Freigeben über

Anmeldung bei Microsoft Entra ID mit einer E-Mail-Adresse als alternative Anmelde-ID (Vorschau)

Hinweis

Die Anmeldung bei Microsoft Entra ID mit einer E-Mail-Adresse als alternative Anmelde-ID ist eine öffentliche Previewfunktion von Microsoft Entra ID. Weitere Informationen zu Vorschauen finden Sie unter Ergänzende Nutzungsbedingungen für Microsoft Azure Previews.

Viele Organisationen möchten es Benutzer*innen ermöglichen, sich mit denselben Anmeldeinformationen bei Microsoft Entra ID anzumelden, die sie auch für ihre lokale Verzeichnisumgebung verwenden. Bei diesem Ansatz, der als Hybridauthentifizierung bezeichnet wird, müssen sich Benutzer nur eine Kombination von Anmeldeinformationen merken.

Einige Organisationen sind aus folgenden Gründen nicht auf die Hybridauthentifizierung umgestiegen:

  • Der Microsoft Entra-UPN (User Principal Name, Benutzerprinzipalname) wird standardmäßig auf denselben Wert wie der lokale UPN festgelegt.
  • Wenn Sie den Microsoft Entra-UPN ändern, stimmen die lokale Umgebung und die Microsoft Entra-Umgebung nicht mehr überein, was zu Problemen mit bestimmten Anwendungen und Diensten führen kann.
  • Aus betrieblichen Gründen oder Compliancegründen möchte die Organisation den lokalen UPN nicht für die Anmeldung bei Microsoft Entra ID verwenden.

Zur Umstellung auf die Hybridauthentifizierung können Sie Microsoft Entra ID so konfigurieren, dass sich Benutzer*innen mit ihren E-Mail-Adressen als alternative Anmelde-ID anmelden können. Wenn Contoso beispielsweise zu Fabrikam umgebrandet wurde, anstatt sich mit dem legacy-UPN ana@contoso.com anzumelden, können E-Mails als alternative Anmelde-ID verwendet werden. Für den Zugriff auf eine Anwendung oder einen Dienst würden Benutzer*innen sich dann mit einer E-Mail-Adresse bei Microsoft Entra ID anmelden, die nicht als UPN registriert ist, z. B. ana@fabrikam.com.

Diagramm der E-Mail als alternative Anmelde-ID.

In diesem Artikel erfahren Sie, wie Sie die E-Mail-Adresse als alternative Anmelde-ID aktivieren und verwenden.

Bevor Sie beginnen

Sie müssen Folgendes über die Verwendung von E-Mail-Adressen als alternative Anmelde-IDs wissen:

  • Das Feature ist in Microsoft Entra ID Free und höher verfügbar.
  • Das Feature ermöglicht die Anmeldung mit ProxyAddresses, zusätzlich zum UPN, für cloud-authentifizierte Microsoft Entra-Benutzer. Weitere Informationen dazu, wie dies für die Zusammenarbeit von Microsoft Entra Business-to-Business (B2B) im Abschnitt B2B gilt.
  • Wenn ein Benutzer sich mit einer E-Mail-Adresse anmeldet, die nicht als UPN registriert ist, geben die Ansprüche unique_name und preferred_username (sofern vorhanden) im ID-Token den Wert der E-Mail-Adresse zurück, die nicht als UPN registriert ist.
    • Wenn die verwendete Nicht-UPN-E-Mail-Adresse veraltet ist (dem Benutzer nicht mehr gehört), wird durch diese Ansprüche stattdessen der UPN zurückgegeben.
  • Das Feature unterstützt die verwaltete Authentifizierung mit Kennworthashsynchronisierung (Password Hash Sync, PHS) oder Passthrough-Authentifizierung (PTA).
  • Es gibt zwei Optionen zum Konfigurieren des Features:
    • Home Realm Discovery (HRD)-Richtlinie – Verwenden Sie diese Option, um das Feature für den gesamten Mandanten zu aktivieren. Mindestens die Rolle "Anwendungsadministrator " ist erforderlich.
    • Mehrstufige Rolloutrichtlinie – Verwenden Sie diese Option, um das Feature mit bestimmten Microsoft Entra-Gruppen zu testen. Wenn Sie zum ersten Mal eine Sicherheitsgruppe für den gestaffelten Rollout hinzufügen, besteht eine Einschränkung auf 200 Benutzer, um ein UX-Timeout zu vermeiden. Nachdem Sie die Gruppe hinzugefügt haben, können Sie ihr nach Bedarf weitere Benutzer hinzufügen.

Einschränkungen der Vorschau

In der aktuellen Vorschauversion gelten die folgenden Einschränkungen für die Verwendung von E-Mail-Adressen als alternative Anmelde-IDs:

  • Benutzererfahrung – Benutzer sehen möglicherweise ihren UPN, auch wenn sie sich mit ihrer Nicht-UPN-E-Mail angemeldet haben. Beobachten lässt sich das folgende Beispielverhalten:

    • Benutzer*innen werden aufgefordert, sich mit dem UPN anzumelden, wenn sie mit login_hint=<non-UPN email> zur Microsoft Entra-Anmeldung umgeleitet werden.
    • Wenn sich ein Benutzer mit einer Nicht-UPN-E-Mail anmeldet und ein falsches Kennwort eingibt, ändert sich die Seite "Kennwort eingeben" , um den UPN anzuzeigen.
    • Auf einigen Microsoft-Websites und -Apps, z. B. Microsoft Office, zeigt das Konto-Manager-Steuerelement in der Regel oben rechts den UPN des Benutzers anstelle der nicht-UPN-E-Mail an, die für die Anmeldung verwendet wird.

  • Nicht unterstützte Flüsse – Einige Flüsse sind derzeit nicht mit Nicht-UPN-E-Mails kompatibel, z. B. die folgenden:

    • Microsoft Entra ID Protection gleicht nicht als UPN registrierte E-Mail-Adressen nicht mit der Risikoerkennung Kompromittierte Anmeldeinformationen ab. Diese Risikoerkennung verwendet zum Abgleichen kompromittierter Anmeldeinformationen den UPN. Weitere Informationen finden Sie unter How To: Untersuchen des Risikos.
    • Wenn ein Benutzer sich mit einer nicht als UPN registrierten E-Mail-Adresse anmeldet, kann dieser sein Kennwort nicht ändern. Die Self-Service-Kennwortzurücksetzung (SSPR) von Microsoft Entra sollte erwartungsgemäß funktionieren. Während der SSPR wird dem Benutzer möglicherweise sein UPN angezeigt, wenn er seine Identität unter Verwendung einer Nicht-UPN-E-Mail-Adresse verifiziert.

  • Nicht unterstützte Szenarien – Die folgenden Szenarien werden nicht unterstützt. Anmelden mit einer nicht als UPN registrierten E-Mail-Adresse bei den folgenden Diensten/Geräten:

  • Nicht unterstützte Apps – Einige Drittanbieteranwendungen funktionieren möglicherweise nicht wie erwartet, wenn sie davon ausgehen, dass die unique_name oder preferred_username Behauptungen unveränderlich sind oder immer einem bestimmten Benutzerattribut wie UPN entsprechen.

  • Protokollierung – Änderungen, die an der Konfiguration des Features in der HRD-Richtlinie vorgenommen wurden, werden in den Überwachungsprotokollen nicht explizit angezeigt.

  • Richtlinie für mehrstufige Einführung – Die folgenden Einschränkungen gelten nur, wenn das Feature mithilfe einer mehrstufigen Rolloutrichtlinie aktiviert wird:

    • Das Feature funktioniert für Benutzer, die in anderen Richtlinien für gestaffelte Rollouts enthalten sind, nicht wie erwartet.
    • Von der Richtlinie für gestaffelte Rollouts werden maximal zehn Gruppen pro Feature unterstützt.
    • Von der Richtlinie für gestaffelte Rollouts werden keine geschachtelten Gruppen unterstützt.
    • Richtlinien für gestaffelte Rollouts unterstützen keine Gruppen mit dynamischer Mitgliedschaft.
    • Durch Kontaktobjekte innerhalb der Gruppe wird das Hinzufügen der Gruppe zu einer Richtlinie für gestaffelte Rollouts blockiert.

  • Doppelte Werte – Innerhalb eines Mandanten kann der UPN eines reinen Cloudbenutzers derselbe Wert sein wie die Proxyadresse eines anderen Benutzers, die aus dem lokalen Verzeichnis synchronisiert wird. In diesem Szenario kann der Benutzer, der nur die Cloud verwendet, sich nicht mit seinem UPN anmelden, wenn das Feature aktiviert ist. Weitere Informationen zu diesem Problem finden Sie im Abschnitt "Problembehandlung" .

Übersicht über alternative Optionen für die Anmelde-ID

Für die Anmeldung bei Microsoft Entra ID geben Benutzer*innen einen Wert ein, der ihr Konto eindeutig identifiziert. Bisher konnten Sie nur den Microsoft Entra-UPN als Anmeldebezeichner verwenden.

Für Organisationen, bei denen der lokale UPN der bevorzugten E-Mail-Adresse für Anmeldungen des Benutzers entspricht, war dieser Ansatz perfekt geeignet. In diesen Organisationen wird der Microsoft Entra-UPN auf genau denselben Wert wie der lokale UPN festgelegt werden, und die Anmeldung erfolgt für Benutzer*innen überall gleich.

Alternative Anmelde-ID für AD FS

Allerdings wird der lokale UPN in einigen Organisationen nicht als Anmeldebezeichner verwendet. In lokalen Umgebungen konfigurieren Sie die lokale AD DS-Instanz, um Anmeldungen mit einer alternativen Anmelde-ID zu ermöglichen. Das Festlegen des Microsoft Entra-UPN auf denselben Wert wie der des lokalen UPN ist keine Option, da Microsoft Entra ID dann erfordern würde, dass Benutzer*innen sich mit diesem Wert anmelden.

Alternative Anmelde-ID in Microsoft Entra Connect

Die typische Umgehung für dieses Problem besteht darin, den Microsoft Entra-UPN auf die E-Mail-Adresse festzulegen, mit der sich der Benutzer oder die Benutzerin anmelden möchte. Dieser Ansatz funktioniert, führt jedoch zu unterschiedlichen UPNs zwischen der lokalen AD-Instanz und Microsoft Entra ID. Außerdem ist diese Konfiguration nicht mit allen Microsoft 365-Workloads kompatibel.

E-Mail-Adresse als alternative Anmelde-ID

Ein anderer Ansatz besteht darin, Microsoft Entra ID und lokale UPNs mit demselben Wert zu synchronisieren und dann Microsoft Entra ID zu konfigurieren, damit sich Benutzer*innen mit einer verifizierten E-Mail-Adresse bei Microsoft Entra ID anmelden können. Um diese Möglichkeit bereitzustellen, definieren Sie eine oder mehrere E-Mail-Adressen im Attribut ProxyAddresses des Benutzers im lokalen Verzeichnis. ProxyAddresses werden dann automatisch mithilfe von Microsoft Entra Connect mit Microsoft Entra ID synchronisiert.

Option BESCHREIBUNG
Alternative Anmelde-ID für AD FS Aktivieren Sie die Anmeldung mit einem alternativen Attribut (z. B. E-Mail) für AD FS-Benutzer.
Alternative Anmelde-ID in Microsoft Entra Connect Synchronisieren Sie ein alternatives Attribut (z. B. E-Mail) als Microsoft Entra UPN.
E-Mail-Adresse als alternative Anmelde-ID Aktivieren Sie die Anmeldung mit ProxyAddresses-Attributen einer verifizierten Domäne für Microsoft Entra-Benutzer*innen.

Synchronisieren von Anmelde-E-Mail-Adressen mit Microsoft Entra ID

Die Authentifizierung herkömmlicher Active Directory Domain Services (AD DS) oder Active Directory-Verbunddienste (AD FS) erfolgt direkt in Ihrem Netzwerk und wird von Ihrer AD DS-Infrastruktur verarbeitet. Bei der Hybridauthentifizierung können sich Benutzer*innen stattdessen direkt bei Microsoft Entra ID anmelden.

Um diesen Hybridauthentifizierungsansatz zu unterstützen, synchronisieren Sie Ihre lokale AD DS-Umgebung mit Microsoft Entra ID mithilfe von Microsoft Entra Connect und konfigurieren sie für die Verwendung von PHS oder PTA. Weitere Informationen finden Sie unter Auswählen der richtigen Authentifizierungsmethode für Ihre Microsoft Entra-Hybrididentitätslösung.

Bei beiden Konfigurationsoptionen übermitteln Benutzer*innen ihren Benutzernamen und ihr Kennwort an Microsoft Entra ID. Anschließend werden die Anmeldeinformationen überprüft, und ein Ticket wird ausgestellt. Wenn sich Benutzer*innen bei Microsoft Entra ID anmelden, ist es nicht mehr erforderlich, dass Ihre Organisation eine AD FS-Infrastruktur hostet und verwaltet.

Eines der Benutzerattribute, die automatisch von Microsoft Entra Connect synchronisiert werden, ist ProxyAddresses. Wenn Benutzer eine E-Mail-Adresse in der lokalen AD DS-Umgebung als Teil des ProxyAddresses-Attributs definiert haben, wird sie automatisch mit Microsoft Entra ID synchronisiert. Diese E-Mail-Adresse kann dann direkt beim Microsoft Entra-Anmeldevorgang als alternative Anmelde-ID verwendet werden.

Wichtig

Nur E-Mail-Adressen in für den Mandanten verifizierten Domänen werden mit Microsoft Entra ID synchronisiert. Jeder Microsoft Entra-Mandant verfügt über mindestens eine verifizierte Domäne, deren Eigentum nachgewiesen ist und die eindeutig an den Mandanten gebunden ist.

Weitere Informationen finden Sie unter Hinzufügen und Überprüfen eines benutzerdefinierten Domänennamens in der Microsoft Entra-ID.

B2B-Gastbenutzeranmeldung mit einer E-Mail-Adresse

Diagramm der E-Mail als alternative Anmelde-ID für die Anmeldung des Gastbenutzers B 2 B.

„E-Mail als alternative Anmelde-ID“ kann für Microsoft Entra-B2B-Zusammenarbeit unter einem Modell vom Typ „Bring Your Own Sign-In Identifiers“ verwendet werden. Wenn im Heimatmandanten E-Mail als alternative Anmelde-ID aktiviert ist, können Microsoft Entra-Benutzer eine Gastanmeldung mit einer E-Mail-Adresse im Nicht-UPN-Format am Endpunkt des Ressourcenmandanten durchführen. Es ist keine Aktion vom Ressourcenmandanten erforderlich, um diese Funktionalität zu aktivieren.

Hinweis

Wenn eine alternative Anmelde-ID auf einem Ressourcenmandantenendpunkt, für den die Funktionalität nicht aktiviert ist, verwendet wird, funktioniert der Anmeldeprozess nahtlos, aber SSO wird unterbrochen.

Aktivieren der Benutzeranmeldung mit einer E-Mail-Adresse

Hinweis

Diese Konfigurationsoption verwendet die HRD-Richtlinie. Weitere Informationen finden Sie unter homeRealmDiscoveryPolicy-Ressourcentyp.

Nachdem Benutzer*innen mit angewendetem ProxyAddresses-Attribut mithilfe von Microsoft Entra Connect mit Microsoft Entra ID synchronisiert wurden, müssen Sie die Funktion aktivieren, mit der sich Benutzer*innen per E-Mail-Adresse als alternative Anmelde-ID für Ihren Mandanten anmelden können. Dieses Feature weist die Microsoft Entra-Anmeldeserver an, nicht nur den Anmeldebezeichner anhand von UPN-Werten zu überprüfen, sondern auch anhand von ProxyAddresses-Werten für die E-Mail-Adresse.

Sie können Microsoft Entra Admin Center oder Graph PowerShell verwenden, um das Feature einzurichten.

Microsoft Entra Verwaltungszentrum

  1. Melden Sie sich mindestens als Hybrididentitätsadministrator beim Microsoft Entra Admin Center an.

  2. Navigieren Sie zu Entra ID>Entra Connect>Connect Sync

  3. Wählen Sie "E-Mail" als alternative Anmelde-ID aus.

    Screenshot der Option

  4. Klicken Sie auf das Kontrollkästchen neben "E-Mail" als alternative Anmelde-ID.

  5. Klicken Sie auf "Speichern".

    Screenshot des Blatts „E-Mail-Adresse als alternative Anmelde-ID“ im Microsoft Entra Admin Center.

Nachdem die Richtlinie angewandt wurde, kann es bis zu einer Stunde dauern, bis Benutzer*innen sich mit ihrer alternativen Anmelde-ID anmelden können.

PowerShell

Hinweis

Diese Konfigurationsoption verwendet die HRD-Richtlinie. Weitere Informationen finden Sie unter homeRealmDiscoveryPolicy-Ressourcentyp.

Sobald Benutzer mit dem "ProxyAddresses" -Attribut mit Microsoft Entra ID mithilfe von Microsoft Entra Connect synchronisiert wurden, müssen Sie das Feature für Benutzer aktivieren, um sich mit E-Mail als alternative Anmelde-ID für Ihren Mandanten anzumelden. Dieses Feature weist die Microsoft Entra-Anmeldeserver an, nicht nur den Anmeldebezeichner anhand von UPN-Werten zu überprüfen, sondern auch anhand von ProxyAddresses-Werten für die E-Mail-Adresse.

  1. Öffnen Sie eine PowerShell-Sitzung als Administrator, und installieren Sie dann das Microsoft.Graph-Modul mithilfe des Install-Module Cmdlets:

    Install-Module Microsoft.Graph

    Weitere Informationen zur Installation finden Sie unter Installieren des Microsoft Graph PowerShell SDK.

  2. Melden Sie sich mit dem Cmdlet Connect-MgGraph bei Ihrem Microsoft Entra-Mandanten an:

    Connect-MgGraph -Scopes "Policy.ReadWrite.ApplicationConfiguration" -TenantId organizations

    Der Befehl fordert Sie auf, sich über einen Webbrowser zu authentifizieren.

  3. Überprüfen Sie, ob in Ihrem Mandanten bereits eine HomeRealmDiscoveryPolicy vorhanden ist, indem Sie das Get-MgPolicyHomeRealmDiscoveryPolicy Cmdlet wie folgt verwenden:

    Get-MgPolicyHomeRealmDiscoveryPolicy

  4. Wenn derzeit keine Richtlinie konfiguriert ist, gibt der Befehl nichts zurück. Wenn eine Richtlinie zurückgegeben wird, können Sie diesen Schritt überspringen und mit dem nächsten Schritt fortfahren, um eine vorhandene Richtlinie zu aktualisieren.

    Um HomeRealmDiscoveryPolicy zum Mandanten hinzuzufügen, verwenden Sie das Cmdlet New-MgPolicyHomeRealmDiscoveryPolicy, und legen Sie das AlternateIdLogin-Attribut wie im folgenden Beispiel auf "Enabled": true fest:

    $AzureADPolicyDefinition = @(
  @{
     "HomeRealmDiscoveryPolicy" = @{
        "AlternateIdLogin" = @{
           "Enabled" = $true
        }
     }
  } | ConvertTo-JSON -Compress
)

$AzureADPolicyParameters = @{
  Definition            = $AzureADPolicyDefinition
  DisplayName           = "BasicAutoAccelerationPolicy"
  AdditionalProperties  = @{ IsOrganizationDefault = $true }
}

New-MgPolicyHomeRealmDiscoveryPolicy @AzureADPolicyParameters

    Wenn die Richtlinie erfolgreich erstellt wurde, gibt der Befehl die Richtlinien-ID zurück, wie in der folgenden Beispielausgabe dargestellt:

    Definition                                                           DeletedDateTime Description DisplayName                 Id            IsOrganizationDefault
----------                                                           --------------- ----------- -----------                 --            ---------------------
{{"HomeRealmDiscoveryPolicy":{"AlternateIdLogin":{"Enabled":true}}}}                             BasicAutoAccelerationPolicy HRD_POLICY_ID True

  5. Wenn bereits eine konfigurierte Richtlinie vorhanden ist, überprüfen Sie, ob das AlternateIdLogin-Attribut aktiviert ist, wie in der folgenden Beispielrichtlinienausgabe gezeigt:

    Definition                                                           DeletedDateTime Description DisplayName                 Id            IsOrganizationDefault
----------                                                           --------------- ----------- -----------                 --            ---------------------
{{"HomeRealmDiscoveryPolicy":{"AlternateIdLogin":{"Enabled":true}}}}                             BasicAutoAccelerationPolicy HRD_POLICY_ID True

    Wenn die Richtlinie vorhanden ist, das AlternateIdLogin-Attribut jedoch nicht vorhanden oder aktiviert ist oder andere Attribute für die Richtlinie vorhanden sind, die Sie beibehalten möchten, aktualisieren Sie die vorhandene Richtlinie mithilfe des Update-MgPolicyHomeRealmDiscoveryPolicy Cmdlets.

    Wichtig

    Wenn Sie die Richtlinie aktualisieren, stellen Sie sicher, dass Sie alle alten Einstellungen und das neue AlternateIdLogin-Attribut einschließen.

    Im folgenden Beispiel wird das AlternateIdLogin-Attribut hinzugefügt und das Zuvor festgelegte AllowCloudPasswordValidation-Attribut beibehalten:

    $AzureADPolicyDefinition = @(
  @{
     "HomeRealmDiscoveryPolicy" = @{
        "AllowCloudPasswordValidation" = $true
        "AlternateIdLogin" = @{
           "Enabled" = $true
        }
     }
  } | ConvertTo-JSON -Compress
)

$AzureADPolicyParameters = @{
  HomeRealmDiscoveryPolicyId = "HRD_POLICY_ID"
  Definition                 = $AzureADPolicyDefinition
  DisplayName                = "BasicAutoAccelerationPolicy"
  AdditionalProperties       = @{ "IsOrganizationDefault" = $true }
}

Update-MgPolicyHomeRealmDiscoveryPolicy @AzureADPolicyParameters

    Vergewissern Sie sich, dass die aktualisierte Richtlinie Ihre Änderungen anzeigt und dass das AlternateIdLogin-Attribut jetzt aktiviert ist:

    Get-MgPolicyHomeRealmDiscoveryPolicy

Hinweis

Nachdem die Richtlinie angewendet wurde, kann es bis zu einer Stunde dauern, bis Benutzer sich mit ihrer E-Mail-Adresse als alternative Anmelde-ID anmelden können.

Entfernen von Richtlinien

Um eine HRD-Richtlinie zu entfernen, verwenden Sie das Remove-MgPolicyHomeRealmDiscoveryPolicy-Cmdlet:

Remove-MgPolicyHomeRealmDiscoveryPolicy -HomeRealmDiscoveryPolicyId "HRD_POLICY_ID"

Aktivieren von gestaffelten Rollouts zum Testen der Benutzeranmeldung mit einer E-Mail-Adresse

Hinweis

Diese Konfigurationsoption verwendet die Richtlinie für gestaffelte Rollouts. Weitere Informationen finden Sie unter featureRolloutPolicy-Ressourcentyp.

Die Richtlinie für gestaffelte Rollouts ermöglicht es Mandantenadministrator*innen, Features für spezifische Microsoft Entra-Gruppen zu aktivieren. Es wird empfohlen, dass Mandantenadministratoren einen gestaffelten Rollout verwenden, um die Benutzeranmeldung mit einer E-Mail-Adresse zu testen. Wenn Administratoren bereit sind, dieses Feature für ihren gesamten Mandanten bereitzustellen, sollten sie die HRD-Richtlinie verwenden.

  1. Öffnen Sie eine PowerShell-Sitzung als Administrator, und installieren Sie dann das Microsoft.Graph.Beta-Modul mit dem Cmdlet Install-Module :

    Install-Module Microsoft.Graph.Beta

    Wenn Sie dazu aufgefordert werden, wählen Sie "Y " aus, um NuGet zu installieren oder aus einem nicht vertrauenswürdigen Repository zu installieren.

  2. Melden Sie sich mit dem Cmdlet Connect-MgGraph bei Ihrem Microsoft Entra-Mandanten an:

    Connect-MgGraph -Scopes "Directory.ReadWrite.All"

    Der Befehl gibt die Informationen zu Ihrem Konto, Ihrer Umgebung und Ihrer Mandanten-ID zurück.

  3. Führen Sie die folgenden Cmdlets aus, um alle vorhandenen Richtlinien für gestaffelte Rollouts aufzulisten:

    Get-MgBetaPolicyFeatureRolloutPolicy

  4. Wenn für dieses Feature keine Richtlinien für gestaffelte Rollouts vorhanden sind, erstellen Sie eine neue Richtlinie für gestaffelte Rollouts, und notieren Sie sich die Richtlinien-ID:

    $MgPolicyFeatureRolloutPolicy = @{
Feature    = "EmailAsAlternateId"
DisplayName = "EmailAsAlternateId Rollout Policy"
IsEnabled   = $true
}
New-MgBetaPolicyFeatureRolloutPolicy @MgPolicyFeatureRolloutPolicy

  5. Suchen Sie die directoryObject-ID für die Gruppe, die der Richtlinie für gestaffelte Rollouts hinzugefügt werden soll. Beachten Sie den wert, der für den Id-Parameter zurückgegeben wird, da er im nächsten Schritt verwendet wird.

    Get-MgBetaGroup -Filter "DisplayName eq 'Name of group to be added to the staged rollout policy'"

  6. Fügen Sie die Gruppe wie im folgenden Beispiel der Richtlinie für gestaffelte Rollouts hinzu. Ersetzen Sie den Wert im Parameter "-FeatureRolloutPolicyId " durch den Wert, der in Schritt 4 für die Richtlinien-ID zurückgegeben wird, und ersetzen Sie den Wert im Parameter "-OdataId " durch die id , die in Schritt 5 angegeben ist. Es kann bis zu einer Stunde dauern, bis Benutzer*innen in der Gruppe sich mit ihrer E-Mail-Adresse als alternative Anmelde-ID bei Microsoft Entra ID anmelden können.

    New-MgBetaDirectoryFeatureRolloutPolicyApplyToByRef `
   -FeatureRolloutPolicyId "ROLLOUT_POLICY_ID" `
   -OdataId "https://graph.microsoft.com/v1.0/directoryObjects/{GROUP_OBJECT_ID}"

Für neu zur Gruppe hinzugefügte Mitglieder kann es bis zu 24 Stunden dauern, bis sie sich mit ihrer E-Mail-Adresse als alternative Anmelde-ID bei Microsoft Entra ID anmelden können.

Entfernen von Gruppen

Führen Sie den folgenden Befehl aus, um eine Gruppe aus einer Richtlinie für gestaffelte Rollouts zu entfernen:

Remove-MgBetaPolicyFeatureRolloutPolicyApplyToByRef -FeatureRolloutPolicyId "ROLLOUT_POLICY_ID" -DirectoryObjectId "GROUP_OBJECT_ID"

Entfernen von Richtlinien

Um eine Richtlinie für gestaffelte Rollouts zu entfernen, deaktivieren Sie die Richtlinie zunächst und entfernen sie dann aus dem System:

Update-MgBetaPolicyFeatureRolloutPolicy -FeatureRolloutPolicyId "ROLLOUT_POLICY_ID" -IsEnabled:$false 
Remove-MgBetaPolicyFeatureRolloutPolicy -FeatureRolloutPolicyId "ROLLOUT_POLICY_ID"

Testen der Benutzeranmeldung mit einer E-Mail-Adresse

Rufen Sie https://myprofile.microsoft.com auf, und melden Sie sich mit einer nicht als UPN registrierten E-Mail-Adresse (z. B. balas@fabrikam.com ) an, um zu testen, ob Benutzer sich mit einer E-Mail-Adresse anmelden können. Der Anmeldevorgang sollte sowohl im Aussehen als auch im Gefühl mit der Anmeldung über das UPN identisch sein.

Problembehandlung

Wenn Benutzer Probleme mit der Anmeldung mit ihrer E-Mail-Adresse haben, führen Sie die folgenden Schritte zur Problembehandlung durch:

  1. Stellen Sie sicher, dass eine Stunde vergangen ist, seitdem die E-Mail-Adresse als alternative Anmelde-ID aktiviert wurde. Wenn der Benutzer erst kürzlich zu einer Gruppe für Richtlinien für gestaffelte Rollouts hinzugefügt wurde, müssen Sie sicherstellen, dass 24 Stunden seit dieser Hinzufügung zur Gruppe vergangen sind.

  2. Wenn Sie die HRD-Richtlinie verwenden, vergewissern Sie sich, dass die Microsoft Entra ID HomeRealmDiscoveryPolicy die AlternateIdLogin-Definitionseigenschaft auf "Enabled" festgelegt hat: true und die IsOrganizationDefault-Eigenschaft auf True festgelegt:

    Get-MgBetaPolicyHomeRealmDiscoveryPolicy | Format-List *

    Wenn Sie eine mehrstufige Rollout-Richtlinie verwenden, vergewissern Sie sich, dass die Microsoft Entra ID FeatureRolloutPolicy die IsEnabled-Eigenschaft auf "True" festgelegt hat:

    Get-MgBetaPolicyFeatureRolloutPolicy

  3. Stellen Sie sicher, dass im Benutzerkonto die E-Mail-Adresse im Attribut ProxyAddresses in Microsoft Entra ID festgelegt ist.

Anmeldeprotokolle

Screenshot der Microsoft Entra-Anmeldeprotokolle, die E-Mails als alternative Anmelde-ID-Aktivität anzeigen.

Weitere Informationen finden Sie in den Anmeldeprotokollen in der Microsoft Entra-ID . Anmeldungen mit der E-Mail-Adresse als alternative Anmelde-ID geben proxyAddress im Feld Anmeldebezeichnertyp und den eingegebenen Benutzername im Feld Anmeldebezeichner aus.

Widersprüchliche Werte zwischen synchronisierten Benutzern und reinen Cloudbenutzern

In einem Mandanten kann der UPN eines Cloud-only-Benutzers denselben Wert annehmen wie die Proxyadresse eines anderen Benutzers, die aus dem lokalen Verzeichnis synchronisiert wurde. In diesem Szenario kann der Benutzer, der nur die Cloud verwendet, sich nicht mit seinem UPN anmelden, wenn das Feature aktiviert ist. Im Folgenden werden die Schritte zum Ermitteln dieses Problems aufgeführt.

  1. Öffnen Sie eine PowerShell-Sitzung als Administrator, und installieren Sie Microsoft Graph mithilfe des Cmdlets "Install-Module ":

    Install-Module Microsoft.Graph.Authentication

    Wenn Sie dazu aufgefordert werden, wählen Sie "Y " aus, um NuGet zu installieren oder aus einem nicht vertrauenswürdigen Repository zu installieren.

  2. Herstellen einer Verbindung mit Microsoft Graph:

    Connect-MgGraph -Scopes "User.Read.All"

  3. Rufen Sie die betroffenen Benutzer ab.

    # Get all users
$allUsers = Get-MgUser -All

# Get list of proxy addresses from all synced users
$syncedProxyAddresses = $allUsers |
    Where-Object {$_.ImmutableId} |
    Select-Object -ExpandProperty ProxyAddresses |
    ForEach-Object {$_ -Replace "smtp:", ""}

# Get list of user principal names from all cloud-only users
$cloudOnlyUserPrincipalNames = $allUsers |
    Where-Object {!$_.ImmutableId} |
    Select-Object -ExpandProperty UserPrincipalName

# Get intersection of two lists
$duplicateValues = $syncedProxyAddresses |
    Where-Object {$cloudOnlyUserPrincipalNames -Contains $_}

  4. So geben Sie die betroffenen Benutzer aus:

    # Output affected synced users
$allUsers |
    Where-Object {$_.ImmutableId -And ($_.ProxyAddresses | Where-Object {($duplicateValues | ForEach-Object {"smtp:$_"}) -Contains $_}).Length -GT 0} |
    Select-Object ObjectId, DisplayName, UserPrincipalName, ProxyAddresses, ImmutableId, UserType

# Output affected cloud-only users
$allUsers |
    Where-Object {!$_.ImmutableId -And $duplicateValues -Contains $_.UserPrincipalName} |
    Select-Object ObjectId, DisplayName, UserPrincipalName, ProxyAddresses, ImmutableId, UserType

  5. So geben Sie die betroffenen Benutzer in einer CSV-Datei aus:

    # Output affected users to CSV
$allUsers |
    Where-Object {
        ($_.ImmutableId -And ($_.ProxyAddresses | Where-Object {($duplicateValues | ForEach-Object {"smtp:$_"}) -Contains $_}).Length -GT 0) -Or
        (!$_.ImmutableId -And $duplicateValues -Contains $_.UserPrincipalName)
    } |
    Select-Object ObjectId, DisplayName, UserPrincipalName, @{n="ProxyAddresses"; e={$_.ProxyAddresses -Join ','}}, @{n="IsSyncedUser"; e={$_.ImmutableId.Length -GT 0}}, UserType |
    Export-Csv -Path .\AffectedUsers.csv -NoTypeInformation

Nächste Schritte

Weitere Informationen zur Hybrididentität, z. B. Microsoft Entra-Anwendungsproxy oder Microsoft Entra Domain Services, finden Sie unter Microsoft Entra-Hybrididentität für den Zugriff und die Verwaltung von lokalen Workloads.

Weitere Informationen zu Hybrididentitätsvorgängen finden Sie unter Funktionsweise der Kennworthashsynchronisierung und Funktionsweise der Passthrough-Authentifizierung.