Configuring Alternate Login ID (Настройка альтернативного идентификатора входа)

  • Статья

Что такое альтернативный идентификатор входа?

В большинстве случаев пользователи используют имя участника-пользователя (имена субъектов-пользователей) для входа в свои учетные записи. Однако в некоторых средах из-за корпоративных политик или зависимостей локальных бизнес-приложений пользователи могут использовать другую форму входа.

Примечание.

Рекомендуется сопоставить имя участника-пользователя с основным SMTP-адресом майкрософт. В этой статье рассматриваются небольшие проценты клиентов, которые не могут исправить имя участника-пользователя для сопоставления.

Например, они могут использовать свой идентификатор электронной почты для входа, и он может отличаться от имени участника-пользователя. Это особенно распространено в сценариях, когда их имя участника-участника не является маршрутизируемым. Рассмотрим пользователя Джейн Doe с именем участника-пользователя jdoe@contoso.local и адресом jdoe@contoso.comэлектронной почты. Джейн может даже не знать об имени участника-пользователя, так как она всегда использовала свой идентификатор электронной почты для входа. Использование любого другого метода входа вместо имени участника-пользователя представляет собой альтернативный идентификатор. Дополнительные сведения о создании имени участника-пользователя см. в разделе Microsoft Entra UserPrincipalName.

службы федерации Active Directory (AD FS) (AD FS) позволяет федеративные приложения с помощью AD FS войти с помощью альтернативного идентификатора. Это позволяет администраторам указать альтернативу имени участника-пользователя по умолчанию, которая будет использоваться для входа. AD FS уже поддерживает использование любого типа идентификатора пользователя, принятого службами домен Active Directory (AD DS). При настройке альтернативного идентификатора AD FS пользователи могут войти с помощью настроенного альтернативного значения идентификатора, например идентификатора электронной почты. Использование альтернативного идентификатора позволяет использовать поставщики SaaS, такие как Office 365, без изменения локальных имен участника-пользователя. Он также позволяет поддерживать бизнес-приложения службы с удостоверениями, подготовленными потребителем.

Альтернативный идентификатор в идентификаторе Microsoft Entra

Организации может потребоваться использовать альтернативный идентификатор в следующих сценариях:

  1. Локальное доменное имя не является маршрутизируемым, например contoso.local, и в результате имя участника-пользователя по умолчанию не является routable (jdoe@contoso.local). Существующее имя участника-пользователя невозможно изменить из-за зависимостей локального приложения или политик компании. Идентификатор Microsoft Entra и Office 365 требуют, чтобы все суффиксы домена, связанные с каталогом Microsoft Entra, были полностью routable в Интернете.
  2. Локальная имя участника-пользователя не совпадает с адресом электронной почты пользователя и для входа в Office 365, пользователи могут использовать адрес электронной почты и имя участника-пользователя из-за ограничений организации. В приведенных выше упоминание сценариях альтернативный идентификатор с AD FS позволяет пользователям входить в идентификатор Microsoft Entra, не изменяя локальные имена участника-пользователя.

Настройка альтернативного идентификатора входа

Использование Microsoft Entra Подключение Мы рекомендуем использовать Microsoft Entra Подключение для настройки альтернативного идентификатора входа в среду.

  • Сведения о новой конфигурации Microsoft Entra Подключение см. в разделе Подключение идентификатору Microsoft Entra ID для получения подробных инструкций по настройке альтернативного идентификатора и фермы AD FS.
  • Сведения о существующих установках Microsoft Entra Подключение см. в разделе "Изменение метода входа пользователя" для инструкций по изменению метода входа в AD FS

Когда microsoft Entra Подключение предоставляет сведения о среде AD FS, она автоматически проверка для присутствия правильных КБ в AD FS и настраивает AD FS для альтернативного идентификатора, включая все необходимые правила утверждений для доверия федерации Microsoft Entra. Для настройки альтернативного идентификатора не требуется дополнительного шага.

Примечание.

Корпорация Майкрософт рекомендует использовать microsoft Entra Подключение для настройки альтернативного идентификатора входа.

Настройка альтернативного идентификатора вручную

Чтобы настроить альтернативный идентификатор входа, необходимо выполнить следующие задачи:

Настройка доверия поставщика утверждений AD FS для включения альтернативного идентификатора входа

  1. Если у вас есть Windows Server 2012 R2, убедитесь, что на всех серверах AD FS установлен КБ 2919355. Его можно получить с помощью служб Обновл. Windows или скачать его напрямую.

  2. Обновите конфигурацию AD FS, выполнив следующий командлет PowerShell на любом из серверов федерации в ферме (если у вас есть ферма WID, необходимо выполнить эту команду на основном сервере AD FS в ферме):

Set-AdfsClaimsProviderTrust -TargetIdentifier "AD AUTHORITY" -AlternateLoginID <attribute> -LookupForests <forest domain>

AlternateLoginID — это имя LDAP атрибута, который вы хотите использовать для входа.

LookupForests — это список DNS леса, к которому принадлежат ваши пользователи.

Чтобы включить функцию альтернативного идентификатора входа, необходимо настроить параметры -AlternateLoginID и -LookupForests с недопустимым значением.

В следующем примере вы включаете альтернативные функции идентификатора входа, чтобы пользователи с учетными записями в contoso.com и лесах fabrikam.com могли входить в приложения с поддержкой AD FS с помощью атрибута mail.

Set-AdfsClaimsProviderTrust -TargetIdentifier "AD AUTHORITY" -AlternateLoginID mail -LookupForests contoso.com,fabrikam.com
  1. Чтобы отключить эту функцию, задайте для обоих параметров значение NULL.
Set-AdfsClaimsProviderTrust -TargetIdentifier "AD AUTHORITY" -AlternateLoginID $NULL -LookupForests $NULL

Гибридная современная проверка подлинности с альтернативным идентификатором

Внимание

Ниже приведено тестирование только для поставщиков удостоверений AD FS, а не сторонних поставщиков удостоверений.

Exchange и Skype для бизнеса

Если вы используете альтернативный идентификатор входа в Exchange и Skype для бизнеса, взаимодействие с пользователем зависит от того, используется ли HMA.

Примечание.

Для лучшего взаимодействия с конечным пользователем корпорация Майкрософт рекомендует использовать гибридную современную проверку подлинности.

или дополнительные сведения см. в разделе " Общие сведения о гибридной современной проверке подлинности"

Предварительные требования для Exchange и Skype для бизнеса

Ниже приведены предварительные требования для достижения единого входа с альтернативным идентификатором.

  • Exchange Online должен включать современную проверку подлинности.
  • Skype для бизнеса (SFB) Online должен включать современную проверку подлинности.
  • В локальной среде Exchange должна быть включена современная проверка подлинности. Exchange 2013 CU19 или Exchange 2016 CU18 и более поздней версии требуется на всех серверах Exchange. В среде нет Exchange 2010.
  • Skype для бизнеса локальной среде должна быть включена современная проверка подлинности.
  • Необходимо использовать клиенты Exchange и Skype с поддержкой современной проверки подлинности. Все серверы должны работать под управлением SFB Server 2015 CU5.
  • Skype для бизнеса клиенты с поддержкой современной проверки подлинности
    • iOS, Android, Windows Телефон
    • SFB 2016 (MA имеет значение ON по умолчанию, но убедитесь, что он не отключен.)
    • SFB 2013 (MA — OFF по умолчанию, поэтому убедитесь, что MA включен.)
    • Рабочий стол SFB Mac
  • Клиенты Exchange, которые поддерживают современную проверку подлинности и поддерживают regkeys AltID
    • Только Office Pro Plus 2016

Поддерживаемая версия Office

Настройка каталога для единого входа с альтернативным идентификатором

Использование альтернативного идентификатора может вызвать дополнительные запросы на проверку подлинности, если эти дополнительные конфигурации не завершены. См. статью о возможном влиянии на взаимодействие с пользователем с альтернативным идентификатором.

Благодаря следующей дополнительной конфигурации взаимодействие с пользователем значительно улучшается, и вы можете достичь почти нулевого запроса проверки подлинности для альтернативных пользователей идентификаторов в вашей организации.

Шаг 1. Обновление до требуемой версии Office

Office версии 1712 (сборка no 8827.2148) и выше обновила логику проверки подлинности для обработки сценария альтернативного идентификатора. Чтобы использовать новую логику, клиентские компьютеры должны быть обновлены до Office версии 1712 (сборка no 8827.2148) и выше.

Шаг 2. Обновление до требуемой версии Windows

Windows версии 1709 и выше обновили логику проверки подлинности для обработки сценария альтернативного идентификатора. Чтобы использовать новую логику, клиентские компьютеры должны быть обновлены до Windows версии 1709 и выше.

Шаг 3. Настройка реестра для затронутых пользователей с помощью групповой политики

Приложения office полагаются на информацию, отправленную администратором каталога, чтобы определить среду альтернативного идентификатора. Следующие разделы реестра должны быть настроены, чтобы помочь приложениям Office пройти проверку подлинности пользователя с помощью альтернативного идентификатора без отображения дополнительных запросов.

Regkey для добавления Имя, тип и значение данных regkey Windows 7/8 Windows 10 Description
HKEY_CURRENT_USER\Software\Microsoft\AuthN DomainHint
REG_SZ contoso.com
 Обязательное поле Обязательное поле Значение этого regkey — это проверенное имя личного домена в клиенте организации. Например, contoso corp может предоставить значение Contoso.com в этом regkey, если Contoso.com является одним из проверенных имен личного домена в Contoso.onmicrosoft.com клиента.
HKEY_CURRENT_USER\Software\Microsoft\Office\16.0\Common\Identity EnableAlternateIdSupport
REG_DWORD
1		 Требуется для Outlook 2016 профессиональный плюс Требуется для Outlook 2016 профессиональный плюс Значение этого regkey может иметь значение 1/0, чтобы указать приложению Outlook, следует ли использовать улучшенную логику проверки подлинности альтернативного идентификатора.
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Параметры\ZoneMap\Domains\contoso.com\sts *

REG_DWORD 1		 Обязательное поле Обязательное поле Этот regkey можно использовать для установки stS в качестве доверенной зоны в параметрах Интернета. Стандартное развертывание AD FS рекомендует добавить пространство имен AD FS в зону локальной интрасети для Интернета Обозреватель.

Новый поток проверки подлинности после дополнительной настройки

Authentication flow

  1. a. Пользователь подготовлен в идентификаторе Microsoft Entra с помощью альтернативного идентификатора
    b: администратор каталога отправляет необходимые параметры regkey на затронутые клиентские компьютеры.
  2. Пользователь проходит проверку подлинности на локальном компьютере и открывает приложение office
  3. Приложение Office ликация принимает учетные данные локального сеанса
  4. Приложение Office ликация проходит проверку подлинности в идентификаторе Microsoft Entra с помощью указания домена, отправленного администратором и локальными учетными данными
  5. Идентификатор Microsoft Entra успешно проходит проверку подлинности пользователя путем направления на правильную область федерации и выдачу маркера

Приложения и взаимодействие с пользователем после дополнительной настройки

Клиенты, отличные от Exchange и Skype для бизнеса

Клиент Условия поддержки Замечания
Microsoft Teams Поддерживается
  • Microsoft Teams поддерживает AD FS (SAML-P, WS-Fed, WS-Trust и OAuth) и современную проверку подлинности.
  • Основные функции Microsoft Teams, такие как каналы, чаты и файлы, работают с альтернативным идентификатором входа.
  • 1-е и 3-е сторонние приложения должны быть отдельно расследованы клиентом. Это связано с тем, что каждое приложение имеет собственные протоколы проверки подлинности поддержки.
    		•
    OneDrive for Business Поддерживается — рекомендуемый раздел реестра на стороне клиента При настройке альтернативного идентификатора вы увидите, что локальная имя участника-пользователя предварительно заполнена в поле проверки. Это необходимо изменить на альтернативное удостоверение, которое используется. Мы рекомендуем использовать раздел реестра на стороне клиента, указанный в этой статье: Office 2013 и Lync 2013 периодически запрашивают учетные данные в SharePoint Online, OneDrive и Lync Online.
    мобильный клиент OneDrive для бизнеса Поддерживается
    Страница активации Office 365 профессиональный плюс Поддерживается — рекомендуемый раздел реестра на стороне клиента При настройке альтернативного идентификатора вы увидите, что локальная имя участника-пользователя предварительно заполнена в поле проверки. Это необходимо изменить на альтернативное удостоверение, которое используется. Мы рекомендуем использовать раздел реестра на стороне клиента, указанный в этой статье: Office 2013 и Lync 2013 периодически запрашивают учетные данные в SharePoint Online, OneDrive и Lync Online.

    Клиенты Exchange и Skype для бизнеса

    Клиент Заявление о поддержке — с HMA Заявление о поддержке — без HMA
    Outlook Поддерживаемые, дополнительные запросы не поддерживаются Поддерживается современной проверкой подлинности для Exchange Online: поддерживается



    с обычной проверкой подлинности     для Exchange Online: поддерживается со следующими оговорками:
  • Компьютер, присоединенный к домену, должен быть подключен к корпоративной сети.
  • Можно использовать только альтернативный идентификатор в средах, которые не разрешают внешний доступ пользователям почтовых ящиков. Это означает, что пользователи могут проходить проверку подлинности только в почтовом ящике, если они подключены и присоединены к корпоративной сети, vpn или подключены через компьютеры Direct Access, но при настройке профиля Outlook вы получите несколько дополнительных запросов.
    		•
    Гибридные общедоступные папки Поддерживается без дополнительных запросов. С современной проверкой подлинности для Exchange Online: поддерживается с регулярной проверкой подлинности для Exchange Online: не поддерживается



  • Гибридные общедоступные папки не могут расширяться, если используются альтернативные идентификаторы и поэтому не следует использовать сегодня с обычными методами проверки подлинности.
    		•
    Делегирование между локальными сетями См. раздел "Настройка Exchange для поддержки делегированных разрешений почтового ящика в гибридном развертывании" См. раздел "Настройка Exchange для поддержки делегированных разрешений почтового ящика в гибридном развертывании"
    Архивный доступ к почтовому ящику (локальный почтовый ящик — архив в облаке) Поддерживаемые, дополнительные запросы не поддерживаются Поддерживается. Пользователи получают дополнительный запрос учетных данных при доступе к архиву, при появлении запроса им необходимо указать альтернативный идентификатор.
    Outlook Web Access Поддерживается Поддерживается
    Мобильные приложения Outlook для Android, IOS и Windows Телефон Поддерживается Поддерживается
    Skype для бизнеса/ Lync Поддерживается без дополнительных запросов Поддерживается (за исключением отмеченных), но может возникнуть путаница с пользователем.

    На мобильных клиентах альтернативный идентификатор поддерживается только в том случае, если SIP-адрес = адрес электронной почты = альтернативный идентификатор.

    Пользователям может потребоваться дважды войти в классический клиент Skype для бизнеса, сначала использовать локальную имя участника-пользователя, а затем использовать альтернативный идентификатор. (Обратите внимание, что "Адрес входа" на самом деле является SIP-адресом, который может не совпадать с именем пользователя, хотя и часто). При первом появлении запроса на имя пользователя пользователь должен ввести имя участника-пользователя, даже если он неправильно заполнен альтернативным идентификатором или SIP-адресом. После того, как пользователь щелкает вход с помощью имени участника-пользователя, появится запрос имени пользователя, на этот раз предварительно заполненный именем участника-пользователя. На этот раз пользователь должен заменить его альтернативным идентификатором и нажать кнопку "Войти", чтобы завершить процесс входа. На мобильных клиентах пользователи должны ввести локальный идентификатор пользователя на расширенной странице, используя формат стиля SAM (домен\имя пользователя), а не формат имени участника-пользователя.

    После успешного входа в систему, если Skype для бизнеса или Lync говорит, что "Exchange нуждается в учетных данных", необходимо указать учетные данные, допустимые для расположения почтового ящика. Если почтовый ящик находится в облаке, необходимо указать альтернативный идентификатор. Если почтовый ящик находится в локальной среде, необходимо указать локальную имя участника-пользователя.

    Дополнительные сведения и рекомендации

    • Идентификатор Microsoft Entra предлагает различные функции, связанные с альтернативным идентификатором входа.

    • Функция альтернативного идентификатора входа, описанная в этой статье, доступна длясред инфраструктуры инфраструктуры федеративных 1 удостоверений. Он не поддерживается в следующих сценариях:

    • При включении функция альтернативного идентификатора входа доступна только для проверки подлинности имени пользователя и пароля во всех протоколах проверки подлинности имени пользователя и пароля, поддерживаемых AD FS (SAML-P, WS-Fed, WS-Trust и OAuth).

    • При выполнении встроенной проверки подлинности Windows (WIA) (например, когда пользователи пытаются получить доступ к корпоративному приложению на присоединенном к домену компьютере из интрасети и администратор AD FS настроил политику проверки подлинности для использования WIA для интрасети), имя участника-пользователя используется для проверки подлинности. Если вы настроили какие-либо правила утверждений для проверяющих сторон для функции альтернативного идентификатора входа, убедитесь, что эти правила по-прежнему действительны в случае WIA.

    • Если этот параметр включен, для каждого леса учетных записей пользователей, поддерживаемых AD FS, требуется по крайней мере один глобальный сервер каталога. Сбой доступа к серверу глобального каталога в лесу учетной записи пользователя приводит к тому, что AD FS возвращается к использованию имени участника-пользователя. По умолчанию все контроллеры домена являются глобальными серверами каталога.

    • Если сервер AD FS находит несколько объектов пользователя с одним и тем же альтернативным значением идентификатора входа, указанным во всех настроенных лесах учетных записей пользователей, он завершается ошибкой входа.

    • Если включена функция альтернативного идентификатора входа, AD FS пытается выполнить проверку подлинности конечного пользователя с альтернативным идентификатором входа, а затем вернуться к использованию имени участника-пользователя, если он не может найти учетную запись, которую можно определить с помощью альтернативного идентификатора входа. Убедитесь, что между альтернативным идентификатором входа и именем участника-пользователя нет столкновений, если вы хотите по-прежнему поддерживать имя входа участника-пользователя. Например, установка атрибута почты другого участника-пользователя блокирует вход другого пользователя с помощью имени участника-пользователя.

    • Если один из лесов, настроенных администратором, отключен, AD FS продолжает искать учетную запись пользователя с альтернативным идентификатором входа в других лесах, настроенных. Если сервер AD FS находит уникальные объекты пользователей в лесах, которые он выполнил поиск, пользователь успешно регистрируется.

    • Кроме того, вы можете настроить страницу входа AD FS, чтобы предоставить конечным пользователям некоторое указание о альтернативном идентификаторе входа. Это можно сделать, добавив описание настраиваемой страницы входа (дополнительные сведения см. в разделе "Настройка страниц входа AD FS" или настройка строки "Вход с учетной записью организации" над полем имени пользователя (дополнительные сведения см. в разделе "Расширенная настройка страниц входа AD FS".

    • Новый тип утверждения, содержащий альтернативное значение идентификатора входа, — http:schemas.microsoft.com/ws/2013/11/alternateloginid

    1 Среда инфраструктуры федеративных удостоверений представляет среду с поставщиком удостоверений, например AD FS или другим сторонним поставщиком удостоверений.

    2 Среда инфраструктуры управляемых удостоверений представляет среду с идентификатором Microsoft Entra в качестве поставщика удостоверений, развернутого с помощью синхронизации хэша паролей (PHS) или сквозной проверки подлинности (PTA).

    Счетчики событий и производительности

    Добавлены следующие счетчики производительности для измерения производительности серверов AD FS при включении альтернативного идентификатора входа:

    • Альтернативные проверки подлинности идентификатора входа: количество аутентификаций, выполняемых с помощью альтернативного идентификатора входа

    • Альтернативный идентификатор входа в секунду: количество аутентификаций, выполняемых с помощью альтернативного идентификатора входа в секунду

    • Средняя задержка поиска для альтернативного идентификатора входа: средняя задержка поиска в лесах, настроенная администратором для альтернативного идентификатора входа

    Ниже приведены различные случаи ошибок и соответствующее влияние на взаимодействие с пользователем при входе в систему с событиями, зарегистрированными AD FS:

    Случаи ошибок Влияние на интерфейс входа Событие
    Не удалось получить значение SAMAccountName для объекта пользователя Сбой входа Идентификатор события 364 с сообщением об исключении MSIS8012: не удается найти samAccountName для пользователя: "{0}".
    Атрибут CanonicalName недоступен Сбой входа Идентификатор события 364 с сообщением об исключении MSIS8013: CanonicalName: '{0}' пользователя:''{1} находится в плохом формате.
    Несколько объектов пользователей находятся в одном лесу Сбой входа Идентификатор события 364 с сообщением об исключении MSIS8015: найдено несколько учетных записей пользователей с удостоверением "{0}" в лесу{1} с удостоверениями: {2}
    Несколько объектов пользователей находятся в нескольких лесах Сбой входа Идентификатор события 364 с сообщением об исключении MSIS8014: обнаружено несколько учетных записей пользователей с удостоверением "{0}" в лесах: {1}

    См. также

    Операции AD FS