Logga in för att Azure Active Directory med e-post som ett alternativt inloggnings-ID (för hands version)Sign-in to Azure Active Directory using email as an alternate login ID (preview)

Anteckning

Logga in på Azure AD med e-post som ett alternativt inloggnings-ID är en offentlig förhands gransknings funktion i Azure Active Directory.Sign in to Azure AD with email as an alternate login ID is a public preview feature of Azure Active Directory. Mer information om för hands versionerna finns i kompletterande användnings villkor för Microsoft Azure för handsversionerna.For more information about previews, see Supplemental Terms of Use for Microsoft Azure Previews.

Många organisationer vill att användarna ska kunna logga in på Azure Active Directory (Azure AD) med samma autentiseringsuppgifter som den lokala katalog miljön.Many organizations want to let users sign in to Azure Active Directory (Azure AD) using the same credentials as their on-premises directory environment. Med den här metoden, som kallas hybrid autentisering, behöver användarna bara komma ihåg en uppsättning autentiseringsuppgifter.With this approach, known as hybrid authentication, users only need to remember one set of credentials.

Vissa organisationer har inte flyttats till hybrid autentisering av följande anledningar:Some organizations haven't moved to hybrid authentication for the following reasons:

  • Som standard har Azure AD-User Principal Name (UPN) angetts till samma UPN som den lokala katalogen.By default, the Azure AD user principal name (UPN) is set to the same UPN as the on-premises directory.
  • Att ändra Azure AD UPN skapar en mis-matchning mellan lokal-och Azure AD-miljöer som kan orsaka problem med vissa program och tjänster.Changing the Azure AD UPN creates a mis-match between on-prem and Azure AD environments that could cause problems with certain applications and services.
  • På grund av affärs-eller efterföljandekrav vill inte organisationen använda det lokala UPN för att logga in på Azure AD.Due to business or compliance reasons, the organization doesn't want to use the on-premises UPN to sign in to Azure AD.

För att hjälpa till med att flytta till hybrid autentisering kan du nu konfigurera Azure AD så att användarna kan logga in med ett e-postmeddelande i din verifierade domän som ett alternativt inloggnings-ID.To help with the move to hybrid authentication, you can now configure Azure AD to let users sign in with an email in your verified domain as an alternate login ID. Om contoso till exempel har ändrats till Fabrikam, i stället för att fortsätta logga in med det äldre balas@contoso.com UPN, kan du nu använda e-post som ett alternativt inloggnings-ID.For example, if Contoso rebranded to Fabrikam, rather than continuing to sign in with the legacy balas@contoso.com UPN, email as an alternate login ID can now be used. För att få åtkomst till ett program eller tjänster loggar användare in på Azure AD med sin tilldelade e-postadress, till exempel balas@fabrikam.com .To access an application or services, users would sign in to Azure AD using their assigned email, such as balas@fabrikam.com.

Den här artikeln visar hur du aktiverar och använder e-post som ett alternativt inloggnings-ID.This article shows you how to enable and use email as an alternate login ID. Den här funktionen är tillgänglig i Azure AD Free Edition och högre.This feature is available in the Azure AD Free edition and higher.

Anteckning

Den här funktionen är endast för Azure-autentiserade Azure AD-användare.This feature is for cloud-authenticated Azure AD users only.

Anteckning

Den här funktionen stöds för närvarande inte på Azure AD-anslutna Windows 10-enheter för klienter med molnbaserad autentisering.Currently, this feature is not supported on Azure AD joined Windows 10 devices for tenants with cloud authentication. Den här funktionen kan inte användas för Hybrid Azure AD-anslutna enheter.This feature is not applicable to Hybrid Azure AD joined devices.

Översikt över inloggnings metoder för Azure ADOverview of Azure AD sign-in approaches

Om du vill logga in på Azure AD anger du ett namn som unikt identifierar sitt konto.To sign in to Azure AD, users enter a name that uniquely identifies their account. Tidigare kunde du bara använda Azure AD UPN som inloggnings namn.Historically, you could only use the Azure AD UPN as the sign-in name.

Den här metoden var perfekt för organisationer där det lokala UPN: en är användarens önskade inloggnings-e-post.For organizations where the on-premises UPN is the user's preferred sign-in email, this approach was great. Dessa organisationer ställer in Azure AD UPN till exakt samma värde som det lokala UPN, och användarna får en enhetlig inloggnings upplevelse.Those organizations would set the Azure AD UPN to the exact same value as the on-premises UPN, and users would have a consistent sign-in experience.

I vissa organisationer används dock inte det lokala UPN-namnet som inloggnings namn.However, in some organizations the on-premises UPN isn't used as a sign-in name. I lokala miljöer konfigurerar du den lokala AD DS för att tillåta inloggning med ett alternativt inloggnings-ID.In the on-premises environments, you would configure the local AD DS to allow sign in with an alternate login ID. Att ange Azure AD UPN till samma värde som det lokala UPN: t är inte ett alternativ eftersom Azure AD sedan kräver att användare loggar in med det värdet.Setting the Azure AD UPN to the same value as the on-premises UPN isn't an option as Azure AD would then require users sign in with that value.

Den typiska lösningen på det här problemet var att ange Azure AD UPN till den e-postadress som användaren förväntar sig att logga in med.The typical workaround to this issue was to set the Azure AD UPN to the email address the user expects to sign in with. Den här metoden fungerar, men resulterar i olika UPN mellan lokala AD och i Azure AD, och den här konfigurationen är inte kompatibel med alla Microsoft 365 arbets belastningar.This approach works, though results in different UPNs between the on-premises AD and in Azure AD, and this configuration isn't compatible with all Microsoft 365 workloads.

En annan metod är att synkronisera Azure AD och lokala UPN: er till samma värde och sedan konfigurera Azure AD så att användarna kan logga in på Azure AD med en verifierad e-postadress.A different approach is to synchronize the Azure AD and on-premises UPNs to the same value and then configure Azure AD to allow users to sign in to Azure AD with a verified email. För att tillhandahålla den här funktionen definierar du en eller flera e-postadresser i användarens proxyAddresses -attribut i den lokala katalogen.To provide this ability, you define one or more email addresses in the user's ProxyAddresses attribute in the on-premises directory. ProxyAddresses synkroniseras sedan automatiskt till Azure AD med hjälp av Azure AD Connect.ProxyAddresses are then synchronized to Azure AD automatically using Azure AD Connect.

Begränsningar för förhandsversionPreview limitations

Logga in på Azure AD med e-post som ett alternativt inloggnings-ID finns i Azure AD Frees versionen och högre.Sign in to Azure AD with email as an alternate login ID is available in the Azure AD Free edition and higher.

I det aktuella förhands gransknings läget gäller följande begränsningar när en användare loggar in med ett icke-UPN-e-postmeddelande som ett alternativt inloggnings-ID:In the current preview state, the following limitations apply when a user signs in with a non-UPN email as an alternate login ID:

  • Användare kan se sitt UPN, även när det är inloggat med e-post som inte är UPN.Users may see their UPN, even when the signed in with their non-UPN email. Följande exempel beteende kan visas:The following example behavior may be seen:

    • Användaren uppmanas att logga in med UPN när den hänvisas till Azure AD-inloggning med login_hint=<non-UPN email> .User is prompted to sign in with UPN when directed to Azure AD sign-in with login_hint=<non-UPN email>.
    • När en användare loggar in med ett icke-UPN-e-postmeddelande och anger ett felaktigt lösen ord ändras sidan "Ange ditt lösen ord" så att UPN-filen visas.When a user signs in with a non-UPN email and enters an incorrect password, the "Enter your password" page changes to display the UPN.
    • På vissa Microsoft-webbplatser och appar, till exempel https://portal.azure.com och Microsoft Office, visas konto hanterarens kontroll normalt i det övre högra hörnet i det övre högra hörnet, och användarens UPN visas istället för e-postmeddelandet som inte är UPN används för att logga in.On some Microsoft sites and apps, such as https://portal.azure.com and Microsoft Office, the Account Manager control typically displayed in the upper right may display the user's UPN instead of the non-UPN email used to sign in.
  • Vissa flöden är för närvarande inte kompatibla med e-postmeddelandet som inte är UPN, till exempel följande:Some flows are currently not compatible with the non-UPN email, such as the following:

    • Identitets skydd matchar för närvarande inte e-postalternativa inloggnings-ID med läckta autentiseringsuppgifter för identifiering av autentiseringsuppgifter .Identity protection currently doesn't match email alternate login IDs with Leaked Credentials risk detection. Den här identifieringen av risker använder UPN för att matcha autentiseringsuppgifter som har läckts.This risk detection uses the UPN to match credentials that have been leaked. Mer information finns i Azure AD Identity Protection identifiering av risker och reparationer.For more information, see Azure AD Identity Protection risk detection and remediation.
    • B2B-inbjudningar som skickas till ett alternativt inloggnings-ID, stöds inte fullt ut.B2B invites sent to an alternate login ID email aren't fully supported. När du har accepterat en inbjudan som skickats till ett e-postmeddelande som ett alternativt inloggnings-ID, kan du logga in med det alternativa e-postmeddelandet kanske inte fungerar för användaren på den klient organisationAfter accepting an invite sent to an email as an alternate login ID, sign in with the alternate email may not work for the user on the tenanted endpoint.

Synkronisera inloggnings-e-postadresser till Azure ADSynchronize sign-in email addresses to Azure AD

Traditionell Active Directory Domain Services-autentisering (AD DS) eller Active Directory Federation Services (AD FS) (AD FS) sker direkt i nätverket och hanteras av din AD DS-infrastruktur.Traditional Active Directory Domain Services (AD DS) or Active Directory Federation Services (AD FS) authentication happens directly on your network and is handled by your AD DS infrastructure. Med hybrid autentisering kan användarna i stället logga in direkt till Azure AD.With hybrid authentication, users can instead sign in directly to Azure AD.

För att stödja den här metoden för Hybrid autentisering, synkroniserar du din lokala AD DS-miljö till Azure AD med hjälp av Azure AD Connect och konfigurerar den för att använda PHS (Password hash Sync) eller Pass-Through autentisering (PTA).To support this hybrid authentication approach, you synchronize your on-premises AD DS environment to Azure AD using Azure AD Connect and configure it to use Password Hash Sync (PHS) or Pass-Through Authentication (PTA).

I båda konfigurations alternativen skickar användaren sitt användar namn och lösen ord till Azure AD, som validerar autentiseringsuppgifterna och utfärdar en biljett.In both configuration options, the user submits their username and password to Azure AD, which validates the credentials and issues a ticket. När användarna loggar in på Azure AD tar det bort behovet av att din organisation ska vara värd för och hantera en AD FS-infrastruktur.When users sign in to Azure AD, it removes the need for your organization to host and manage an AD FS infrastructure.

Diagram över Azure AD hybrid identitet med hash-synkronisering av lösen ord

Diagram över Azure AD hybrid identitet med direktautentisering

Ett av användarattribut som synkroniseras automatiskt av Azure AD Connect är proxyAddresses.One of the user attributes that's automatically synchronized by Azure AD Connect is ProxyAddresses. Om användarna har en e-postadress som definierats i AD DS-lokal AD DS som en del av proxyAddresses -attributet, synkroniseras den automatiskt till Azure AD.If users have an email address defined in the on-prem AD DS environment as part of the ProxyAddresses attribute, it's automatically synchronized to Azure AD. Den här e-postadressen kan sedan användas direkt i inloggnings processen för Azure AD som ett alternativt inloggnings-ID.This email address can then be used directly in the Azure AD sign-in process as an alternate login ID.

Viktigt

Endast e-postmeddelanden i verifierade domäner för klient organisationen synkroniseras med Azure AD.Only emails in verified domains for the tenant are synchronized to Azure AD. Varje Azure AD-klient har en eller flera verifierade domäner som du har beprövat ägarskap för och som är unikt kopplade till klient organisationen.Each Azure AD tenant has one or more verified domains, for which you have proven ownership, and are uniquely bound to you tenant.

Mer information finns i lägga till och verifiera ett anpassat domän namn i Azure AD.For more information, see Add and verify a custom domain name in Azure AD.

Mer information finns i Välj rätt autentiseringsmetod för din Azure AD hybrid Identity-lösning.For more information, see Choose the right authentication method for your Azure AD hybrid identity solution.

Aktivera användar inloggning med en e-postadressEnable user sign-in with an email address

När användare med attributet proxyAddresses som används synkroniseras till Azure AD med hjälp av Azure AD Connect, måste du aktivera funktionen för användare för att logga in med e-post som ett alternativt inloggnings-ID för din klient.Once users with the ProxyAddresses attribute applied are synchronized to Azure AD using Azure AD Connect, you need to enable the feature for users to sign in with email as an alternate login ID for your tenant. Den här funktionen visar att Azure AD-inloggnings servrarna inte bara kontrollerar inloggnings namnet mot UPN-värden, utan även mot proxyAddresses -värden för e-postadressen.This feature tells the Azure AD login servers to not only check the sign-in name against UPN values, but also against ProxyAddresses values for the email address.

Under för hands versionen kan du för närvarande endast aktivera inloggning med e-post som en alternativ inloggnings-ID-funktion med hjälp av PowerShell.During preview, you can currently only enable the sign-in with email as an alternate login ID feature using PowerShell. Du måste ha klient administratörs behörighet för att utföra följande steg:You need tenant administrator permissions to complete the following steps:

  1. Öppna en PowerShell-session som administratör och installera sedan AzureADPreview -modulen med cmdleten install-module :Open an PowerShell session as an administrator, then install the AzureADPreview module using the Install-Module cmdlet:

    Install-Module AzureADPreview
    

    Om du uppmanas att göra det väljer du Y för att installera NuGet eller installera från en obetrodd lagrings plats.If prompted, select Y to install NuGet or to install from an untrusted repository.

  2. Logga in på din Azure AD-klient som innehavaradministratör med cmdleten Connect-AzureAD :Sign in to your Azure AD tenant as a tenant administrator using the Connect-AzureAD cmdlet:

    Connect-AzureAD
    

    Kommandot returnerar information om ditt konto, din miljö och klient-ID.The command returns information about your account, environment, and tenant ID.

  3. Kontrol lera om HomeRealmDiscoveryPolicy -principen redan finns i din klient med hjälp av cmdleten Get-AzureADPolicy på följande sätt:Check if the HomeRealmDiscoveryPolicy policy already exists in your tenant using the Get-AzureADPolicy cmdlet as follows:

    Get-AzureADPolicy | Where-Object Type -eq "HomeRealmDiscoveryPolicy" | Format-List *
    
  4. Om det inte finns någon princip som är konfigurerad för tillfället returnerar kommandot ingenting.If there's no policy currently configured, the command returns nothing. Om en princip returneras hoppar du över det här steget och går vidare till nästa steg för att uppdatera en befintlig princip.If a policy is returned, skip this step and move on to the next step to update an existing policy.

    Om du vill lägga till HomeRealmDiscoveryPolicy -principen till klienten använder du cmdleten New-AzureADPolicy och anger attributet AlternateIdLogin till "Enabled": true , vilket visas i följande exempel:To add the HomeRealmDiscoveryPolicy policy to the tenant, use the New-AzureADPolicy cmdlet and set the AlternateIdLogin attribute to "Enabled": true as shown in the following example:

    $AzureADPolicyDefinition = @(
      @{
         "HomeRealmDiscoveryPolicy" = @{
            "AlternateIdLogin" = @{
               "Enabled" = $true
            }
         }
      } | ConvertTo-JSON -Compress
    )
    $AzureADPolicyParameters = @{
      Definition            = $AzureADPolicyDefinition
      DisplayName           = "BasicAutoAccelerationPolicy"
      IsOrganizationDefault = $true
      Type                  = "HomeRealmDiscoveryPolicy"
    }
    New-AzureADPolicy @AzureADPolicyParameters
    

    När principen har skapats returnerar kommandot princip-ID: t, som visas i följande exempel på utdata:When the policy has been successfully created, the command returns the policy ID, as shown in the following example output:

    Id                                   DisplayName                 Type                     IsOrganizationDefault
    --                                   -----------                 ----                     ---------------------
    5de3afbe-4b7a-4b33-86b0-7bbe308db7f7 BasicAutoAccelerationPolicy HomeRealmDiscoveryPolicy True
    
  5. Om det redan finns en konfigurerad princip kontrollerar du om attributet AlternateIdLogin   har Aktiver ATS, som du ser i följande exempel princip utdata:If there's already a configured policy, check if the AlternateIdLogin attribute is enabled, as shown in the following example policy output:

    Id : 5de3afbe-4b7a-4b33-86b0-7bbe308db7f7
    OdataType :
    AlternativeIdentifier :
    Definition : {{"HomeRealmDiscoveryPolicy" :{"AlternateIdLogin":{"Enabled": true}}}}
    DisplayName : BasicAutoAccelerationPolicy
    IsOrganizationDefault : True
    KeyCredentials : {}
    Type : HomeRealmDiscoveryPolicy
    

    Om principen finns men attributet AlternateIdLogin som inte finns eller är aktiverat, eller om det finns andra attribut på den princip som du vill behålla, uppdaterar du den befintliga principen med cmdleten set-AzureADPolicy .If the policy exists but the AlternateIdLogin attribute that isn't present or enabled, or if other attributes exist on the policy you wish to preserve, update the existing policy using the Set-AzureADPolicy cmdlet.

    Viktigt

    När du uppdaterar principen kontrollerar du att du inkluderar alla gamla inställningar och det nya AlternateIdLogin -attributet.When you update the policy, make sure you include any old settings and the new AlternateIdLogin attribute.

    I följande exempel lägger till attributet AlternateIdLogin och bevarar det AllowCloudPasswordValidation -attribut som redan har angetts:The following example adds the AlternateIdLogin attribute and preserves the AllowCloudPasswordValidation attribute that may have already been set:

    $AzureADPolicyDefinition = @(
      @{
         "HomeRealmDiscoveryPolicy" = @{
            "AllowCloudPasswordValidation" = $true
            "AlternateIdLogin" = @{
               "Enabled" = $true
            }
         }
      } | ConvertTo-JSON -Compress
    )
    $AzureADPolicyParameters = @{
      ID                    = "b581c39c-8fe3-4bb5-b53d-ea3de05abb4b"
      Definition            = $AzureADPolicyDefinition
      DisplayName           = "BasicAutoAccelerationPolicy"
      IsOrganizationDefault = $true
      Type                  = "HomeRealmDiscoveryPolicy"
    }
    
    Set-AzureADPolicy @AzureADPolicyParameters
    

    Bekräfta att den uppdaterade principen visar ändringarna och att attributet AlternateIdLogin nu är aktiverat:Confirm that the updated policy shows your changes and that the AlternateIdLogin attribute is now enabled:

    Get-AzureADPolicy | Where-Object Type -eq "HomeRealmDiscoveryPolicy" | Format-List *
    

När principen har tillämpats kan det ta upp till en timme att sprida och användare kan logga in med sina alternativa inloggnings-ID.With the policy applied, it can take up to an hour to propagate and for users to be able to sign in using their alternate login ID.

Testa användar inloggning med e-postTest user sign-in with email

Om du vill testa att användarna kan logga in med e-post kan du bläddra till https://myprofile.microsoft.com och logga in med ett användar konto baserat på deras e-postadress, till exempel balas@fabrikam.com , inte deras UPN, till exempel balas@contoso.com .To test that users can sign in with email, browse to https://myprofile.microsoft.com and sign in with a user account based on their email address, such as balas@fabrikam.com, not their UPN, such as balas@contoso.com. Inloggnings upplevelsen bör se ut och kännas likadan som med en UPN-baserad inloggnings händelse.The sign-in experience should look and feel the same as with a UPN-based sign-in event.

Aktivera mellanlagrad distribution för att testa användar inloggning med en e-postadressEnable staged rollout to test user sign-in with an email address

Med mellanlagrad distribution kan klient organisations administratörer aktivera funktioner för vissa grupper.Staged rollout allows tenant administrators to enable features for specific groups. Det rekommenderas att innehavaradministratörer använder mellanlagrad distribution för att testa användar inloggning med en e-postadress.It is recommended that tenant administrators use staged rollout to test user sign-in with an email address. När administratörer är redo att distribuera den här funktionen till hela klienten bör de använda en princip för identifiering av start sfär.When administrators are ready to deploy this feature to their entire tenant, they should use a Home Realm Discovery policy.

Du måste ha klient administratörs behörighet för att utföra följande steg:You need tenant administrator permissions to complete the following steps:

  1. Öppna en PowerShell-session som administratör och installera sedan AzureADPreview -modulen med cmdleten install-module :Open a PowerShell session as an administrator, then install the AzureADPreview module using the Install-Module cmdlet:

    Install-Module AzureADPreview
    

    Om du uppmanas att göra det väljer du Y för att installera NuGet eller installera från en obetrodd lagrings plats.If prompted, select Y to install NuGet or to install from an untrusted repository.

  2. Logga in på din Azure AD-klient som innehavaradministratör med cmdleten Connect-AzureAD :Sign in to your Azure AD tenant as a tenant administrator using the Connect-AzureAD cmdlet:

    Connect-AzureAD
    

    Kommandot returnerar information om ditt konto, din miljö och klient-ID.The command returns information about your account, environment, and tenant ID.

  3. Visa en lista över alla befintliga stegvisa distributions principer med följande cmdlet:List all existing staged rollout policies using the following cmdlet:

    Get-AzureADMSFeatureRolloutPolicy
    
  4. Om det inte finns några befintliga stegvisa distributions principer för den här funktionen skapar du en ny stegvis distributions princip och noterar princip-ID:If there are no existing staged rollout policies for this feature, create a new staged rollout policy and take note of the policy ID:

    $AzureADMSFeatureRolloutPolicy = @{
       Feature    = "EmailAsAlternateId"
       DisplayName = "EmailAsAlternateId Rollout Policy"
       IsEnabled   = $true
    }
    New-AzureADMSFeatureRolloutPolicy @AzureADMSFeatureRolloutPolicy
    
  5. Hitta directoryObject-ID: t för gruppen som ska läggas till i den stegvisa distributions principen.Find the directoryObject ID for the group to be added to the staged rollout policy. Observera värdet som returneras för parametern ID , eftersom det kommer att användas i nästa steg.Note the value returned for the Id parameter, because it will be used in the next step.

    Get-AzureADMSGroup -SearchString "Name of group to be added to the staged rollout policy"
    
  6. Lägg till gruppen i principen för stegvis distribution enligt följande exempel.Add the group to the staged rollout policy as shown in the following example. Ersätt värdet i parametern -ID med det värde som returnerades för princip-ID i steg 4 och Ersätt värdet i parametern -RefObjectId med det ID som anges i steg 5.Replace the value in the -Id parameter with the value returned for the policy ID in step 4 and replace the value in the -RefObjectId parameter with the Id noted in step 5. Det kan ta upp till en timme innan användarna i gruppen kan använda sina proxyservrar för att logga in.It may take up to 1 hour before users in the group can use their proxy addresses to sign-in.

    Add-AzureADMSFeatureRolloutPolicyDirectoryObject -Id "ROLLOUT_POLICY_ID&quot; -RefObjectId &quot;GROUP_OBJECT_ID"
    

För nya medlemmar som läggs till i gruppen kan det ta upp till 24 timmar innan de kan använda sina proxyadresser för att logga in.For new members added to the group, it may take up to 24 hours before they can use their proxy addresses to sign-in.

Tar bort grupperRemoving groups

Om du vill ta bort en grupp från en stegvis distributions princip kör du följande kommando:To remove a group from a staged rollout policy, run the following command:

Remove-AzureADMSFeatureRolloutPolicyDirectoryObject -Id "ROLLOUT_POLICY_ID&quot; -ObjectId &quot;GROUP_OBJECT_ID" 

Ta bort principerRemoving policies

Om du vill ta bort en princip för stegvis distribution måste du först inaktivera principen och sedan ta bort den från systemet:To remove a staged rollout policy, first disable the policy then remove it from the system:

Set-AzureADMSFeatureRolloutPolicy -Id "ROLLOUT_POLICY_ID" -IsEnabled $false 
Remove-AzureADMSFeatureRolloutPolicy -Id "ROLLOUT_POLICY_ID"

FelsökaTroubleshoot

Om användarna har problem med inloggnings händelser med hjälp av e-postadressen kan du läsa följande fel söknings steg:If users have trouble with sign-in events using their email address, review the following troubleshooting steps:

  1. Se till att användar kontot har sina e-postadresser för attributet proxyAddresses i AD DS-miljön för lokal.Make sure the user account has their email address set for the ProxyAddresses attribute in the on-prem AD DS environment.

  2. Kontrol lera att Azure AD Connect har kon figurer ATS och synkroniserar användar konton från AD DS-lokal i Azure AD.Verify that Azure AD Connect is configured and successfully synchronizes user accounts from the on-prem AD DS environment into Azure AD.

  3. Bekräfta att Azure AD HomeRealmDiscoveryPolicy -principen har attributet AlternateIdLogin inställt på "Enabled": true:Confirm that the Azure AD HomeRealmDiscoveryPolicy policy has the AlternateIdLogin attribute set to "Enabled": true:

    Get-AzureADPolicy | Where-Object Type -eq "HomeRealmDiscoveryPolicy" | Format-List *
    

Nästa stegNext steps

Om du vill veta mer om hybrid identitet, till exempel Azure AD App proxy eller Azure AD Domain Services, se Azure AD hybrid identitet för åtkomst och hantering av lokal arbets belastningar.To learn more about hybrid identity, such as Azure AD App Proxy or Azure AD Domain Services, see Azure AD hybrid identity for access and management of on-prem workloads.

För ytterligare information om hybrid identitets åtgärder, se hur synkronisering av lösen ord för hash-synkronisering eller vidarekoppling fungerar.For more information on hybrid identity operations, see how password hash sync or pass-through authentication synchronization work.