierung auslösen, wenn diese zusätzlichen Konfigurationen nicht abgeschlossen sind.Configuring your directory for SSO with alternate-id Using alternate-id can cause extra prompts for authentication if these additional configurations are not completed. Informationen zu möglichen Auswirkungen auf die Benutzer Darstellung mit alternativer ID finden Sie in diesem Artikel.Refer to the article for possible impact on user experience with alternate-id.

Mit der folgenden zusätzlichen Konfiguration wird die Benutzer Leistung erheblich verbessert, und Sie können für Benutzer mit alternativer ID in Ihrer Organisation fast null-Aufforderungen für die Authentifizierung erreichen.With the following additional configuration, the user experience is improved significantly, and you can achieve near zero prompts for authentication for alternate-id users in your organization.

Schritt 1Step 1. Update auf erforderliche Office-VersionUpdate to required Office version

Office-Version 1712 (Build No 8827,2148) und höher hat die Authentifizierungs Logik aktualisiert, um das alternatives-ID-Szenario zu verarbeiten.Office version 1712 (build no 8827.2148) and above have updated the authentication logic to handle the alternate-id scenario. Um die neue Logik nutzen zu können, müssen die Client Computer auf Office Version 1712 (Build No 8827,2148) und höher aktualisiert werden.In order to leverage the new logic, the client machines need to be updated to Office version 1712 (build no 8827.2148) and above.

Schritt 2Step 2. Update auf erforderliche Windows-VersionUpdate to required Windows version

Windows Version 1709 und höher hat die Authentifizierungs Logik aktualisiert, um das alternatives-ID-Szenario zu verarbeiten.Windows version 1709 and above have updated the authentication logic to handle the alternate-id scenario. Um die neue Logik nutzen zu können, müssen die Client Computer auf Windows, Version 1709 und höher, aktualisiert werden.In order to leverage the new logic, the client machines need to be updated to Windows version 1709 and above.

Schritt 3Step 3. Konfigurieren der Registrierung für betroffene Benutzer mithilfe von GruppenrichtlinienConfigure registry for impacted users using group policy

Die Office-Anwendungen basieren auf Informationen, die vom Verzeichnis Administrator zur Identifizierung der alternativen-ID-Umgebung übermittelt wurden.The office applications rely on information pushed by the directory administrator to identify the alternate-id environment. Die folgenden Registrierungsschlüssel müssen konfiguriert werden, damit Office-Anwendungen den Benutzer mit alternativer ID authentifizieren können, ohne dass zusätzliche Eingabe Aufforderungen angezeigt werden.The following registry keys need to be configured to help office applications authenticate the user with alternate-id without showing any extra prompts

Hinzu zufügende RegKeyRegkey to add Name, Typ und Wert von RegKeyRegkey data name, type, and value Windows 7/8Windows 7/8 Windows 10Windows 10 BeschreibungDescription
HKEY_CURRENT_USER\Software\Microsoft\AuthNHKEY_CURRENT_USER\Software\Microsoft\AuthN DomainhintDomainHint
REG_SZREG_SZ
contoso.comcontoso.com
ErforderlichRequired ErforderlichRequired Der Wert dieses RegKey ist ein verifizierter benutzerdefinierter Domänen Name im Mandanten der Organisation.The value of this regkey is a verified custom domain name in the tenant of the organization. So kann z. b. der Wert contoso.com in diesem Registrierungsschlüssel von "Configuration Manager" bereitgestellt werden, wenn "contoso.com" einer der überprüften benutzerdefinierten Domänen Namen im Mandanten contoso.onmicrosoft.com ist.For example, Contoso corp can provide a value of Contoso.com in this regkey if Contoso.com is one of the verified custom domain names in the tenant Contoso.onmicrosoft.com.
HKEY_CURRENT_USER\Software\Microsoft\Office\16.0\Common\IdentityHKEY_CURRENT_USER\Software\Microsoft\Office\16.0\Common\Identity Enablealternative eidunterstützungEnableAlternateIdSupport
REG_DWORDREG_DWORD
11
Erforderlich für Outlook 2016 ProPlusRequired for Outlook 2016 ProPlus Erforderlich für Outlook 2016 ProPlusRequired for Outlook 2016 ProPlus Der Wert dieses RegKey kann 1/0 sein, um der Outlook-Anwendung mitzuteilen, ob Sie die verbesserte Authentifizierungs Logik der alternativen ID einsetzen soll.The value of this regkey can be 1 / 0 to indicate to Outlook application whether it should engage the improved alternate-id authentication logic.
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet settings\zonemap\domains\concomso.com\stsHKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\contoso.com\sts **
REG_DWORDREG_DWORD
11
ErforderlichRequired ErforderlichRequired Mit diesem RegKey kann der STS als vertrauenswürdige Zone in den Interneteinstellungen festgelegt werden.This regkey can be used to set the STS as a trusted Zone in the internet settings. Bei der AD FS-Standard Bereitstellung wird empfohlen, den ADFS-Namespace zur lokalen Intranet-Zone für Internet Explorer hinzuzufügenStandard ADFS deployment recommends adding the ADFS namespace to the Local Intranet Zone for Internet Explorer

Neuer Authentifizierungs Ablauf nach zusätzlicher KonfigurationNew authentication flow after additional configuration

Authentifizierungs Fluss

  1. Ein Der Benutzer wird in Azure AD mithilfe der alternativen ID bereitgestellt.a: User is provisioned in Azure AD using alternate-id
    b Der Verzeichnis Administrator schiebt die erforderlichen RegKey-Einstellungen auf betroffene Client Computer.b: Directory administrator pushes required regkey settings to impacted client machines
  2. Der Benutzer authentifiziert sich auf dem lokalen Computer und öffnet eine Office-Anwendung.User authenticates on the local machine and opens an office application
  3. Die Office-Anwendung übernimmt die Anmelde Informationen für lokale Sitzungen.Office application takes the local session credentials
  4. Die Office-Anwendung authentifiziert sich bei Azure AD mithilfe des Domänen Hinweises, der von Administrator-und lokalenOffice application authenticates to Azure AD using domain hint pushed by administrator and local credentials
  5. Azure AD authentifiziert den Benutzer erfolgreich durch Weiterleitung an den korrekten Verbund Bereich und gibt ein Token aus.Azure AD successfully authenticates the user by directing to correct federation realm and issue a token

Anwendungen und Benutzeroberflächen nach der zusätzlichen KonfigurationApplications and user experience after the additional configuration

Nicht-Exchange-und Skype for Business-ClientsNon-Exchange and Skype for Business Clients

ClientClient Support-AnweisungSupport statement HinweiseRemarks
Microsoft TeamsMicrosoft Teams UnterstütztSupported
  • Microsoft Teams unterstützt AD FS (SAML-P, WS-Fed, WS-Trust und OAuth) und die moderne Authentifizierung.Microsoft Teams supports AD FS (SAML-P, WS-Fed, WS-Trust, and OAuth) and Modern Authentication.
  • Wichtige Microsoft-Teams, wie z. b. Kanäle, Chats und Dateien, funktionieren mit einer alternativen Anmelde-ID.Core Microsoft Teams such as Channels, chats and files functionalities does work with Alternate Login ID.
  • Drittanbieter-apps müssen separat vom Kunden untersucht werden.1st and 3rd party apps must be separately investigated by the customer. Dies liegt daran, dass jede Anwendung über eigene Authentifizierungsprotokolle für die Unterstützung verfügt.This is because each application has their own supportability authentication protocols.
  • OneDrive for BusinessOneDrive for Business Unterstützt-Client seitiger Registrierungsschlüssel empfohlenSupported - client-side registry key recommended Wenn eine Alternative ID konfiguriert ist, sehen Sie, dass der lokale UPN im Feld Überprüfung vorab ausgefüllt ist.With Alternate ID configured you see the on-premises UPN is pre-populated In the verification field. Dies muss in die alternative Identität geändert werden, die verwendet wird.This needs to be changed to the alternate Identity that is being used. Es wird empfohlen, den Client seitigen Registrierungsschlüssel zu verwenden, der in diesem Artikel angegeben ist: Office 2013 und lync 2013 fordern in regelmäßigen Abständen zur Eingabe von Anmelde Informationen für SharePoint Online, onedrive und lync online auf.We recommend using the client side registry key noted in this article: Office 2013 and Lync 2013 periodically prompt for credentials to SharePoint Online, OneDrive, and Lync Online.
    Onedrive for Business Mobile-ClientOneDrive for Business Mobile Client UnterstütztSupported
    Office 365 pro Plus-Aktivierungs SeiteOffice 365 Pro Plus activation page Unterstützt-Client seitiger Registrierungsschlüssel empfohlenSupported - client-side registry key recommended Wenn eine Alternative ID konfiguriert ist, sehen Sie, dass der lokale UPN im Feld Überprüfung vorab ausgefüllt ist.With Alternate ID configured you see the on-premises UPN is pre-populated in the verification field. Dies muss in die alternative Identität geändert werden, die verwendet wird.This needs to be changed to the alternate Identity that is being used. Es wird empfohlen, den Client seitigen Registrierungsschlüssel zu verwenden, der in diesem Artikel angegeben ist: Office 2013 und lync 2013 fordern in regelmäßigen Abständen zur Eingabe von Anmelde Informationen für SharePoint Online, onedrive und lync online auf.We recommend using the client-side registry key noted in this article: Office 2013 and Lync 2013 periodically prompt for credentials to SharePoint Online, OneDrive, and Lync Online.

    Exchange-und Skype for Business-ClientsExchange and Skype for Business Clients

    ClientClient Support-Anweisung mit HMASupport Statement - with HMA Support-Anweisung ohne HMASupport Statement - without HMA
    OutlookOutlook Unterstützt, keine zusätzlichen Eingabe AufforderungenSupported, no extra prompts UnterstütztSupported
    Mit moderner Authentifizierung für Exchange Online: UnterstütztWith Modern Authentication for Exchange Online: Supported

    Mit regulärer Authentifizierung für Exchange Online: Unterstützt mit folgenden Einschränkungen:With regular authentication for Exchange Online: Supported with following caveats:
  • Sie müssen sich auf einem mit der Domäne verknüpften Computer befinden und mit dem Unternehmensnetzwerk verbunden sein.You must be on a domain joined machine and connected to the corporate network
  • Sie können nur eine Alternative ID in Umgebungen verwenden, die keinen externen Zugriff für Postfach-Benutzer zulassen.You can only use Alternate ID in environments that do not allow external access for mailbox users. Dies bedeutet, dass Benutzer sich nur dann auf eine unterstützte Weise bei Ihrem Postfach authentifizieren können, wenn Sie mit dem Unternehmensnetzwerk, einem VPN oder über einen direkt Zugriffs Computer verbunden sind. Sie erhalten jedoch einige zusätzliche Eingabe Aufforderungen, wenn Sie Ihr Outlook-Profil konfigurieren.This means that users can only authenticate to their mailbox in a supported way when they are connected and joined to the corporate network, on a VPN, or connected via Direct Access machines, but you get a couple of extra prompts when configuring your Outlook profile.
  • Hybride öffentliche OrdnerHybrid Public Folders Unterstützt, keine zusätzlichen Eingabe Aufforderungen.Supported, no extra prompts. Mit moderner Authentifizierung für Exchange Online: UnterstütztWith Modern Authentication for Exchange Online: Supported
    Mit regulärer Authentifizierung für Exchange Online: Nicht unterstütztWith regular authentication for Exchange Online: Not Supported

  • Hybride öffentliche Ordner können nicht erweitert werden, wenn alternative IDs verwendet werden, und sollten daher noch heute nicht mit regulären Authentifizierungsmethoden verwendet werden.Hybrid Public Folders are not able to expand if Alternate ID's are used and therefore should not be used today with regular authentication methods.
  • Standortübergreifende DelegierungCross premises Delegation Weitere Informationen finden Sie unter Konfigurieren von Exchange für die Unterstützung von Delegierten Post Fach Berechtigungen inSee Configure Exchange to support delegated mailbox permissions in a hybrid deployment Weitere Informationen finden Sie unter Konfigurieren von Exchange für die Unterstützung von Delegierten Post Fach Berechtigungen inSee Configure Exchange to support delegated mailbox permissions in a hybrid deployment
    Archivieren des Post Fach Zugriffs (Postfach lokal-Archive in der Cloud)Archive mailbox access (Mailbox on-premises - archive in the cloud) Unterstützt, keine zusätzlichen Eingabe AufforderungenSupported, no extra prompts Unterstützt: Benutzer erhalten eine zusätzliche Aufforderung zum Eingeben von Anmelde Informationen, wenn Sie auf das Archiv zugreifen. Sie müssen bei entsprechender Aufforderung Ihre alternative ID angeben.Supported - Users get an extra prompt for credentials when accessing the archive, they have to provide their alternate ID when prompted.
    Outlook Web AccessOutlook Web Access UnterstütztSupported UnterstütztSupported
    Outlook-Mobile Apps für Android, IOS und Windows PhoneOutlook Mobile Apps for Android, IOS, and Windows Phone UnterstütztSupported UnterstütztSupported
    Skype for Business/lyncSkype for Business/ Lync Unterstützt, ohne zusätzliche Eingabe AufforderungenSupported, with no extra prompts Unterstützt (außer wie bereits erwähnt), aber es gibt eine Möglichkeit für Benutzer Verwirrung.Supported (except as noted) but there is a potential for user confusion.
    Auf mobilen Clients wird die Alternative ID nur unterstützt, wenn SIP Address = Email Address = Alternative ID lautet.On mobile clients, Alternate Id is supported only if SIP address= email address = Alternate ID.

    Benutzer müssen sich möglicherweise zweimal beim Skype for Business-Desktop Client anmelden, zuerst den lokalen UPN verwenden und dann die Alternative ID verwenden.Users may need to sign-in twice to the Skype for Business desktop client, first using the on-premises UPN and then using the Alternate ID. (Beachten Sie, dass es sich bei der "Anmelde Adresse" tatsächlich um die SIP-Adresse handelt, die möglicherweise nicht mit dem "Benutzernamen" identisch ist, obwohl dies häufig der Wert ist).(Note that the “Sign-in address” is actually the SIP address which may not be the same as the “User name”, though often is). Wenn Sie zum ersten Mal einen Benutzernamen eingeben, sollte der Benutzer den UPN eingeben, auch wenn er nicht korrekt mit der alternativen ID oder SIP-Adresse aufgefüllt ist.When first prompted for a User name, the user should enter the UPN, even if it is incorrectly pre-populated with the Alternate ID or SIP address. Nachdem der Benutzer mit dem UPN auf "Anmelden" geklickt hat, wird die Eingabeaufforderung für den Benutzernamen erneut angezeigt, dieses Mal mit dem UPN gefüllt.After the user clicks sign-in with the UPN, the User name prompt reappears, this time prepopulated with the UPN. Dieses Mal muss der Benutzer dies durch die Alternative ID ersetzen und auf Anmelden klicken, um den Anmeldevorgang abzuschließen.This time the user must replace this with the Alternate ID and click Sign in to complete the sign in process. Auf mobilen Clients sollten Benutzer die lokale Benutzer-ID auf der Seite "Erweitert" mit dem Sam-Format ("Domäne \ Benutzername") und nicht mit dem UPN-Format eingeben.On mobile clients, users should enter the on-premises user ID in the advanced page, using SAM-style format (domain\username), not UPN format.

    Wenn Skype for Business oder lync nach erfolgreicher Anmeldung besagt, dass Exchange ihre Anmelde Informationen benötigt, müssen Sie die Anmelde Informationen angeben, die für den Speicherort des Postfachs gültig sind.After successful sign-in, if Skype for Business or Lync says "Exchange needs your credentials", you need to provide the credentials that are valid for where the mailbox is located. Wenn sich das Postfach in der Cloud befindet, müssen Sie die Alternative ID angeben.If the mailbox is in the cloud you need to provide the Alternate ID. Wenn das Postfach lokal ist, müssen Sie den lokalen UPN bereitstellen.If the Mailbox is on-premises you need to provide the on-premises UPN.

    Weitere Details & ÜberlegungenAdditional Details & Considerations

    • Die Alternative Anmelde-ID ist für Verbund Umgebungen mit AD FS bereitgestellt.The Alternate login ID feature is available for federated environments with AD FS deployed. Dies wird in den folgenden Szenarien nicht unterstützt:It is not supported in the following scenarios:

      • Nicht Routing fähige Domänen (z. b. Conto so. local), die nicht von Azure AD überprüft werden können.Non-routable domains (e.g. Contoso.local) that cannot be verified by Azure AD.
      • Verwaltete Umgebungen, für die keine AD FS bereitgestellt wurde.Managed environments that do not have AD FS deployed.
    • Wenn diese Option aktiviert ist, ist die Alternative Anmelde-ID nur für die Benutzernamen-/Kennwort-Authentifizierung über alle von AD FS (SAML-P, WS-Fed, WS-Trust und OAuth) unterstützten Benutzernamen-/Kennwort-authentifizierungprotokolle verfügbar.When enabled, the alternate login ID feature is only available for username/password authentication across all the user name/password authentication protocols supported by AD FS (SAML-P, WS-Fed, WS-Trust, and OAuth).

    • Wenn die integrierte Windows-Authentifizierung (WIA) ausgeführt wird (z. b. Wenn Benutzer versuchen, über das Intranet auf eine Unternehmens Anwendung auf einem in die Domäne eingebundenen Computer zuzugreifen, und AD FS Administrator die Authentifizierungs Richtlinie für die Verwendung von WIA für das Intranet konfiguriert hat), wird der UPN-Wert verwendet zur Authentifizierung.When Windows Integrated Authentication (WIA) is performed (for example, when users try to access a corporate application on a domain-joined machine from intranet and AD FS administrator has configured the authentication policy to use WIA for intranet), UPN isused for authentication. Wenn Sie Anspruchs Regeln für die vertrauende Seite für die Alternative Anmelde-ID-Funktion konfiguriert haben, sollten Sie sicherstellen, dass diese Regeln im Fall von WIA weiterhin gültig sind.If you have configured any claim rules for the relying parties for alternate login ID feature, you should make sure those rules are still valid in the WIA case.

    • Wenn diese Funktion aktiviert ist, erfordert die Alternative Anmelde-ID mindestens einen globalen Katalogserver, der vom AD FS Server für jede von AD FS unterstützte Benutzerkonto Gesamtstruktur erreichbar ist.When enabled, the alternate login ID feature requires at least one global catalog server to be reachable from the AD FS server for each user account forest that AD FS supports. Wenn ein globaler Katalogserver in der Gesamtstruktur des Benutzerkontos nicht erreicht wird, führt AD FS zur Verwendung des UPN zurück.Failure to reach a global catalog server in the user account forest results in AD FS falling back to use UPN. Standardmäßig sind alle Domänen Controller globale Katalogserver.By default all the domain controllers are global catalog servers.

    • Wenn auf dem AD FS Server mehr als ein Benutzerobjekt mit demselben Alternativen Anmelde-ID-Wert gefunden wird, der in allen konfigurierten Benutzerkonten Gesamtstrukturen angegeben ist, schlägt die Anmeldung fehl.When enabled, if the AD FS server finds more than one user object with the same alternate login ID value specified across all the configured user account forests, it fails the login.

    • Wenn das Feature für die Alternative Anmelde-ID aktiviert ist, versucht AD FS zuerst den Endbenutzer mit einer alternativen Anmelde-ID zu authentifizieren und dann auf den UPN zurückzugreifen, wenn kein Konto gefunden werden kann, das durch die Alternative Anmelde-ID identifiziert werden kann.When alternate login ID feature is enabled, AD FS tries to authenticate the end user with alternate login ID first and then fall back to use UPN if it cannot find an account that can be identified by the alternate login ID. Stellen Sie sicher, dass keine Konflikte zwischen der alternativen Anmelde-ID und dem UPN bestehen, wenn Sie die UPN-Anmeldung weiterhin unterstützen möchten.You should make sure there are no clashes between the alternate login ID and the UPN if you want to still support the UPN login. Wenn Sie z. b. ein e-Mail-Attribut mit dem UPN des anderen festlegen, wird der andere Benutzer daran gehindert, sich mit seinem UPN anzumelden.For example, setting one's mail attribute with the other's UPN blocks the other user from signing in with his UPN.

    • Wenn eine der vom Administrator konfigurierten Gesamtstrukturen nicht aktiv ist, werden AD FS weiterhin ein Benutzerkonto mit alternativer Anmelde-ID in anderen Gesamtstrukturen suchen, die konfiguriert sind.If one of the forests that is configured by the administrator is down, AD FS continues to look up user account with alternate login ID in other forests that are configured. Wenn AD FS Server in den Gesamtstrukturen, die durchsucht wurden, nach einem eindeutigen Benutzerobjekt sucht, meldet sich der Benutzer erfolgreich an.If AD FS server finds a unique user objects across the forests that it has searched, a user logs in successfully.

    • Sie können außerdem die AD FS Anmeldeseite anpassen, um Endbenutzern einen Hinweis zur alternativen Anmelde-ID zu senden.You may additionally want to customize the AD FS sign-in page to give end users some hint about the alternate login ID. Hierzu können Sie entweder die angepasste Anmelde Seiten Beschreibung hinzufügen (Weitere Informationen finden Sie unter Anpassen der AD FS Anmelde Seiten oder Anpassen der Zeichenfolge "Anmelden mit dem Organisations Konto" über das Feld "Benutzername" (Weitere Informationen finden Sie unter Erweiterte Anpassung der AD FS Anmelde Seiten.You can do it by either adding the customized sign-in page description (for more information, see Customizing the AD FS Sign-in Pages or customizing "Sign in with organizational account" string above username field (for more information, see Advanced Customization of AD FS Sign-in Pages.

    • Der neue Anspruchstyp, der den alternativen Anmelde-ID-Wert enthält, ist http:schemas. Microsoft. com/WS/2013/11/Alternate eloginidThe new claim type that contains the alternate login ID value is http:schemas.microsoft.com/ws/2013/11/alternateloginid

    Ereignisse und LeistungsindikatorenEvents and Performance Counters

    Die folgenden Leistungsindikatoren wurden hinzugefügt, um die Leistung von AD FS Servern zu messen, wenn eine Alternative Anmelde-ID aktiviert ist:The following performance counters have been added to measure the performance of AD FS servers when alternate login ID is enabled:

    • Alternative Anmelde-ID-Authentifizierungen: Anzahl der Authentifizierungen, die mithilfe einer alternativen Anmelde-ID ausgeführt wurdenAlternate Login Id Authentications: number of authentications performed by using alternate login ID

    • Alternative Anmelde-ID-Authentifizierungen/Sek.: die Anzahl der Authentifizierungen, die mit alternativer Anmelde-ID pro Sekunde ausgeführt wurden.Alternate Login Id Authentications/Sec: number of authentications performed by using alternate login ID per second

    • Durchschnittliche Such Wartezeit für alternative Anmelde-ID: durchschnittliche Such Latenz in den Gesamtstrukturen, die ein Administrator für die Alternative Anmelde-ID konfiguriert hat.Average Search Latency for Alternate Login ID: average search latency across the forests that an administrator has configured for alternate login ID

    Im folgenden finden Sie verschiedene Fehlerfälle und die entsprechenden Auswirkungen auf die Benutzeranmeldung bei Ereignissen, die von AD FS protokolliert werden:The following are various error cases and corresponding impact on a user's sign-in experience with events logged by AD FS:

    FehlerfälleError Cases Auswirkung auf die Anmelde DarstellungImpact on Sign-in Experience EventEvent
    Es konnte kein Wert für "samAccountName" für das Benutzerobjekt "" erhalten werden.Unable to get a value for SAMAccountName for the user object AnmeldefehlerLogin failure Ereignis-ID 364 mit Ausnahme Meldung MSIS8012: Der sAMAccountName für den Benutzer wurde nicht gefunden:{0}"".Event ID 364 with exception message MSIS8012: Unable to find samAccountName for the user: '{0}'.
    Auf das CanonicalName-Attribut kann nicht zugegriffen werden.The CanonicalName attribute is not accessible AnmeldefehlerLogin failure Ereignis-ID 364 mit Ausnahme Meldung MSIS8013: CanonicalName: '{0}' des Benutzers: '{1}' weist ein ungültiges Format auf.Event ID 364 with exception message MSIS8013: CanonicalName: '{0}' of the user:'{1}' is in bad format.
    Es wurden mehrere Benutzer Objekte in einer Gesamtstruktur gefunden.Multiple user objects are found in one forests AnmeldefehlerLogin failure Ereignis-ID 364 mit Ausnahme Meldung MSIS8015: Es wurden mehrere Benutzerkonten mit der{0}Identität "" in{1}der Gesamtstruktur "" mit Identitäten gefunden:{2}Event ID 364 with exception message MSIS8015: Found multiple user accounts with identity '{0}' in forest '{1}' with identities: {2}
    Mehrere Benutzer Objekte werden in mehreren Gesamtstrukturen gefunden.Multiple user objects are found across multiple forests AnmeldefehlerLogin failure Ereignis-ID 364 mit Ausnahme Meldung MSIS8014: In Gesamtstrukturen wurden mehrere Benutzerkonten{0}mit der Identität "" gefunden:{1}Event ID 364 with exception message MSIS8014: Found multiple user accounts with identity '{0}' in forests: {1}

    Siehe auchSee Also

    AD FS-VorgängeAD FS Operations