Logowanie do usługi Microsoft Entra ID przy użyciu poczty e-mail jako alternatywnego identyfikatora logowania (wersja zapoznawcza) (wersja zapoznawcza)

  • Artykuł

Uwaga

Zaloguj się do firmy Microsoft Entra ID przy użyciu adresu e-mail jako alternatywnego identyfikatora logowania jest funkcją publicznej wersji zapoznawczej identyfikatora Entra firmy Microsoft. Aby uzyskać więcej informacji na temat wersji zapoznawczych, zobacz temat Dodatkowe warunki użytkowania dotyczące wersji zapoznawczych platformy Microsoft Azure.

Wiele organizacji chce zezwolić użytkownikom na logowanie się do identyfikatora Entra firmy Microsoft przy użyciu tych samych poświadczeń co środowisko katalogu lokalnego. W przypadku tego podejścia, znanego jako uwierzytelnianie hybrydowe, użytkownicy muszą pamiętać tylko jeden zestaw poświadczeń.

Niektóre organizacje nie zostały przeniesione do uwierzytelniania hybrydowego z następujących powodów:

  • Domyślnie główna nazwa użytkownika firmy Microsoft (UPN) jest ustawiona na tę samą wartość co lokalna nazwa UPN.
  • Zmiana nazwy UPN firmy Microsoft powoduje niezgodność między środowiskami lokalnymi i microsoft Entra, które mogą powodować problemy z niektórymi aplikacjami i usługami.
  • Ze względu na przyczyny biznesowe lub zgodność organizacja nie chce używać lokalnej nazwy UPN do logowania się do identyfikatora Entra firmy Microsoft.

Aby przejść do uwierzytelniania hybrydowego, możesz skonfigurować identyfikator entra firmy Microsoft, aby umożliwić użytkownikom logowanie się przy użyciu adresu e-mail jako alternatywnego identyfikatora logowania. Jeśli na przykład firma Contoso zmieniła nazwę na Fabrikam, zamiast logować się przy użyciu starszej ana@contoso.com nazwy UPN, można użyć adresu e-mail jako alternatywnego identyfikatora logowania. Aby uzyskać dostęp do aplikacji lub usługi, użytkownicy logują się do usługi Microsoft Entra ID przy użyciu adresu e-mail innego niż UPN, takiego jak ana@fabrikam.com.

Diagram of email as an alternate login ID.

W tym artykule przedstawiono sposób włączania i używania poczty e-mail jako alternatywnego identyfikatora logowania.

Zanim rozpoczniesz

Oto, co musisz wiedzieć o wiadomości e-mail jako alternatywny identyfikator logowania:

  • Funkcja jest dostępna w wersji Microsoft Entra ID Free i nowszej.
  • Ta funkcja umożliwia logowanie się za pomocą proxyAddresses, oprócz nazwy UPN, dla użytkowników firmy Microsoft Entra uwierzytelnionych w chmurze. Więcej informacji na temat tego, jak dotyczy to współpracy między firmami firmy Microsoft (B2B) w sekcji B2B .
  • Gdy użytkownik zaloguje się przy użyciu adresu e-mail innego niż nazwa UPN, unique_name oświadczenia i preferred_username (jeśli istnieją) w tokenie identyfikatora, zwróci wiadomość e-mail inną niż UPN.
    • Jeśli używana wiadomość e-mail innej niż UPN stanie się nieaktualna (nie należy już do użytkownika), te oświadczenia będą zwracać zamiast tego nazwę UPN.
  • Funkcja obsługuje uwierzytelnianie zarządzane za pomocą funkcji synchronizacji skrótów haseł (PHS) lub uwierzytelniania przekazywanego (PTA).
  • Istnieją dwie opcje konfigurowania funkcji:
    • Zasady odnajdywania obszaru głównego (HRD) — ta opcja umożliwia włączenie funkcji dla całej dzierżawy. Wymagana jest rola globalnego Administracja istratora, Administracja istratora aplikacji w chmurze lub Administracja istratora aplikacji w chmurze.
    • Zasady wdrażania etapowego — ta opcja służy do testowania funkcji z określonymi grupami firmy Microsoft Entra. Wymagane uprawnienia globalnego Administracja istratora. Po pierwszym dodaniu grupy zabezpieczeń do wdrożenia etapowego możesz ograniczyć do 200 użytkowników, aby uniknąć przekroczenia limitu czasu środowiska użytkownika. Po dodaniu grupy możesz dodać do niej więcej użytkowników bezpośrednio, zgodnie z potrzebami.

Ograniczenia wersji zapoznawczej

W bieżącym stanie wersji zapoznawczej następujące ograniczenia dotyczą wiadomości e-mail jako alternatywnego identyfikatora logowania:

  • Środowisko użytkownika — użytkownicy mogą widzieć swoją nazwę UPN, nawet jeśli zalogowali się przy użyciu poczty e-mail innej niż UPN. Można zobaczyć następujące przykładowe zachowanie:

    • Użytkownik jest monitowany o zalogowanie się przy użyciu nazwy UPN po przekierowaniu do usługi Microsoft Entra logowania przy użyciu polecenia login_hint=<non-UPN email>.
    • Gdy użytkownik loguje się przy użyciu wiadomości e-mail innej niż UPN i wprowadza nieprawidłowe hasło, strona "Wprowadź hasło" zmieni się, aby wyświetlić nazwę UPN.
    • W niektórych witrynach i aplikacjach firmy Microsoft, takich jak Microsoft Office, kontrolka Menedżer kont zazwyczaj wyświetlana w prawym górnym rogu może wyświetlać nazwę UPN użytkownika zamiast adresu e-mail innego niż nazwa UPN używana do logowania.

  • Nieobsługiwane przepływy — niektóre przepływy nie są obecnie zgodne z wiadomościami e-mail innych niż nazwy UPN, takimi jak następujące:

    • Usługa Identity Protection nie pasuje do wiadomości e-mail innych niż nazwy UPN z wykrywaniem ryzyka wycieku poświadczeń . To wykrywanie ryzyka używa nazwy UPN do dopasowania poświadczeń, które zostały ujawnione. Aby uzyskać więcej informacji, zobacz How To: Investigate risk (Instrukcje: badanie ryzyka).
    • Gdy użytkownik jest zalogowany przy użyciu wiadomości e-mail innej niż UPN, nie może zmienić hasła. Samoobsługowe resetowanie haseł (SSPR) firmy Microsoft powinno działać zgodnie z oczekiwaniami. Podczas samoobsługowego resetowania hasła użytkownik może zobaczyć swoją nazwę UPN, jeśli zweryfikuje swoją tożsamość przy użyciu wiadomości e-mail innej niż UPN.

  • Nieobsługiwane scenariusze — następujące scenariusze nie są obsługiwane. Zaloguj się przy użyciu adresu e-mail innego niż nazwa UPN dla:

  • Nieobsługiwane aplikacje — niektóre aplikacje innych firm mogą nie działać zgodnie z oczekiwaniami, jeśli zakładają, że unique_name oświadczenia lub preferred_username są niezmienne lub zawsze będą zgodne z określonym atrybutem użytkownika, takim jak nazwa UPN.

  • Rejestrowanie — zmiany wprowadzone w konfiguracji funkcji w zasadach HRD nie są jawnie wyświetlane w dziennikach inspekcji.

  • Zasady wdrażania etapowego — następujące ograniczenia mają zastosowanie tylko wtedy, gdy funkcja jest włączona przy użyciu zasad wdrażania etapowego:

    • Ta funkcja nie działa zgodnie z oczekiwaniami dla użytkowników, którzy są uwzględniani w innych zasadach wdrażania etapowego.
    • Zasady wdrażania etapowego obsługują maksymalnie 10 grup na funkcję.
    • Zasady wdrażania etapowego nie obsługują grup zagnieżdżonych.
    • Zasady wdrażania etapowego nie obsługują grup dynamicznych.
    • Obiekty kontaktów wewnątrz grupy będą blokować dodawanie grupy do zasad wdrażania etapowego.

  • Zduplikowane wartości — w dzierżawie nazwa UPN użytkownika tylko w chmurze może być taka sama jak adres proxy innego użytkownika zsynchronizowany z katalogu lokalnego. W tym scenariuszu z włączoną funkcją użytkownik tylko w chmurze nie będzie mógł zalogować się przy użyciu nazwy UPN. Więcej informacji na temat tego problemu znajduje się w sekcji Rozwiązywanie problemów .

Omówienie alternatywnych opcji identyfikatora logowania

Aby zalogować się do identyfikatora Entra firmy Microsoft, użytkownicy wprowadź wartość, która jednoznacznie identyfikuje swoje konto. W przeszłości można było użyć tylko nazwy UPN firmy Microsoft jako identyfikatora logowania.

W przypadku organizacji, w których lokalna nazwa UPN jest preferowaną pocztą e-mail logowania użytkownika, takie podejście było doskonałe. Te organizacje ustawiłyby nazwę UPN firmy Microsoft na dokładnie taką samą wartość jak lokalna nazwa UPN, a użytkownicy mieliby spójne środowisko logowania.

Alternatywny identyfikator logowania dla usług AD FS

Jednak w niektórych organizacjach nazwa UPN lokalna nie jest używana jako identyfikator logowania. W środowiskach lokalnych należy skonfigurować lokalne usługi AD DS, aby zezwolić na logowanie przy użyciu alternatywnego identyfikatora logowania. Ustawienie nazwy UPN firmy Microsoft na taką samą wartość jak lokalna nazwa UPN nie jest opcją, ponieważ identyfikator Entra firmy Microsoft wymaga od użytkowników zalogowania się przy użyciu tej wartości.

Alternatywny identyfikator logowania w usłudze Microsoft Entra Połączenie

Typowym obejściem tego problemu było ustawienie nazwy UPN firmy Microsoft na adres e-mail, za pomocą którego użytkownik spodziewa się się zalogować. To podejście działa, chociaż powoduje różne nazwy UPN między lokalną usługą AD i identyfikatorem Microsoft Entra ID, a ta konfiguracja nie jest zgodna ze wszystkimi obciążeniami platformy Microsoft 365.

Adres e-mail jako alternatywny identyfikator logowania

Innym podejściem jest zsynchronizowanie identyfikatora Entra firmy Microsoft i lokalnych nazw UPN z tą samą wartością, a następnie skonfigurowanie identyfikatora Entra firmy Microsoft w celu umożliwienia użytkownikom logowania się do identyfikatora Entra firmy Microsoft przy użyciu zweryfikowanej poczty e-mail. Aby zapewnić tę możliwość, należy zdefiniować co najmniej jeden adres e-mail w atrybucie ProxyAddresses użytkownika w katalogu lokalnym. Adresy proxy są następnie automatycznie synchronizowane z identyfikatorem Entra firmy Microsoft przy użyciu Połączenie firmy Microsoft.

Opcja Opis
Alternatywny identyfikator logowania dla usług AD FS Włącz logowanie za pomocą atrybutu alternatywnego (takiego jak Poczta) dla użytkowników usług AD FS.
Alternatywny identyfikator logowania w usłudze Microsoft Entra Połączenie Zsynchronizuj atrybut alternatywny (taki jak Poczta) jako nazwę UPN firmy Microsoft.
Adres e-mail jako alternatywny identyfikator logowania Włącz logowanie przy użyciu zweryfikowanego serwera proxy domenyAddresses dla użytkowników firmy Microsoft Entra.

Synchronizowanie adresów e-mail logowania z identyfikatorem entra firmy Microsoft

Tradycyjne uwierzytelnianie usług domena usługi Active Directory Services (AD DS) lub Active Directory Federation Services (AD FS) odbywa się bezpośrednio w sieci i jest obsługiwane przez infrastrukturę usług AD DS. W przypadku uwierzytelniania hybrydowego użytkownicy mogą zamiast tego logować się bezpośrednio do identyfikatora Entra firmy Microsoft.

Aby zapewnić obsługę tego podejścia do uwierzytelniania hybrydowego, należy zsynchronizować lokalne środowisko usług AD DS z identyfikatorem Entra firmy Microsoft przy użyciu usługi Microsoft Entra Połączenie i skonfigurować je do używania phS lub PTA. Aby uzyskać więcej informacji, zobacz Wybieranie odpowiedniej metody uwierzytelniania dla rozwiązania tożsamości hybrydowej firmy Microsoft Entra.

W obu opcjach konfiguracji użytkownik przesyła swoją nazwę użytkownika i hasło do identyfikatora Entra firmy Microsoft, który weryfikuje poświadczenia i wystawia bilet. Gdy użytkownicy logowali się do identyfikatora Entra firmy Microsoft, eliminuje konieczność hostowania infrastruktury usług AD FS i zarządzania nią.

Jednym z atrybutów użytkownika, które są automatycznie synchronizowane przez firmę Microsoft Entra Połączenie jest ProxyAddresses. Jeśli użytkownicy mają adres e-mail zdefiniowany w lokalnym środowisku usług AD DS w ramach atrybutu ProxyAddresses , jest on automatycznie synchronizowany z identyfikatorem Entra firmy Microsoft. Ten adres e-mail może być następnie używany bezpośrednio w procesie logowania w usłudze Microsoft Entra jako alternatywny identyfikator logowania.

Ważne

Tylko wiadomości e-mail w zweryfikowanych domenach dzierżawy są synchronizowane z identyfikatorem Entra firmy Microsoft. Każda dzierżawa firmy Microsoft Entra ma co najmniej jedną zweryfikowaną domenę, dla której sprawdzono własność i jest unikatowo powiązana z dzierżawą.

Aby uzyskać więcej informacji, zobacz Dodawanie i weryfikowanie niestandardowej nazwy domeny w identyfikatorze Entra firmy Microsoft.

Logowanie użytkownika-gościa B2B przy użyciu adresu e-mail

Diagram of email as an alternate login ID for B 2 B guest user sign-in.

Adres e-mail jako alternatywny identyfikator logowania ma zastosowanie do współpracy Firmy Microsoft Entra B2B w modelu "bring your own sign-in identifiers". Jeśli adres e-mail jako identyfikator logowania alternatywnego jest włączony w dzierżawie głównej, użytkownicy firmy Microsoft Entra mogą wykonywać logowanie gościa przy użyciu poczty e-mail innej niż NAZWA UPN w punkcie końcowym dzierżawy zasobów. Aby włączyć tę funkcję, nie jest wymagana żadna akcja z dzierżawy zasobów.

Uwaga

Jeśli alternatywny identyfikator logowania jest używany w punkcie końcowym dzierżawy zasobów, który nie ma włączonej funkcji, proces logowania będzie działać bezproblemowo, ale logowanie jednokrotne zostanie przerwane.

Włączanie logowania użytkownika przy użyciu adresu e-mail

Uwaga

Ta opcja konfiguracji używa zasad HRD. Aby uzyskać więcej informacji, zobacz homeRealmDiscoveryPolicy typ zasobu.

Gdy użytkownicy z zastosowanym atrybutem ProxyAddresses zostaną zsynchronizowani z identyfikatorem Entra firmy Microsoft przy użyciu usługi Microsoft Entra Połączenie, musisz włączyć tę funkcję, aby użytkownicy logowali się przy użyciu poczty e-mail jako alternatywny identyfikator logowania dla dzierżawy. Ta funkcja informuje serwery logowania firmy Microsoft Entra, aby nie tylko sprawdzać identyfikator logowania względem wartości nazwy UPN, ale także względem wartości ProxyAddresses dla adresu e-mail.

Obecnie w wersji zapoznawczej potrzebne są uprawnienia globalnego Administracja istratora w celu włączenia logowania przy użyciu poczty e-mail jako alternatywnego identyfikatora logowania. Aby skonfigurować tę funkcję, możesz użyć centrum administracyjnego usługi Microsoft Entra lub programu Graph PowerShell.

Centrum administracyjne Microsoft Entra

Napiwek

Kroki opisane w tym artykule mogą się nieznacznie różnić w zależności od portalu, od którego zaczynasz.

  1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra jako administrator globalny Administracja istrator.

  2. W menu nawigacji po lewej stronie okna Microsoft Entra wybierz pozycję Microsoft Entra Połączenie > Email jako alternatywny identyfikator logowania.

    Screenshot of email as alternate login ID option in the Microsoft Entra admin center.

  3. Kliknij pole wyboru obok pozycji Adres e-mail jako alternatywny identyfikator logowania.

  4. Kliknij przycisk Zapisz.

    Screenshot of email as alternate login ID blade in the Microsoft Entra admin center.

Zastosowanie zasad może potrwać do jednej godziny, a użytkownicy mogą zalogować się przy użyciu alternatywnego identyfikatora logowania.

PowerShell

Uwaga

Ta opcja konfiguracji używa zasad HRD. Aby uzyskać więcej informacji, zobacz homeRealmDiscoveryPolicy typ zasobu.

Gdy użytkownicy z zastosowanym atrybutem ProxyAddresses zostaną zsynchronizowani z identyfikatorem Entra firmy Microsoft przy użyciu usługi Microsoft Entra Połączenie, musisz włączyć tę funkcję, aby użytkownicy logowali się przy użyciu poczty e-mail jako alternatywny identyfikator logowania dla dzierżawy. Ta funkcja informuje serwery logowania firmy Microsoft Entra, aby nie tylko sprawdzać identyfikator logowania względem wartości nazwy UPN, ale także względem wartości ProxyAddresses dla adresu e-mail.

Aby wykonać następujące czynności, potrzebne są uprawnienia globalnego Administracja istratora:

  1. Otwórz sesję programu PowerShell jako administrator, a następnie zainstaluj moduł Microsoft.Graph przy użyciu Install-Module polecenia cmdlet :

    Install-Module Microsoft.Graph

    Aby uzyskać więcej informacji na temat instalacji, zobacz Instalowanie zestawu Microsoft Graph PowerShell SDK.

  2. Zaloguj się do dzierżawy usługi Microsoft Entra przy użyciu Connect-MgGraph polecenia cmdlet :

    Connect-MgGraph -Scopes "Policy.ReadWrite.ApplicationConfiguration" -TenantId organizations

    Polecenie wyświetli monit o uwierzytelnienie przy użyciu przeglądarki internetowej.

  3. Sprawdź, czy element HomeRealmDiscoveryPolicy już istnieje w dzierżawie, używając Get-MgPolicyHomeRealmDiscoveryPolicy polecenia cmdlet w następujący sposób:

    Get-MgPolicyHomeRealmDiscoveryPolicy

  4. Jeśli obecnie nie skonfigurowano żadnych zasad, polecenie nie zwraca niczego. Jeśli zasady są zwracane, pomiń ten krok i przejdź do następnego kroku, aby zaktualizować istniejące zasady.

    Aby dodać element HomeRealmDiscoveryPolicy do dzierżawy, użyj New-MgPolicyHomeRealmDiscoveryPolicy polecenia cmdlet i ustaw atrybut AlternateIdLogin na wartość "Enabled": true , jak pokazano w poniższym przykładzie:

    $AzureADPolicyDefinition = @(
  @{
     "HomeRealmDiscoveryPolicy" = @{
        "AlternateIdLogin" = @{
           "Enabled" = $true
        }
     }
  } | ConvertTo-JSON -Compress
)

$AzureADPolicyParameters = @{
  Definition            = $AzureADPolicyDefinition
  DisplayName           = "BasicAutoAccelerationPolicy"
  AdditionalProperties  = @{ IsOrganizationDefault = $true }
}

New-MgPolicyHomeRealmDiscoveryPolicy @AzureADPolicyParameters

    Po pomyślnym utworzeniu zasad polecenie zwraca identyfikator zasad, jak pokazano w następujących przykładowych danych wyjściowych:

    Definition                                                           DeletedDateTime Description DisplayName                 Id            IsOrganizationDefault
----------                                                           --------------- ----------- -----------                 --            ---------------------
{{"HomeRealmDiscoveryPolicy":{"AlternateIdLogin":{"Enabled":true}}}}                             BasicAutoAccelerationPolicy HRD_POLICY_ID True

  5. Jeśli istnieją już skonfigurowane zasady, sprawdź, czy atrybut AlternateIdLogin jest włączony, jak pokazano w następujących przykładowych danych wyjściowych zasad:

    Definition                                                           DeletedDateTime Description DisplayName                 Id            IsOrganizationDefault
----------                                                           --------------- ----------- -----------                 --            ---------------------
{{"HomeRealmDiscoveryPolicy":{"AlternateIdLogin":{"Enabled":true}}}}                             BasicAutoAccelerationPolicy HRD_POLICY_ID True

    Jeśli zasady istnieją, ale atrybut AlternateIdLogin , który nie jest obecny lub włączony, lub jeśli istnieją inne atrybuty w zasadach, które chcesz zachować, zaktualizuj istniejące zasady przy użyciu Update-MgPolicyHomeRealmDiscoveryPolicy polecenia cmdlet .

    Ważne

    Podczas aktualizowania zasad upewnij się, że wszystkie stare ustawienia i nowy atrybut AlternateIdLogin .

    Poniższy przykład dodaje atrybut AlternateIdLogin i zachowuje atrybut AllowCloudPasswordValidation , który został wcześniej ustawiony:

    $AzureADPolicyDefinition = @(
  @{
     "HomeRealmDiscoveryPolicy" = @{
        "AllowCloudPasswordValidation" = $true
        "AlternateIdLogin" = @{
           "Enabled" = $true
        }
     }
  } | ConvertTo-JSON -Compress
)

$AzureADPolicyParameters = @{
  HomeRealmDiscoveryPolicyId = "HRD_POLICY_ID"
  Definition                 = $AzureADPolicyDefinition
  DisplayName                = "BasicAutoAccelerationPolicy"
  AdditionalProperties       = @{ "IsOrganizationDefault" = $true }
}

Update-MgPolicyHomeRealmDiscoveryPolicy @AzureADPolicyParameters

    Upewnij się, że zaktualizowane zasady zawierają zmiany i że atrybut AlternateIdLogin jest teraz włączony:

    Get-MgPolicyHomeRealmDiscoveryPolicy

Uwaga

Zastosowanie zasad może potrwać do godziny, aby umożliwić użytkownikom logowanie się przy użyciu poczty e-mail jako alternatywnego identyfikatora logowania.

Usuwanie zasad

Aby usunąć zasady HRD, użyj Remove-MgPolicyHomeRealmDiscoveryPolicy polecenia cmdlet :

Remove-MgPolicyHomeRealmDiscoveryPolicy -HomeRealmDiscoveryPolicyId "HRD_POLICY_ID"

Włączanie wprowadzania etapowego w celu przetestowania logowania użytkownika przy użyciu adresu e-mail

Uwaga

Ta opcja konfiguracji używa zasad wdrażania etapowego. Aby uzyskać więcej informacji, zobacz featureRolloutPolicy typ zasobu.

Zasady wdrażania etapowego umożliwiają administratorom dzierżawy włączanie funkcji dla określonych grup firmy Microsoft Entra. Zaleca się, aby administratorzy dzierżawy używali etapowego wdrażania w celu przetestowania logowania użytkownika przy użyciu adresu e-mail. Gdy administratorzy są gotowi do wdrożenia tej funkcji w całej dzierżawie, powinni używać zasad HRD.

Aby wykonać następujące czynności, musisz mieć uprawnienia globalnego Administracja istratora:

  1. Otwórz sesję programu PowerShell jako administrator, a następnie zainstaluj moduł Microsoft.Graph.Beta przy użyciu polecenia cmdlet Install-Module :

    Install-Module Microsoft.Graph.Beta

    Jeśli zostanie wyświetlony monit, wybierz pozycję Y , aby zainstalować pakiet NuGet lub zainstalować z niezaufanego repozytorium.

  2. Zaloguj się do dzierżawy microsoft Entra przy użyciu polecenia cmdlet Połączenie-MgGraph:

    Connect-MgGraph -Scopes "Directory.ReadWrite.All"

    Polecenie zwraca informacje o koncie, środowisku i identyfikatorze dzierżawy.

  3. Wyświetl listę wszystkich istniejących zasad wdrażania etapowego przy użyciu następującego polecenia cmdlet:

    Get-MgBetaPolicyFeatureRolloutPolicy

  4. Jeśli nie ma istniejących zasad wdrażania etapowego dla tej funkcji, utwórz nowe zasady wdrażania etapowego i zanotuj identyfikator zasad:

    $MgPolicyFeatureRolloutPolicy = @{
Feature    = "EmailAsAlternateId"
DisplayName = "EmailAsAlternateId Rollout Policy"
IsEnabled   = $true
}
New-MgBetaPolicyFeatureRolloutPolicy @MgPolicyFeatureRolloutPolicy

  5. Znajdź identyfikator directoryObject grupy, która ma zostać dodana do zasad wdrażania etapowego. Zanotuj wartość zwróconą dla parametru Id , ponieważ zostanie użyta w następnym kroku.

    Get-MgGroup -Filter "DisplayName eq 'Name of group to be added to the staged rollout policy'"

  6. Dodaj grupę do zasad wdrażania etapowego, jak pokazano w poniższym przykładzie. Zastąp wartość w parametrze -FeatureRolloutPolicyId wartością zwróconą dla identyfikatora zasad w kroku 4 i zastąp wartość parametru -OdataId identyfikatorem zanotowaną w kroku 5. Może upłynąć do 1 godziny, zanim użytkownicy w grupie będą mogli zalogować się do identyfikatora Entra firmy Microsoft przy użyciu adresu e-mail jako alternatywnego identyfikatora logowania.

    New-MgBetaDirectoryFeatureRolloutPolicyApplyToByRef `
   -FeatureRolloutPolicyId "ROLLOUT_POLICY_ID" `
   -OdataId "https://graph.microsoft.com/v1.0/directoryObjects/{GROUP_OBJECT_ID}"

W przypadku nowych członków dodanych do grupy może upłynąć do 24 godzin, zanim będą mogli zalogować się do identyfikatora Entra firmy Microsoft przy użyciu adresu e-mail jako alternatywnego identyfikatora logowania.

Usuwanie grup

Aby usunąć grupę z zasad wdrażania etapowego, uruchom następujące polecenie:

Remove-MgBetaPolicyFeatureRolloutPolicyApplyToByRef -FeatureRolloutPolicyId "ROLLOUT_POLICY_ID" -DirectoryObjectId "GROUP_OBJECT_ID"

Usuwanie zasad

Aby usunąć zasady wdrażania etapowego, najpierw wyłącz zasady, a następnie usuń je z systemu:

Update-MgBetaPolicyFeatureRolloutPolicy -FeatureRolloutPolicyId "ROLLOUT_POLICY_ID" -IsEnabled:$false 
Remove-MgBetaPolicyFeatureRolloutPolicy -FeatureRolloutPolicyId "ROLLOUT_POLICY_ID"

Testowanie logowania użytkownika przy użyciu adresu e-mail

Aby przetestować, czy użytkownicy mogą zalogować się przy użyciu poczty e-mail, przejdź do https://myprofile.microsoft.com adresu e-mail innego niż NAZWA UPN, na przykład balas@fabrikam.com. Środowisko logowania powinno wyglądać tak samo jak logowanie przy użyciu nazwy UPN.

Rozwiązywanie problemów

Jeśli użytkownicy mają problemy z logowaniem się przy użyciu adresu e-mail, zapoznaj się z następującymi krokami rozwiązywania problemów:

  1. Upewnij się, że wiadomość e-mail była co najmniej 1 godzina od włączenia alternatywnego identyfikatora logowania. Jeśli użytkownik został niedawno dodany do grupy na potrzeby zasad wdrażania etapowego, upewnij się, że został on dodany do grupy co najmniej 24 godziny.

  2. Jeśli korzystasz z zasad HRD, upewnij się, że właściwość definicji Identyfikator Entra ID Firmy Microsoft HomeRealmDiscoveryPolicy ma właściwość definicji AlternateIdLogin ustawioną na wartość "Enabled": true i właściwość IsOrganizationDefault ustawioną na true:

    Get-MgBetaPolicyHomeRealmDiscoveryPolicy | Format-List *

    Jeśli używasz zasad wdrażania etapowego, upewnij się, że właściwość FeatureRolloutPolicy identyfikatora entra firmy Microsoft ma właściwość IsEnabled ustawioną na true:

    Get-MgBetaPolicyFeatureRolloutPolicy

  3. Upewnij się, że konto użytkownika ma swój adres e-mail ustawiony w atrybucie ProxyAddresses w identyfikatorze Entra firmy Microsoft.

Dzienniki logowania

Screenshot of Microsoft Entra sign-in logs showing email as alternate login ID activity.

Aby uzyskać więcej informacji, możesz przejrzeć dzienniki logowania w usłudze Microsoft Entra ID . Logowania za pomocą poczty e-mail jako alternatywnego identyfikatora logowania będą emitowane proxyAddress w polu Typ identyfikatora logowania i wprowadzonej nazwy użytkownika w polu Identyfikator logowania.

Wartości powodujące konflikt między użytkownikami tylko w chmurze i zsynchronizowanymi użytkownikami

W ramach dzierżawy nazwa UPN użytkownika tylko w chmurze może przyjmować tę samą wartość, co adres proxy innego użytkownika zsynchronizowany z katalogu lokalnego. W tym scenariuszu z włączoną funkcją użytkownik tylko w chmurze nie będzie mógł zalogować się przy użyciu nazwy UPN. Poniżej przedstawiono kroki wykrywania wystąpień tego problemu.

  1. Otwórz sesję programu PowerShell jako administrator, a następnie zainstaluj moduł AzureADPreview przy użyciu polecenia cmdlet Install-Module :

    Install-Module Microsoft.Graph.Beta

    Jeśli zostanie wyświetlony monit, wybierz pozycję Y , aby zainstalować pakiet NuGet lub zainstalować z niezaufanego repozytorium.

  2. Zaloguj się do dzierżawy usługi Microsoft Entra jako globalnego Administracja istratoraprzy użyciu polecenia cmdlet Połączenie-AzureAD:

    Connect-MgGraph -Scopes "User.Read.All"

  3. Uzyskaj użytkowników, których dotyczy problem.

    # Get all users
$allUsers = Get-MgUser -All

# Get list of proxy addresses from all synced users
$syncedProxyAddresses = $allUsers |
    Where-Object {$_.ImmutableId} |
    Select-Object -ExpandProperty ProxyAddresses |
    ForEach-Object {$_ -Replace "smtp:", ""}

# Get list of user principal names from all cloud-only users
$cloudOnlyUserPrincipalNames = $allUsers |
    Where-Object {!$_.ImmutableId} |
    Select-Object -ExpandProperty UserPrincipalName

# Get intersection of two lists
$duplicateValues = $syncedProxyAddresses |
    Where-Object {$cloudOnlyUserPrincipalNames -Contains $_}

  4. Aby uzyskać dane wyjściowe dla użytkowników, których dotyczy problem:

    # Output affected synced users
$allUsers |
    Where-Object {$_.ImmutableId -And ($_.ProxyAddresses | Where-Object {($duplicateValues | ForEach-Object {"smtp:$_"}) -Contains $_}).Length -GT 0} |
    Select-Object ObjectId, DisplayName, UserPrincipalName, ProxyAddresses, ImmutableId, UserType

# Output affected cloud-only users
$allUsers |
    Where-Object {!$_.ImmutableId -And $duplicateValues -Contains $_.UserPrincipalName} |
    Select-Object ObjectId, DisplayName, UserPrincipalName, ProxyAddresses, ImmutableId, UserType

  5. Aby uzyskać dane wyjściowe dla użytkowników, których dotyczy problem, do woluminu CSV:

    # Output affected users to CSV
$allUsers |
    Where-Object {
        ($_.ImmutableId -And ($_.ProxyAddresses | Where-Object {($duplicateValues | ForEach-Object {"smtp:$_"}) -Contains $_}).Length -GT 0) -Or
        (!$_.ImmutableId -And $duplicateValues -Contains $_.UserPrincipalName)
    } |
    Select-Object ObjectId, DisplayName, UserPrincipalName, @{n="ProxyAddresses"; e={$_.ProxyAddresses -Join ','}}, @{n="IsSyncedUser"; e={$_.ImmutableId.Length -GT 0}}, UserType |
    Export-Csv -Path .\AffectedUsers.csv -NoTypeInformation

Następne kroki

Aby dowiedzieć się więcej o tożsamości hybrydowej, takiej jak microsoft Entra application proxy lub Microsoft Entra Domain Services, zobacz Microsoft Entra hybrid identity for access and management of on-prem workloads (Tożsamość hybrydowa firmy Microsoft Entra w celu uzyskania dostępu do obciążeń lokalnych i zarządzania nimi).

Aby uzyskać więcej informacji na temat operacji tożsamości hybrydowej, zobacz jak działa synchronizacja skrótów haseł lub synchronizacja uwierzytelniania przekazywanego.