Iniciar sessão no Microsoft Entra ID com um e-mail como ID de início de sessão alternativo (Pré-visualização)

  • Artigo

Nota

Iniciar sessão no Microsoft Entra ID com e-mail como um ID de início de sessão alternativo é uma funcionalidade de pré-visualização pública do Microsoft Entra ID. Para obter mais informações sobre pré-visualizações, veja Termos de Utilização Suplementares do Microsoft Azure para Pré-visualizações do Microsoft Azure.

Muitas organizações querem permitir que os usuários entrem no Microsoft Entra ID usando as mesmas credenciais do ambiente de diretório local. Com essa abordagem, conhecida como autenticação híbrida, os usuários só precisam se lembrar de um conjunto de credenciais.

Algumas organizações não mudaram para a autenticação híbrida pelos seguintes motivos:

  • Por padrão, o UPN (Nome Principal do usuário) do Microsoft Entra é definido com o mesmo valor que o UPN local.
  • Alterar o UPN do Microsoft Entra cria uma incompatibilidade entre ambientes locais e Microsoft Entra que pode causar problemas com determinados aplicativos e serviços.
  • Devido a motivos comerciais ou de conformidade, a organização não deseja usar o UPN local para entrar no Microsoft Entra ID.

Para avançar para a autenticação híbrida, pode configurar o Microsoft Entra ID para permitir que os utilizadores iniciem sessão com os respetivos e-mails como um ID de início de sessão alternativo. Por exemplo, se a Contoso mudou a marca para Fabrikam, em vez de continuar a entrar com o UPN herdadoana@contoso.com, o email como um ID de logon alternativo poderá ser usado. Para acessar um aplicativo ou serviço, os usuários entrariam no Microsoft Entra ID usando seu email não UPN, como ana@fabrikam.com.

Diagram of email as an alternate login ID.

Este artigo mostra como ativar e usar o e-mail como um ID de login alternativo.

Antes de começar

Aqui está o que você precisa saber sobre e-mail como um ID de login alternativo:

  • O recurso está disponível na edição Microsoft Entra ID Free e superior.
  • O recurso permite o login com ProxyAddresses, além do UPN, para usuários do Microsoft Entra autenticados na nuvem. Saiba mais sobre como isso se aplica à colaboração entre empresas (B2B) do Microsoft Entra na seção B2B .
  • Quando um usuário entra com um e-mail não UPN, as unique_name declarações e (se houver) no token de ID retornarão o e-mail preferred_username não UPN.
    • Se o e-mail não-UPN em uso se tornar obsoleto (não pertence mais ao usuário), essas declarações retornarão o UPN em vez disso.
  • A funcionalidade suporta a autenticação gerida com a Sincronização do Hash de Palavras-passe (PHS) ou a Autenticação Pass-through (PTA).
  • Há duas opções para configurar o recurso:
    • Política de HRD (Home Realm Discovery) - Use esta opção para habilitar o recurso para todo o locatário. É necessária a função de Administrador Global, Administrador de Aplicativos ou Administrador de Aplicativos na Nuvem.
    • Política de distribuição em etapas - Use esta opção para testar o recurso com grupos específicos do Microsoft Entra. Privilégios de Administrador Global necessários. Quando você adiciona pela primeira vez um grupo de segurança para distribuição em estágios, está limitado a 200 usuários para evitar um tempo limite de UX. Depois de adicionar o grupo, você pode adicionar mais usuários diretamente a ele, conforme necessário.

Limitações de pré-visualização

No estado de visualização atual, as seguintes limitações se aplicam ao e-mail como um ID de login alternativo:

  • Experiência do utilizador - Os utilizadores podem ver o seu UPN, mesmo quando iniciaram sessão com o seu e-mail não UPN. O seguinte exemplo de comportamento pode ser visto:

    • O usuário é solicitado a entrar com UPN quando direcionado para o login do Microsoft Entra com login_hint=<non-UPN email>.
    • Quando um usuário entra com um e-mail não UPN e insere uma senha incorreta, a página "Digite sua senha" muda para exibir o UPN.
    • Em alguns sites e aplicativos da Microsoft, como o Microsoft Office, o controle do Gerenciador de Contas normalmente exibido no canto superior direito pode exibir o UPN do usuário em vez do email não UPN usado para entrar.

  • Fluxos não suportados - Alguns fluxos atualmente não são compatíveis com e-mails não UPN, como os seguintes:

    • A Proteção de Identidade não corresponde a e-mails não UPN com a deteção de risco de Credenciais Vazadas. Essa deteção de risco usa o UPN para corresponder às credenciais que foram vazadas. Para obter mais informações, consulte Como investigar o risco.
    • Quando um usuário está conectado com um e-mail não UPN, ele não pode alterar sua senha. A redefinição de senha de autoatendimento (SSPR) do Microsoft Entra deve funcionar conforme o esperado. Durante o SSPR, o usuário pode ver seu UPN se verificar sua identidade usando um e-mail não-UPN.

  • Cenários sem suporte - Os seguintes cenários não são suportados. Inicie sessão com e-mail não UPN para:

  • Aplicativos sem suporte - Alguns aplicativos de terceiros podem não funcionar como esperado se assumirem que as unique_name declarações ou são imutáveis ou preferred_username sempre corresponderão a um atributo de usuário específico, como UPN.

  • Registro em log - As alterações feitas na configuração do recurso na política de DRH não são mostradas explicitamente nos logs de auditoria.

  • Política de distribuição em etapas - As limitações a seguir se aplicam somente quando o recurso é habilitado usando a política de distribuição em estágios:

    • O recurso não funciona como esperado para usuários incluídos em outras políticas de distribuição em estágios.
    • A política de distribuição em estágios oferece suporte a um máximo de 10 grupos por recurso.
    • A política de distribuição em etapas não oferece suporte a grupos aninhados.
    • A política de distribuição em etapas não oferece suporte a grupos dinâmicos.
    • Os objetos de contato dentro do grupo impedirão que o grupo seja adicionado a uma política de distribuição em estágios.

  • Valores duplicados - Dentro de um locatário, o UPN de um usuário somente na nuvem pode ter o mesmo valor que o endereço proxy de outro usuário sincronizado a partir do diretório local. Nesse cenário, com o recurso habilitado, o usuário somente na nuvem não poderá entrar com seu UPN. Mais informações sobre esse problema na seção Solução de problemas .

Visão geral das opções de ID de login alternativo

Para entrar no Microsoft Entra ID, os usuários inserem um valor que identifica exclusivamente sua conta. Historicamente, você só podia usar o UPN do Microsoft Entra como identificador de entrada.

Para organizações em que o UPN local é o email de entrada preferido do usuário, essa abordagem foi ótima. Essas organizações definiriam o UPN do Microsoft Entra exatamente com o mesmo valor do UPN local e os usuários teriam uma experiência de entrada consistente.

ID de início de sessão alternativo para AD FS

No entanto, em algumas organizações, o UPN local não é usado como um identificador de entrada. Nos ambientes locais, você configuraria o AD DS local para permitir a entrada com uma ID de logon alternativa. Definir o UPN do Microsoft Entra com o mesmo valor do UPN local não é uma opção, pois o Microsoft Entra ID exigiria que os usuários entrassem com esse valor.

ID de login alternativo no Microsoft Entra Connect

A solução típica para esse problema foi definir o UPN do Microsoft Entra para o endereço de email com o qual o usuário espera entrar. Essa abordagem funciona, embora resulte em UPNs diferentes entre o AD local e o ID do Microsoft Entra, e essa configuração não é compatível com todas as cargas de trabalho do Microsoft 365.

E-mail como um ID de login alternativo

Uma abordagem diferente é sincronizar a ID do Microsoft Entra e UPNs locais com o mesmo valor e, em seguida, configurar a ID do Microsoft Entra para permitir que os usuários entrem na ID do Microsoft Entra com um email verificado. Para fornecer essa capacidade, defina um ou mais endereços de email no atributo ProxyAddresses do usuário no diretório local. ProxyAddresses são então sincronizados com o Microsoft Entra ID automaticamente usando o Microsoft Entra Connect.

Opção Description
ID de início de sessão alternativo para AD FS Habilite a entrada com um atributo alternativo (como Email) para usuários do AD FS.
ID de login alternativo no Microsoft Entra Connect Sincronize um atributo alternativo (como Mail) como o UPN do Microsoft Entra.
E-mail como um ID de login alternativo Habilite o login com ProxyAddresses de domínio verificado para usuários do Microsoft Entra.

Sincronizar endereços de email de entrada com o ID do Microsoft Entra

A autenticação tradicional dos Serviços de Domínio Ative Directory (AD DS) ou dos Serviços de Federação do Ative Directory (AD FS) acontece diretamente na rede e é tratada pela infraestrutura do AD DS. Com a autenticação híbrida, os usuários podem, em vez disso, entrar diretamente no Microsoft Entra ID.

Para dar suporte a essa abordagem de autenticação híbrida, sincronize seu ambiente AD DS local com a ID do Microsoft Entra usando o Microsoft Entra Connect e configure-o para usar PHS ou PTA. Para obter mais informações, consulte Escolher o método de autenticação certo para sua solução de identidade híbrida do Microsoft Entra.

Em ambas as opções de configuração, o usuário envia seu nome de usuário e senha para o Microsoft Entra ID, que valida as credenciais e emite um ticket. Quando os usuários entram na ID do Microsoft Entra, isso elimina a necessidade de sua organização hospedar e gerenciar uma infraestrutura do AD FS.

Um dos atributos de usuário que é sincronizado automaticamente pelo Microsoft Entra Connect é ProxyAddresses. Se os usuários tiverem um endereço de email definido no ambiente AD DS local como parte do atributo ProxyAddresses , ele será sincronizado automaticamente com o ID do Microsoft Entra. Esse endereço de email pode ser usado diretamente no processo de entrada do Microsoft Entra como um ID de login alternativo.

Importante

Somente os e-mails em domínios verificados para o locatário são sincronizados com o ID do Microsoft Entra. Cada locatário do Microsoft Entra tem um ou mais domínios verificados, para os quais você tem propriedade comprovada, e estão vinculados exclusivamente ao seu locatário.

Para obter mais informações, consulte Adicionar e verificar um nome de domínio personalizado no Microsoft Entra ID.

Login de usuário convidado B2B com um endereço de e-mail

Diagram of email as an alternate login ID for B 2 B guest user sign-in.

O email como ID de login alternativo aplica-se à colaboração B2B do Microsoft Entra sob um modelo "traga seus próprios identificadores de entrada". Quando o email como um ID de logon alternativo está habilitado no locatário inicial, os usuários do Microsoft Entra podem executar o login de convidado com email não UPN no ponto de extremidade do locatário do recurso. Nenhuma ação é necessária do locatário do recurso para habilitar essa funcionalidade.

Nota

Quando um ID de login alternativo é usado em um ponto de extremidade de locatário de recurso que não tem a funcionalidade habilitada, o processo de entrada funcionará perfeitamente, mas o SSO será interrompido.

Ativar o início de sessão do utilizador com um endereço de e-mail

Nota

Esta opção de configuração usa a política HRD. Para obter mais informações, consulte homeRealmDiscoveryPolicy tipo de recurso.

Depois que os usuários com o atributo ProxyAddresses aplicado forem sincronizados com o Microsoft Entra ID usando o Microsoft Entra Connect, você precisará habilitar o recurso para que os usuários entrem com email como um ID de logon alternativo para seu locatário. Esse recurso informa aos servidores de login do Microsoft Entra para não apenas verificar o identificador de entrada em relação aos valores UPN, mas também em relação aos valores ProxyAddresses para o endereço de email.

Durante a visualização, você precisa atualmente de permissões de Administrador Global para habilitar o login com e-mail como um ID de login alternativo. Você pode usar o Centro de administração do Microsoft Entra ou o Graph PowerShell para configurar o recurso.

Centro de administração do Microsoft Entra

Gorjeta

As etapas neste artigo podem variar ligeiramente com base no portal a partir do qual você começou.

  1. Entre no centro de administração do Microsoft Entra como Administrador Global.

  2. No menu de navegação no lado esquerdo da janela do Microsoft Entra, selecione Microsoft Entra Connect > Email como ID de login alternativo.

    Screenshot of email as alternate login ID option in the Microsoft Entra admin center.

  3. Clique na caixa de seleção ao lado de E-mail como um ID de login alternativo.

  4. Clique em Guardar.

    Screenshot of email as alternate login ID blade in the Microsoft Entra admin center.

Com a política aplicada, pode levar até uma hora para se propagar e para que os usuários possam entrar usando seu ID de login alternativo.

PowerShell

Nota

Esta opção de configuração usa a política HRD. Para obter mais informações, consulte homeRealmDiscoveryPolicy tipo de recurso.

Depois que os usuários com o atributo ProxyAddresses aplicado forem sincronizados com o ID do Microsoft Entra usando o Microsoft Entra Connect, você precisará habilitar o recurso para que os usuários entrem com email como um ID de logon alternativo para seu locatário. Esse recurso informa aos servidores de login do Microsoft Entra para não apenas verificar o identificador de entrada em relação aos valores UPN, mas também em relação aos valores ProxyAddresses para o endereço de email.

Você precisa de privilégios de Administrador Global para concluir as seguintes etapas:

  1. Abra uma sessão do PowerShell como administrador e instale o módulo Microsoft.Graph usando o Install-Module cmdlet:

    Install-Module Microsoft.Graph

    Para obter mais informações sobre a instalação, consulte Instalar o SDK do Microsoft Graph PowerShell.

  2. Entre no locatário do Microsoft Entra usando o Connect-MgGraph cmdlet:

    Connect-MgGraph -Scopes "Policy.ReadWrite.ApplicationConfiguration" -TenantId organizations

    O comando solicitará que você se autentique usando um navegador da Web.

  3. Verifique se já existe uma HomeRealmDiscoveryPolicy em seu locatário usando o Get-MgPolicyHomeRealmDiscoveryPolicy cmdlet da seguinte maneira:

    Get-MgPolicyHomeRealmDiscoveryPolicy

  4. Se não houver nenhuma política configurada no momento, o comando não retornará nada. Se uma política for retornada, ignore esta etapa e passe para a próxima etapa para atualizar uma política existente.

    Para adicionar o HomeRealmDiscoveryPolicy ao locatário, use o cmdlet e defina o New-MgPolicyHomeRealmDiscoveryPolicyatributo AlternateIdLogin como "Enabled": true como mostrado no exemplo a seguir:

    $AzureADPolicyDefinition = @(
  @{
     "HomeRealmDiscoveryPolicy" = @{
        "AlternateIdLogin" = @{
           "Enabled" = $true
        }
     }
  } | ConvertTo-JSON -Compress
)

$AzureADPolicyParameters = @{
  Definition            = $AzureADPolicyDefinition
  DisplayName           = "BasicAutoAccelerationPolicy"
  AdditionalProperties  = @{ IsOrganizationDefault = $true }
}

New-MgPolicyHomeRealmDiscoveryPolicy @AzureADPolicyParameters

    Quando a política tiver sido criada com êxito, o comando retornará a ID da política, conforme mostrado na saída de exemplo a seguir:

    Definition                                                           DeletedDateTime Description DisplayName                 Id            IsOrganizationDefault
----------                                                           --------------- ----------- -----------                 --            ---------------------
{{"HomeRealmDiscoveryPolicy":{"AlternateIdLogin":{"Enabled":true}}}}                             BasicAutoAccelerationPolicy HRD_POLICY_ID True

  5. Se já houver uma política configurada, verifique se o atributo AlternateIdLogin está habilitado, conforme mostrado no exemplo de saída de política a seguir:

    Definition                                                           DeletedDateTime Description DisplayName                 Id            IsOrganizationDefault
----------                                                           --------------- ----------- -----------                 --            ---------------------
{{"HomeRealmDiscoveryPolicy":{"AlternateIdLogin":{"Enabled":true}}}}                             BasicAutoAccelerationPolicy HRD_POLICY_ID True

    Se a política existir, mas o atributo AlternateIdLogin não estiver presente ou habilitado, ou se existirem outros atributos na política que você deseja preservar, atualize a política existente usando o Update-MgPolicyHomeRealmDiscoveryPolicy cmdlet.

    Importante

    Ao atualizar a política, certifique-se de incluir todas as configurações antigas e o novo atributo AlternateIdLogin .

    O exemplo a seguir adiciona o atributo AlternateIdLogin e preserva o atributo AllowCloudPasswordValidation que foi definido anteriormente:

    $AzureADPolicyDefinition = @(
  @{
     "HomeRealmDiscoveryPolicy" = @{
        "AllowCloudPasswordValidation" = $true
        "AlternateIdLogin" = @{
           "Enabled" = $true
        }
     }
  } | ConvertTo-JSON -Compress
)

$AzureADPolicyParameters = @{
  HomeRealmDiscoveryPolicyId = "HRD_POLICY_ID"
  Definition                 = $AzureADPolicyDefinition
  DisplayName                = "BasicAutoAccelerationPolicy"
  AdditionalProperties       = @{ "IsOrganizationDefault" = $true }
}

Update-MgPolicyHomeRealmDiscoveryPolicy @AzureADPolicyParameters

    Confirme se a política atualizada mostra suas alterações e se o atributo AlternateIdLogin agora está habilitado:

    Get-MgPolicyHomeRealmDiscoveryPolicy

Nota

Com a política aplicada, pode levar até uma hora para se propagar e para que os usuários possam entrar usando o e-mail como um ID de login alternativo.

Remoção de políticas

Para remover uma política de HRD, use o Remove-MgPolicyHomeRealmDiscoveryPolicy cmdlet:

Remove-MgPolicyHomeRealmDiscoveryPolicy -HomeRealmDiscoveryPolicyId "HRD_POLICY_ID"

Habilite a distribuição em estágios para testar o login do usuário com um endereço de e-mail

Nota

Essa opção de configuração usa a política de distribuição em estágios. Para obter mais informações, consulte o tipo de recurso featureRolloutPolicy.

A política de distribuição em estágios permite que os administradores de locatários habilitem recursos para grupos específicos do Microsoft Entra. É recomendável que os administradores de locatários usem a distribuição em estágios para testar a entrada do usuário com um endereço de email. Quando os administradores estiverem prontos para implantar esse recurso em todo o locatário, eles deverão usar a política de DRH.

Você precisa de permissões de Administrador Global para concluir as seguintes etapas:

  1. Abra uma sessão do PowerShell como administrador e instale o módulo Microsoft.Graph.Beta usando o cmdlet Install-Module:

    Install-Module Microsoft.Graph.Beta

    Se solicitado, selecione Y para instalar o NuGet ou instalar a partir de um repositório não confiável.

  2. Entre no locatário do Microsoft Entra usando o cmdlet Connect-MgGraph :

    Connect-MgGraph -Scopes "Directory.ReadWrite.All"

    O comando retorna informações sobre sua conta, ambiente e ID de locatário.

  3. Liste todas as políticas de distribuição em estágios existentes usando o seguinte cmdlet:

    Get-MgBetaPolicyFeatureRolloutPolicy

  4. Se não houver políticas de distribuição em estágios existentes para esse recurso, crie uma nova política de distribuição em estágios e anote a ID da política:

    $MgPolicyFeatureRolloutPolicy = @{
Feature    = "EmailAsAlternateId"
DisplayName = "EmailAsAlternateId Rollout Policy"
IsEnabled   = $true
}
New-MgBetaPolicyFeatureRolloutPolicy @MgPolicyFeatureRolloutPolicy

  5. Localize o directoryObject ID do grupo a ser adicionado à política de distribuição em estágios. Observe o valor retornado para o parâmetro Id , porque ele será usado na próxima etapa.

    Get-MgGroup -Filter "DisplayName eq 'Name of group to be added to the staged rollout policy'"

  6. Adicione o grupo à política de distribuição em estágios, conforme mostrado no exemplo a seguir. Substitua o valor no parâmetro -FeatureRolloutPolicyId pelo valor retornado para a ID da política na etapa 4 e substitua o valor no parâmetro -OdataId pela Id anotada na etapa 5. Pode levar até 1 hora até que os usuários do grupo possam entrar no Microsoft Entra ID com email como um ID de login alternativo.

    New-MgBetaDirectoryFeatureRolloutPolicyApplyToByRef `
   -FeatureRolloutPolicyId "ROLLOUT_POLICY_ID" `
   -OdataId "https://graph.microsoft.com/v1.0/directoryObjects/{GROUP_OBJECT_ID}"

Para novos membros adicionados ao grupo, pode levar até 24 horas até que eles possam entrar no Microsoft Entra ID com email como um ID de login alternativo.

Remoção de grupos

Para remover um grupo de uma política de distribuição em estágios, execute o seguinte comando:

Remove-MgBetaPolicyFeatureRolloutPolicyApplyToByRef -FeatureRolloutPolicyId "ROLLOUT_POLICY_ID" -DirectoryObjectId "GROUP_OBJECT_ID"

Remoção de políticas

Para remover uma política de distribuição em estágios, primeiro desative a política e, em seguida, remova-a do sistema:

Update-MgBetaPolicyFeatureRolloutPolicy -FeatureRolloutPolicyId "ROLLOUT_POLICY_ID" -IsEnabled:$false 
Remove-MgBetaPolicyFeatureRolloutPolicy -FeatureRolloutPolicyId "ROLLOUT_POLICY_ID"

Testar o início de sessão do utilizador com um endereço de e-mail

Para testar se os utilizadores podem iniciar sessão com e-mail, aceda a https://myprofile.microsoft.com e inicie sessão com um e-mail não UPN, como balas@fabrikam.com. A experiência de início de sessão deve ter o mesmo aspeto e sensação que iniciar sessão com a UPN.

Resolver problemas

Se os utilizadores tiverem problemas para iniciar sessão com o respetivo endereço de correio eletrónico, reveja os seguintes passos de resolução de problemas:

  1. Certifique-se de que passou pelo menos 1 hora desde que o e-mail como ID de login alternativo foi ativado. Se o usuário foi adicionado recentemente a um grupo para a política de distribuição em estágios, verifique se passaram pelo menos 24 horas desde que ele foi adicionado ao grupo.

  2. Se estiver usando a política HRD, confirme se o Microsoft Entra ID HomeRealmDiscoveryPolicy tem a propriedade de definição AlternateIdLogin definida como "Enabled": true e a propriedade IsOrganizationDefault definida como True:

    Get-MgBetaPolicyHomeRealmDiscoveryPolicy | Format-List *

    Se estiver usando a política de distribuição em estágios, confirme se o Microsoft Entra ID FeatureRolloutPolicy tem a propriedade IsEnabled definida como True:

    Get-MgBetaPolicyFeatureRolloutPolicy

  3. Verifique se a conta de usuário tem seu endereço de email definido no atributo ProxyAddresses na ID do Microsoft Entra.

Registos de início de sessão

Screenshot of Microsoft Entra sign-in logs showing email as alternate login ID activity.

Pode rever os registos de início de sessão no Microsoft Entra ID para obter mais informações. Os logins com e-mail como um ID de login alternativo serão emitidos proxyAddress no campo Tipo de identificador de entrada e o nome de usuário inserido no campo Identificador de login.

Valores conflitantes entre usuários somente na nuvem e sincronizados

Dentro de um locatário, o UPN de um usuário somente na nuvem pode assumir o mesmo valor que o endereço proxy de outro usuário sincronizado a partir do diretório local. Nesse cenário, com o recurso habilitado, o usuário somente na nuvem não poderá entrar com seu UPN. Aqui estão as etapas para detetar instâncias desse problema.

  1. Abra uma sessão do PowerShell como administrador e instale o módulo AzureADPreview usando o cmdlet Install-Module:

    Install-Module Microsoft.Graph.Beta

    Se solicitado, selecione Y para instalar o NuGet ou instalar a partir de um repositório não confiável.

  2. Entre no locatário do Microsoft Entra como Administrador Global usando o cmdlet Connect-AzureAD:

    Connect-MgGraph -Scopes "User.Read.All"

  3. Obtenha usuários afetados.

    # Get all users
$allUsers = Get-MgUser -All

# Get list of proxy addresses from all synced users
$syncedProxyAddresses = $allUsers |
    Where-Object {$_.ImmutableId} |
    Select-Object -ExpandProperty ProxyAddresses |
    ForEach-Object {$_ -Replace "smtp:", ""}

# Get list of user principal names from all cloud-only users
$cloudOnlyUserPrincipalNames = $allUsers |
    Where-Object {!$_.ImmutableId} |
    Select-Object -ExpandProperty UserPrincipalName

# Get intersection of two lists
$duplicateValues = $syncedProxyAddresses |
    Where-Object {$cloudOnlyUserPrincipalNames -Contains $_}

  4. Para saída de usuários afetados:

    # Output affected synced users
$allUsers |
    Where-Object {$_.ImmutableId -And ($_.ProxyAddresses | Where-Object {($duplicateValues | ForEach-Object {"smtp:$_"}) -Contains $_}).Length -GT 0} |
    Select-Object ObjectId, DisplayName, UserPrincipalName, ProxyAddresses, ImmutableId, UserType

# Output affected cloud-only users
$allUsers |
    Where-Object {!$_.ImmutableId -And $duplicateValues -Contains $_.UserPrincipalName} |
    Select-Object ObjectId, DisplayName, UserPrincipalName, ProxyAddresses, ImmutableId, UserType

  5. Para enviar os usuários afetados para o CSV:

    # Output affected users to CSV
$allUsers |
    Where-Object {
        ($_.ImmutableId -And ($_.ProxyAddresses | Where-Object {($duplicateValues | ForEach-Object {"smtp:$_"}) -Contains $_}).Length -GT 0) -Or
        (!$_.ImmutableId -And $duplicateValues -Contains $_.UserPrincipalName)
    } |
    Select-Object ObjectId, DisplayName, UserPrincipalName, @{n="ProxyAddresses"; e={$_.ProxyAddresses -Join ','}}, @{n="IsSyncedUser"; e={$_.ImmutableId.Length -GT 0}}, UserType |
    Export-Csv -Path .\AffectedUsers.csv -NoTypeInformation

Próximos passos

Para saber mais sobre identidade híbrida, como proxy de aplicativo Microsoft Entra ou Serviços de Domínio Microsoft Entra, consulte Identidade híbrida Microsoft Entra para acesso e gerenciamento de cargas de trabalho locais.

Para obter mais informações sobre as operações de identidade híbridas, veja como funciona a sincronização do hash de palavras-passe ou a autenticação pass-through.