Bejelentkezés az Azure AD-be másodlagos bejelentkezési azonosítóként (előzetes verzió) e-mail-címmel

Megjegyzés

Az Azure AD-be másodlagos bejelentkezési azonosítóként történő e-mail-címmel való bejelentkezés a Azure Active Directory. További információ az előzetes verziókról: Kiegészítő használati feltételek a Microsoft Azure előzetes verziójú termékeihez.

Számos szervezet szeretné lehetővé teszi, hogy a felhasználók a Azure Active Directory (Azure AD) szolgáltatásba ugyanazokkal a hitelesítő adatokkal jelentkezzenek be, mint a helyszíni címtárkörnyezetük. Ezzel a hibrid hitelesítésnek is ismert megközelítéssel a felhasználóknak csak egyetlen hitelesítő adathalmazt kell megjegyeznie.

Egyes szervezetek a következő okokból nem helyezték át a hibrid hitelesítést:

  • Alapértelmezés szerint az Azure AD egyszerű felhasználóneve (UPN) értéke megegyezik a helyszíni egyszerű felhasználónévvel.
  • Az Azure AD UPN módosítása eltérést okoz a helyszíni és az Azure AD-környezetek között, ami problémákat okozhat bizonyos alkalmazásokkal és szolgáltatásokkal kapcsolatban.
  • Üzleti vagy megfelelőségi okokból a szervezet nem szeretné a helyszíni UPN-t használni az Azure AD-be való bejelentkezéshez.

A hibrid hitelesítésre való áthelyezéshez úgy konfigurálhatja az Azure AD-t, hogy a felhasználók másodlagos bejelentkezési azonosítóként jelentkezzenek be az e-mail-címüket használva. Ha például a Contoso a Fabrikam nevet használja, és nem folytatja a bejelentkezést az örökölt UPN-sel, alternatív bejelentkezési azonosítóként e-mail-címet balas@contoso.com is kaphat. Egy alkalmazás vagy szolgáltatás eléréséhez a felhasználók a nem UPN-hez hasonló e-mail-címük használatával jelentkeznek be az Azure AD-be. balas@fabrikam.com

Ez a cikk bemutatja, hogyan engedélyezheti és használhatja az e-maileket másodlagos bejelentkezési azonosítóként.

Előkészületek

Az e-mailekről a következő adatokat kell tudni alternatív bejelentkezési azonosítóként:

  • A funkció a ingyenes Azure AD és újabb verziókban érhető el.
  • A funkció lehetővé teszi az ellenőrzött tartományproxy-címekkel való bejelentkezést a felhőben hitelesített Azure AD-felhasználók számára.
  • Amikor egy felhasználó nem UPN e-mail-címmel jelentkezik be, az azonosító jogkivonatában (ha van) és jogcím értéke a nem unique_name preferred_username UPN-hez megadott e-mail lesz.
  • A szolgáltatás konfigurálásához két lehetőség áll rendelkezésre:
    • Kezdőlap-felderítési (HRD) szabályzat – Ezzel a beállítással engedélyezheti a funkciót a teljes bérlő számára. globális rendszergazda jogosultságok szükségesek.
    • Szakaszos bevezetési szabályzat – Ezzel a beállítással tesztelni lehet a funkciót adott Azure AD-csoportokkal. globális rendszergazda jogosultságok szükségesek.

Az előzetes verzió korlátozásai

Az aktuális előzetes verzióban az alábbi korlátozások vonatkoznak az e-mailekre másodlagos bejelentkezési azonosítóként:

  • A felhasználók akkor is láthatják az UPN-jüket, ha nem UPN-hez megadott e-mail-címmel jelentkeztek be. A következő példaviselkedések láthatók:

    • A felhasználónak be kell jelentkeznie az UPN-sel, amikor az Azure AD-bejelentkezésre van irányítva a login_hint=<non-UPN email> következővel: .
    • Amikor egy felhasználó nem UPN e-mail-címmel jelentkezik be, és helytelen jelszót ad meg, a "Jelszó megadása" lap megváltozik, és megjeleníti az UPN-t.
    • Egyes Microsoft-webhelyeken és alkalmazásokban, például a Microsoft Office-ban a jobb felső sarokban megjelenő Fiókkezelő vezérlő a bejelentkezéshez használt nem UPN e-mail helyett a felhasználó UPN-jét jeleníti meg.
  • Egyes folyamatok jelenleg nem kompatibilisek az UPN-hez nem használt e-mailekkel, például az alábbiakkal:

    • Az Identity Protection nem felel meg a kiszivárgott hitelesítő adatok kockázatészlelését észlelő, upn-hez nem használt e-maileknek. Ez a kockázatészlelés az UPN-t használja a kiszivárgott hitelesítő adatokkal való egyeztetéshez. További információ: Azure AD Identity Protection kockázatészlelés és -szervizelés.
    • A nem UPN e-mail-címre küldött B2B-meghívások nem teljes mértékben támogatottak. A nem UPN e-mail-címre küldött meghívó elfogadása után előfordulhat, hogy a nem UPN-hez megadott e-mail-címmel való bejelentkezés nem fog működni a vendégfelhasználónál az erőforrás-bérlő végponton.
    • Ha egy felhasználó nem UPN e-mail-címmel jelentkezik be, nem módosíthatja a jelszavát. Az Azure AD önkiszolgáló jelszóát állításának (SSPR) a várt módon kell működnie. Az SSPR során a felhasználó láthatja az UPN-jét, ha másodlagos e-mail-címmel ellenőrzi az identitását.
  • Az alábbi forgatókönyvek nem támogatottak. Bejelentkezés nem UPN-ről e-mail-címmel a következőre:

    • Hibrid Azure AD-csatlakoztatott eszközök
    • Azure AD-hez csatlakoztatott eszközök
    • Skype Vállalati verzió
    • Microsoft Office macOS rendszeren
    • OneDrive (ha a bejelentkezési folyamat nem tartalmaz többtényezős hitelesítést)
    • Microsoft Teams a weben
    • Erőforrás-tulajdonosi jelszó-hitelesítő adatok (ROPC) folyamatai
  • A szolgáltatás HRD-szabályzatban való konfigurációjának módosításai nem jelennek meg explicit módon az auditnaplókban.

  • Az szakaszos bevezetési szabályzat nem a várt módon működik a több szakaszos bevezetési szabályzatban szereplő felhasználóknál.

  • Egy bérlőn belül a csak felhőbeli felhasználó UPN-je ugyanaz lehet, mint egy másik felhasználó helyszíni címtárból szinkronizált proxycíme. Ebben a forgatókönyvben, ha a funkció engedélyezve van, a csak felhőalapú felhasználó nem tud majd bejelentkezni az UPN-jéhez. Erről a problémáról a Hibaelhárítás szakaszban található további információ.

Alternatív bejelentkezési azonosítók beállításainak áttekintése

Az Azure AD-be való bejelentkezéshez a felhasználók olyan értéket adhatjanak meg, amely egyedileg azonosítja a fiókját. Korábban csak az Azure AD UPN-t használhatja bejelentkezési azonosítóként.

Olyan szervezeteknél, ahol a helyszíni UPN a felhasználó által előnyben részesített bejelentkezési e-mail-cím, ez a módszer nagyszerű volt. Ezek a szervezetek az Azure AD UPN-t pontosan ugyanolyan értékre állítva, mint a helyszíni UPN, és a felhasználók konzisztens bejelentkezési élményt tapasztalnak.

Másodlagos bejelentkezési azonosító a AD FS

Egyes szervezetekben azonban a helyszíni UPN-t nem használjuk bejelentkezési azonosítóként. A helyszíni környezetekben úgy kell konfigurálnia a helyi AD DS, hogy lehetővé tegye a bejelentkezést egy alternatív bejelentkezési azonosítóval. Az Azure AD UPN-nek a helyszíni UPN-ével azonos értékre való beállítása nem lehetséges, mivel az Azure AD ezt követően megkövetelné a felhasználóktól, hogy ezzel az értékkel jelentkezzenek be.

Alternatív bejelentkezési azonosító az Azure AD-Csatlakozás

A probléma tipikus megkerülő megoldása az volt, hogy az Azure AD UPN-t arra az e-mail-címre beállította, amelyről a felhasználó bejelentkezést vár. Ez a megközelítés működik, bár különböző UPN-eket ad a helyszíni AD és az Azure AD között, és ez a konfiguráció nem kompatibilis az összes Microsoft 365 számítási feladatokkal.

E-mail-cím másodlagos bejelentkezési azonosítóként

Másik megoldásként szinkronizálhatja az Azure AD-t és a helyszíni UPN-eket ugyanazokkal az értékekkel, majd konfigurálhatja úgy az Azure AD-t, hogy a felhasználók ellenőrzött e-mail-címmel jelentkezzenek be az Azure AD-be. Ennek érdekében egy vagy több e-mail-címet kell meghatároznia a helyszíni címtárban a felhasználó ProxyAddresses attribútumában. A ProxyAddresses ezután automatikusan szinkronizálódik az Azure AD-be az Azure AD Csatlakozás.

Beállítás Leírás
Másodlagos bejelentkezési azonosító a AD FS Alternatív attribútummal (például Mail) való bejelentkezés engedélyezése a AD FS számára.
Alternatív bejelentkezési azonosító az Azure AD-Csatlakozás Szinkronizálja az alternatív attribútumokat (például a Mailet) az Azure AD UPN-ként.
E-mail-cím másodlagos bejelentkezési azonosítóként Engedélyezze az ellenőrzött tartományi ProxyAddresses bejelentkezést az Azure AD-felhasználók számára.

Bejelentkezési e-mail-címek szinkronizálása az Azure AD-be

A hagyományos Active Directory Domain Services (AD DS) vagy Active Directory összevonási szolgáltatások (AD FS) (AD FS) hitelesítés közvetlenül a hálózaton történik, és a saját AD DS kezeli. Hibrid hitelesítéssel a felhasználók közvetlenül bejelentkeznek az Azure AD-be.

A hibrid hitelesítési módszer támogatásához szinkronizálja a helyszíni AD DS-környezetet az Azure AD-be az Azure AD Csatlakozás használatával, és konfigurálja a jelszó-kivonatszinkronizálás (PHS) vagy az Pass-Through-hitelesítés (PTA) használatára. További információ: A megfelelő hitelesítési módszer kiválasztása az Azure AD hibrid identitásmegoldáshoz.

A felhasználó mindkét konfigurációs lehetőség esetén elküldi a felhasználónevét és jelszavát az Azure AD-nek, amely érvényesíti a hitelesítő adatokat, és ki ad egy jegyet. Amikor a felhasználók bejelentkeznek az Azure AD-be, nem kell a szervezetnek egy új infrastruktúrát AD FS kezelnie.

Az Azure AD által automatikusan szinkronizált felhasználói attribútumok egyike a ProxyAddresses Csatlakozás. Ha a felhasználók a ProxyAddresses attribútum részeként meghatározott e-mail-címmel AD DS a helyi környezetben, a rendszer automatikusan szinkronizálja azt az Azure AD-be. Ez az e-mail-cím ezután közvetlenül használható az Azure AD bejelentkezési folyamatában alternatív bejelentkezési azonosítóként.

Fontos

A rendszer csak a bérlő ellenőrzött tartományában lévő e-maileket szinkronizálja az Azure AD-be. Minden Azure AD-bérlő egy vagy több ellenőrzött tartománysal rendelkezik, amelyek tulajdonjoga igazolható, és egyedileg kötődik a bérlőhöz.

További információ: Egyéni tartománynév hozzáadása és ellenőrzése az Azure AD-ban.

Felhasználói bejelentkezés engedélyezése e-mail-címmel

Megjegyzés

Ez a konfigurációs beállítás HRD-szabályzatot használ. További információ: homeRealmDiscoveryPolicy erőforrástípus.

Miután az Azure AD Csatlakozás használatával szinkronizálta a ProxyAddresses attribútummal megadott felhasználókat az Azure AD-be, engedélyeznie kell a funkciót, hogy a felhasználók másodlagos bejelentkezési azonosítóként jelentkezzenek be e-mailben. Ez a funkció arra utasítja az Azure AD bejelentkezési kiszolgálót, hogy ne csak a bejelentkezési azonosítót ellenőrizze az UPN-értékek alapján, hanem az e-mail-cím ProxyAddresses értékeit is.

Az előzetes verzió ideje alatt az e-mailes bejelentkezés jelenleg csak másodlagos bejelentkezési azonosítóként engedélyezhető a PowerShell használatával. A következő lépések befejezéséhez globális rendszergazdai engedélyekkel kell rendelkeznie:

  1. Nyisson meg egy PowerShell-munkamenetet rendszergazdaként, majd telepítse az AzureADPreview modult az Install-Module parancsmag használatával:

    Install-Module AzureADPreview
    

    Ha a rendszer kéri, válassza az Y lehetőséget a NuGet telepítéséhez vagy nem megbízható adattárból való telepítéshez.

  2. Jelentkezzen be az Azure AD-bérlőbe globális rendszergazdaként a Csatlakozás-AzureAD parancsmag használatával:

    Connect-AzureAD
    

    A parancs a fiókkal, a környezettel és a bérlőazonosítóval kapcsolatos adatokat ad vissza.

  3. Ellenőrizze, hogy a HomeRealmDiscoveryPolicy már létezik-e a bérlőben a Get-AzureADPolicy parancsmag használatával az alábbiak szerint:

    Get-AzureADPolicy | Where-Object Type -eq "HomeRealmDiscoveryPolicy" | Format-List *
    
  4. Ha jelenleg nincs konfigurálva szabályzat, a parancs semmit sem ad vissza. Ha a rendszer szabályzatot ad vissza, hagyja ki ezt a lépést, és lépjen tovább a következő lépésre egy meglévő szabályzat frissítéséhez.

    Ha hozzá szeretne adni a HomeRealmDiscoveryPolicy szabályzatot a bérlőhöz, használja a New-AzureADPolicy parancsmagot, és állítsa a AlternateIdLogin attribútumot "Enabled": true (Engedélyezve): true (igaz) értékre az alábbi példában látható módon:

    $AzureADPolicyDefinition = @(
      @{
         "HomeRealmDiscoveryPolicy" = @{
            "AlternateIdLogin" = @{
               "Enabled" = $true
            }
         }
      } | ConvertTo-JSON -Compress
    )
    $AzureADPolicyParameters = @{
      Definition            = $AzureADPolicyDefinition
      DisplayName           = "BasicAutoAccelerationPolicy"
      IsOrganizationDefault = $true
      Type                  = "HomeRealmDiscoveryPolicy"
    }
    New-AzureADPolicy @AzureADPolicyParameters
    

    A szabályzat sikeres létrehozása után a parancs visszaadja a szabályzat azonosítóját az alábbi kimenetben látható módon:

    Id                                   DisplayName                 Type                     IsOrganizationDefault
    --                                   -----------                 ----                     ---------------------
    5de3afbe-4b7a-4b33-86b0-7bbe308db7f7 BasicAutoAccelerationPolicy HomeRealmDiscoveryPolicy True
    
  5. Ha már van konfigurált szabályzat, ellenőrizze, hogy engedélyezve van-e az AlternateIdLogin attribútum, ahogyan az alábbi példa   szabályzatkimenetben látható:

    Id : 5de3afbe-4b7a-4b33-86b0-7bbe308db7f7
    OdataType :
    AlternativeIdentifier :
    Definition : {{"HomeRealmDiscoveryPolicy" :{"AlternateIdLogin":{"Enabled": true}}}}
    DisplayName : BasicAutoAccelerationPolicy
    IsOrganizationDefault : True
    KeyCredentials : {}
    Type : HomeRealmDiscoveryPolicy
    

    Ha a szabályzat létezik, de az AlternateIdLogin attribútum nincs jelen vagy nincs engedélyezve, vagy ha más attribútumok is léteznek a megőrizni kívánt szabályzaton, frissítse a meglévő szabályzatot a Set-AzureADPolicy parancsmaggal.

    Fontos

    A szabályzat frissítésekor győződjön meg arról, hogy a régi beállításokat és az új AlternateIdLogin attribútumot is tartalmazza.

    Az alábbi példa hozzáadja az AlternateIdLogin attribútumot, és megőrzi a már beállított AllowCloudPasswordValidation attribútumot:

    $AzureADPolicyDefinition = @(
      @{
         "HomeRealmDiscoveryPolicy" = @{
            "AllowCloudPasswordValidation" = $true
            "AlternateIdLogin" = @{
               "Enabled" = $true
            }
         }
      } | ConvertTo-JSON -Compress
    )
    $AzureADPolicyParameters = @{
      ID                    = "b581c39c-8fe3-4bb5-b53d-ea3de05abb4b"
      Definition            = $AzureADPolicyDefinition
      DisplayName           = "BasicAutoAccelerationPolicy"
      IsOrganizationDefault = $true
      Type                  = "HomeRealmDiscoveryPolicy"
    }
    
    Set-AzureADPolicy @AzureADPolicyParameters
    

    Ellenőrizze, hogy a frissített szabályzat megjeleníti-e a módosításokat, és hogy engedélyezve van-e az AlternateIdLogin attribútum:

    Get-AzureADPolicy | Where-Object Type -eq "HomeRealmDiscoveryPolicy" | Format-List *
    

A szabályzat alkalmazása után a propagálás akár 1 órát is igénybe vehet, és a felhasználók a másodlagos bejelentkezési azonosítójuk használatával tudnak bejelentkezni.

A felhasználói bejelentkezés e-mail-címmel való tesztelésének engedélyezése szakaszos bevezetéshez

Megjegyzés

Ez a konfigurációs beállítás szakaszos bevezetési szabályzatot használ. További információ: featureRolloutPolicy erőforrástípus.

Az szakaszos bevezetési szabályzattal a bérlői rendszergazdák engedélyezhetik a funkciókat adott Azure AD-csoportok számára. Javasoljuk, hogy a bérlői rendszergazdák szakaszos bevezetéssel teszteljék a felhasználói bejelentkezést e-mail-címmel. Amikor a rendszergazdák készen állnak a szolgáltatás teljes bérlőn való üzembe helyezésére, HRD-szabályzatot kell használniuk.

A következő lépések befejezéséhez globális rendszergazdai engedélyekkel kell rendelkeznie:

  1. Nyisson meg egy PowerShell-munkamenetet rendszergazdaként, majd telepítse az AzureADPreview modult az Install-Module parancsmag használatával:

    Install-Module AzureADPreview
    

    Ha a rendszer kéri, válassza az Y lehetőséget a NuGet telepítéséhez vagy nem megbízható adattárból való telepítéshez.

  2. Jelentkezzen be az Azure AD-bérlőbe globális rendszergazdaként a Csatlakozás-AzureAD parancsmag használatával:

    Connect-AzureAD
    

    A parancs a fiókkal, a környezettel és a bérlőazonosítóval kapcsolatos adatokat ad vissza.

  3. Sorolja fel az összes meglévő, szakaszos bevezetési szabályzatot a következő parancsmag használatával:

    Get-AzureADMSFeatureRolloutPolicy
    
  4. Ha a szolgáltatáshoz nincsenek meglévő, szakaszos bevezetési szabályzatok, hozzon létre egy új, szakaszos bevezetési szabályzatot, és jegyezze fel a szabályzat azonosítóját:

    $AzureADMSFeatureRolloutPolicy = @{
       Feature    = "EmailAsAlternateId"
       DisplayName = "EmailAsAlternateId Rollout Policy"
       IsEnabled   = $true
    }
    New-AzureADMSFeatureRolloutPolicy @AzureADMSFeatureRolloutPolicy
    
  5. Keresse meg annak a csoportnak a directoryObject azonosítóját, amely hozzá lesz adva az szakaszos bevezetési szabályzathoz. Jegyezze fel az Id paraméterhez visszaadott értéket, mert a következő lépésben használni fogja.

    Get-AzureADMSGroup -SearchString "Name of group to be added to the staged rollout policy"
    
  6. Adja hozzá a csoportot az szakaszos bevezetési szabályzathoz az alábbi példában látható módon. Cserélje le az -Id paraméterben megadott értéket a 4. lépésben a szabályzatazonosítóhoz visszaadott értékre, az -RefObjectId paraméter értékét pedig az 5. lépésben feljegyzett azonosítóra. Akár 1 óra is eltelhet, mire a csoport felhasználói másodlagos bejelentkezési azonosítóként e-mailben bejelentkezhetnek az Azure AD-be.

    Add-AzureADMSFeatureRolloutPolicyDirectoryObject -Id "ROLLOUT_POLICY_ID" -RefObjectId "GROUP_OBJECT_ID"
    

A csoporthoz hozzáadott új tagok esetén akár 24 órába is eltelhet, amíg másodlagos bejelentkezési azonosítóként e-mailben bejelentkeznek az Azure AD-be.

Csoportok eltávolítása

Ha el szeretne távolítani egy csoportot egy szakaszos bevezetési szabályzatból, futtassa a következő parancsot:

Remove-AzureADMSFeatureRolloutPolicyDirectoryObject -Id "ROLLOUT_POLICY_ID" -ObjectId "GROUP_OBJECT_ID" 

Szabályzatok eltávolítása

Az szakaszos bevezetési szabályzat eltávolításához először tiltsa le a szabályzatot, majd távolítsa el a rendszerből:

Set-AzureADMSFeatureRolloutPolicy -Id "ROLLOUT_POLICY_ID" -IsEnabled $false 
Remove-AzureADMSFeatureRolloutPolicy -Id "ROLLOUT_POLICY_ID"

Felhasználói bejelentkezés tesztelése e-mail-címmel

Annak tesztelésére, hogy a felhasználók bejelentkeznek-e e-mailben, a címre lép, és egy nem https://myprofile.microsoft.com UPN-hez hasonló e-mail-címmel jelentkeznek balas@fabrikam.com be. A bejelentkezési élménynek ugyanúgy kell kinéznie és ugyanúgy kell kinéznie, mint az UPN-sel való bejelentkezésnek.

Hibaelhárítás

Ha a felhasználók nem jelentkeznek be az e-mail-címükről, tekintse át az alábbi hibaelhárítási lépéseket:

  1. Győződjön meg arról, hogy legalább 1 óra van a másodlagos bejelentkezési azonosítóként megadott e-mail-cím engedélyezése óta. Ha a felhasználó nemrég lett hozzáadva egy csoporthoz az szakaszos bevezetési szabályzathoz, győződjön meg arról, hogy legalább 24 óra van a csoporthoz való hozzáadás óta.

  2. HA HRD-szabályzatot használ, győződjön meg arról, hogy az Azure AD HomeRealmDiscoveryPolicy AlternateIdLogin definíciós tulajdonsága "Enabled": true ( igaz) és az IsOrganizationDefault (IsOrganizationDefault) tulajdonság True (Igaz) értékre van állítva:

    Get-AzureADPolicy | Where-Object Type -eq "HomeRealmDiscoveryPolicy" | Format-List *
    

    Ha szakaszos bevezetési szabályzatot használ, győződjön meg arról, hogy az Azure AD FeatureRolloutPolicy IsEnabled tulajdonsága True (Igaz) értékre van állítva:

    Get-AzureADMSFeatureRolloutPolicy
    
  3. Győződjön meg arról, hogy a felhasználói fiók e-mail-címe be van állítva az Azure AD ProxyAddresses attribútumában.

Ütköző értékek a csak felhőalapú és a szinkronizált felhasználók között

Egy bérlőn belül a csak felhőbeli felhasználó UPN-e ugyanazt az értéket veszi fel, mint egy másik felhasználó helyszíni címtárból szinkronizált proxycíme. Ebben a forgatókönyvben, ha a funkció engedélyezve van, a csak felhőalapú felhasználó nem tud majd bejelentkezni az UPN-jéhez. A probléma példányainak észlelésének lépései a következőek.

  1. Nyisson meg egy PowerShell-munkamenetet rendszergazdaként, majd telepítse az AzureADPreview modult az Install-Module parancsmag használatával:

    Install-Module AzureADPreview
    

    Ha a rendszer kéri, válassza az Y lehetőséget a NuGet telepítéséhez vagy nem megbízható adattárból való telepítéshez.

  2. Jelentkezzen be az Azure AD-bérlőbe globális rendszergazdaként a Csatlakozás-AzureAD parancsmag használatával:

    Connect-AzureAD
    
  3. Szerezze be az érintett felhasználókat.

    # Get all users
    $allUsers = Get-AzureADUser -All $true
    
    # Get list of proxy addresses from all synced users
    $syncedProxyAddresses = $allUsers |
        Where-Object {$_.ImmutableId} |
        Select-Object -ExpandProperty ProxyAddresses |
        ForEach-Object {$_ -Replace "smtp:", ""}
    
    # Get list of user principal names from all cloud-only users
    $cloudOnlyUserPrincipalNames = $allUsers |
        Where-Object {!$_.ImmutableId} |
        Select-Object -ExpandProperty UserPrincipalName
    
    # Get intersection of two lists
    $duplicateValues = $syncedProxyAddresses |
        Where-Object {$cloudOnlyUserPrincipalNames -Contains $_}
    
  4. Az érintett felhasználók kimenetének kimenete:

    # Output affected synced users
    $allUsers |
        Where-Object {$_.ImmutableId -And ($_.ProxyAddresses | Where-Object {($duplicateValues | ForEach-Object {"smtp:$_"}) -Contains $_}).Length -GT 0} |
        Select-Object ObjectId, DisplayName, UserPrincipalName, ProxyAddresses, ImmutableId, UserType
    
    # Output affected cloud-only users
    $allUsers |
        Where-Object {!$_.ImmutableId -And $duplicateValues -Contains $_.UserPrincipalName} |
        Select-Object ObjectId, DisplayName, UserPrincipalName, ProxyAddresses, ImmutableId, UserType
    
  5. Az érintett felhasználók csv-fájlba való kimenete:

    # Output affected users to CSV
    $allUsers |
        Where-Object {
            ($_.ImmutableId -And ($_.ProxyAddresses | Where-Object {($duplicateValues | ForEach-Object {"smtp:$_"}) -Contains $_}).Length -GT 0) -Or
            (!$_.ImmutableId -And $duplicateValues -Contains $_.UserPrincipalName)
        } |
        Select-Object ObjectId, DisplayName, UserPrincipalName, @{n="ProxyAddresses"; e={$_.ProxyAddresses -Join ','}}, @{n="IsSyncedUser"; e={$_.ImmutableId.Length -GT 0}}, UserType |
        Export-Csv -Path .\AffectedUsers.csv -NoTypeInformation
    

Következő lépések

További információ a hibrid identitásról, például a Azure AD alkalmazás Proxyról vagy Azure AD Domain Services-ről: Azure AD hybrid identity for access and management of on-prem workloads (Az Azure ADhibrid identitása a számítási feladatok eléréséhez és felügyeletéhez).

A hibrid identitásműveletekkel kapcsolatos további információkért lásd a jelszó kivonatszinkronizálásának vagy az átmenő hitelesítés szinkronizálásának működését.