Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Was ist alternative Anmelde-ID?
In den meisten Szenarien verwenden Benutzer ihren UPN (Benutzerprinzipalnamen), um sich bei ihren Konten anzumelden. In einigen Umgebungen aufgrund von Unternehmensrichtlinien oder lokalen Branchenanwendungsabhängigkeiten verwenden die Benutzer möglicherweise eine andere Form der Anmeldung.
Hinweis
Die empfohlenen bewährten Methoden von Microsoft sind die Übereinstimmung von UPN mit der primären SMTP-Adresse. Dieser Artikel befasst sich mit dem geringen Prozentsatz von Kunden, die den UPN nicht abgleichen können.
Beispielsweise können sie ihre E-Mail-ID für die Anmeldung verwenden, und diese unterscheidet sich von ihrem UPN. Dies ist besonders in Szenarien üblich, in denen der UPN nicht routingfähig ist. Erwägen Sie einen Benutzer Jane Doe mit UPN jdoe@contoso.local
und E-Mail-Adresse jdoe@contoso.com
. Jane ist möglicherweise nicht einmal über den UPN informiert, da sie ihre E-Mail-ID immer für die Anmeldung verwendet hat. Die Verwendung einer anderen Anmeldemethode anstelle von UPN stellt eine alternative ID dar. Weitere Informationen dazu, wie der UPN erstellt wird, finden Sie unter Microsoft Entra UserPrincipalName population.
Active Directory-Verbunddienste (AD FS) ermöglicht Verbundanwendungen, die AD FS verwenden, um sich mit einer alternativen ID anzumelden. Auf diese Weise können Administratoren eine Alternative zum Standard-UPN angeben, die für die Anmeldung verwendet werden soll. AD FS unterstützt bereits die Verwendung einer beliebigen Form von Benutzerbezeichnern, die von Active Directory Domain Services (AD DS) akzeptiert werden. Bei der Konfiguration für alternative ID ermöglicht AD FS Benutzern die Anmeldung mit dem konfigurierten alternativen ID-Wert, z. B. E-Mail-ID. Mithilfe der alternativen ID können Sie SaaS-Anbieter wie Office 365 übernehmen, ohne Ihre lokalen UPNs zu ändern. Außerdem können Sie Branchendienstanwendungen mit vom Verbraucher bereitgestellten Identitäten unterstützen.
Alternative ID in Microsoft Entra ID
In den folgenden Szenarien muss eine Organisation möglicherweise eine alternative ID verwenden:
- Der lokale Domänenname z. B.
contoso.local
ist nicht routingfähig, sodass der Standard-UPN (jdoe@contoso.local
) auch nicht routingfähig ist. Bestehender UPN kann aufgrund lokaler Anwendungsabhängigkeiten oder Unternehmensrichtlinien nicht geändert werden. Microsoft Entra ID und Office 365 erfordern, dass alle Domänensuffixe, die dem Microsoft Entra-Verzeichnis zugeordnet sind, im Internet vollständig routingfähig sind. - Der lokale UPN ist nicht identisch mit der E-Mail-Adresse des Benutzers. Um sich bei Office 365 anzumelden, verwenden die Benutzer die E-Mail-Adresse, da der UPN aufgrund von Organisationseinschränkungen nicht verwendet werden kann. In den oben genannten Szenarien ermöglicht es die alternative ID in AD FS den Benutzern, sich bei Microsoft Entra ID anzumelden, ohne die lokalen UPNs zu ändern.
Konfigurieren der alternativen Anmelde-ID
Wir empfehlen, Microsoft Entra Connect zu verwenden, um eine alternative Anmelde-ID für Ihre Umgebung zu konfigurieren.
- Um eine neue Konfiguration von Microsoft Entra Connect vorzunehmen, lesen Sie unter "Herstellen einer Verbindung mit Microsoft Entra ID", um detaillierte Anweisungen zur Konfiguration von alternativen IDs und der AD FS-Farm zu erhalten.
- Informationen zu vorhandenen Microsoft Entra Connect-Installationen finden Sie unter Ändern der Benutzeranmeldungsmethode für Anweisungen zum Ändern der Anmeldemethode in AD FS.
Wenn Microsoft Entra Connect Details zur AD FS-Umgebung zur Verfügung gestellt werden, wird automatisch überprüft, ob die richtige KB in AD FS vorhanden ist. Anschließend wird AD FS für die alternative ID konfiguriert, einschließlich aller erforderlichen Anspruchsregeln für Berechtigungen an der Microsoft Entra-Verbundvertrauensstellung. Es ist kein zusätzlicher Schritt außerhalb des Assistenten erforderlich, um eine alternative ID zu konfigurieren.
Hinweis
Microsoft empfiehlt die Verwendung von Microsoft Entra Connect zum Konfigurieren alternativer Anmelde-ID.
Manuelles Konfigurieren alternativer ID
Um alternative Anmelde-ID zu konfigurieren, müssen Sie die folgenden Aufgaben ausführen:
Konfigurieren der AD FS-Anspruchsanbieter-Vertrauensstellungen zum Aktivieren einer alternativen Anmelde-ID
Wenn Sie über Windows Server 2012 R2 verfügen, stellen Sie sicher, dass sie auf allen AD FS-Servern KB2919355 installiert haben. Sie können es über Windows Update Services abrufen oder direkt herunterladen.
Aktualisieren Sie die AD FS-Konfiguration, indem Sie das folgende PowerShell-Cmdlet auf einem der Verbundserver in Ihrer Farm ausführen (wenn Sie über eine WID-Farm verfügen, müssen Sie diesen Befehl auf dem primären AD FS-Server in Ihrer Farm ausführen):
Set-AdfsClaimsProviderTrust -TargetIdentifier "AD AUTHORITY" -AlternateLoginID <attribute> -LookupForests <forest domain>
AlternateLoginID ist der LDAP-Name des Attributs, das Sie für die Anmeldung verwenden möchten.
LookupForests ist die Liste des Gesamtstruktur-DNS, dem Ihre benutzenden Personen angehören.
Um ein alternatives Anmelde-ID-Feature zu aktivieren, müssen Sie sowohl -AlternateLoginID als auch -LookupForests Parameter mit einem nicht null gültigen Wert konfigurieren.
Im folgenden Beispiel aktivieren Sie die Funktion für alternative Anmelde-IDs, sodass sich Ihre Benutzer mit Konten in contoso.com- und fabrikam.com-Gesamtstrukturen mit ihrem „mail“-Attribut bei AD FS-fähigen Anwendungen anmelden können.
Set-AdfsClaimsProviderTrust -TargetIdentifier "AD AUTHORITY" -AlternateLoginID mail -LookupForests contoso.com,fabrikam.com
- Um dieses Feature zu deaktivieren, legen Sie den Wert für beide Parameter auf Null fest.
Set-AdfsClaimsProviderTrust -TargetIdentifier "AD AUTHORITY" -AlternateLoginID $NULL -LookupForests $NULL
Moderne Hybridauthentifizierung mit alternativer ID
Von großer Bedeutung
Das Folgende wurde nur auf AD FS und nicht auf Identitätsanbieter von Drittanbietern getestet.
Exchange und Skype for Business
Wenn Sie alternative Anmelde-ID mit Exchange und Skype for Business verwenden, variiert die Benutzererfahrung je nachdem, ob Sie HMA verwenden.
Hinweis
Für optimale Endbenutzerfreundlichkeit empfiehlt Microsoft die Verwendung der modernen Hybridauthentifizierung.
oder weitere Informationen finden Sie unter "Übersicht über die moderne Hybridauthentifizierung"
Voraussetzungen für Exchange und Skype for Business
Im Folgenden sind die Voraussetzungen für das Erreichen von SSO mit alternativer ID aufgeführt.
- Exchange Online sollte die moderne Authentifizierung aktiviert haben.
- Skype for Business (SFB) Online sollte die moderne Authentifizierung aktiviert haben.
- Lokale Exchange-Geräte sollten die moderne Authentifizierung aktiviert haben. Exchange 2013 CU19 oder Exchange 2016 CU18 und höher ist auf allen Exchange-Servern erforderlich. Keine Exchange 2010 in der Umgebung.
- Lokale Skype for Business-Geräte sollten die moderne Authentifizierung aktiviert haben.
- Sie müssen Exchange- und Skype-Clients verwenden, für die die moderne Authentifizierung aktiviert ist. Alle Server müssen SFB Server 2015 CU5 ausführen.
- Skype for Business-Clients, die für moderne Authentifizierung fähig sind
- iOS, Android, Windows Phone
- SFB 2016 (MA ist standardmäßig aktiviert, aber stellen Sie sicher, dass sie nicht deaktiviert wurde.)
- SFB 2013 (MA ist standardmäßig DEAKTIVIERT, stellen Sie daher sicher, dass MA aktiviert wurde.)
- SFB Mac, Desktopversion
- Exchange-Clients, die moderne Authentifizierungsfähig sind und AltID-Regkeys unterstützen
- Nur Office Pro Plus 2016
Unterstützte Office-Version
Konfigurieren Ihres Verzeichnisses für SSO mit alternativer ID
Die Verwendung der alternativen ID kann zusätzliche Aufforderungen zur Authentifizierung verursachen, wenn diese zusätzlichen Konfigurationen nicht abgeschlossen sind. Mögliche Auswirkungen auf die Benutzererfahrung mit alternativer ID finden Sie im Artikel.
Mit der folgenden zusätzlichen Konfiguration wird die Benutzererfahrung erheblich verbessert, und Sie können nahezu null Aufforderungen zur Authentifizierung für alternative ID-Benutzer in Ihrer Organisation erzielen.
Schritt 1: Aktualisieren auf erforderliche Office-Version
Office Version 1712 (Build Nr. 8827.2148) und höher haben die Authentifizierungslogik aktualisiert, um das Szenario "Alternative ID" zu behandeln. Um die neue Logik nutzen zu können, müssen die Clientcomputer auf Office Version 1712 (Build 8827.2148) und höher aktualisiert werden.
Schritt 2: Aktualisieren auf erforderliche Windows-Version
Windows Version 1709 und höher haben die Authentifizierungslogik aktualisiert, um das Szenario "Alternative ID" zu behandeln. Um die neue Logik nutzen zu können, müssen die Clientcomputer auf Windows Version 1709 und höher aktualisiert werden.
Schritt 3: Konfigurieren der Registrierung für betroffene Benutzer mithilfe von Gruppenrichtlinien
Die Office-Anwendungen basieren auf Informationen, die vom Verzeichnisadministrator zur Identifizierung der Alternativen ID-Umgebung übertragen werden. Die folgenden Registrierungsschlüssel müssen so konfiguriert werden, dass Office-Anwendungen den Benutzer mit alternativer ID authentifizieren können, ohne zusätzliche Eingabeaufforderungen anzuzeigen.
Hinzuzufügender RegKey | Regkey-Datenname, -typ und -wert | Windows 7/8 | Windows 10 | BESCHREIBUNG |
---|---|---|---|---|
HKEY_CURRENT_USER\Software\Microsoft\AuthN | DomainHint REG_SZ contoso.com |
Erforderlich | Erforderlich | Dieser RegKey-Wert ist ein überprüfter benutzerdefinierter Domänenname im Mandanten des Unternehmens. Beispielsweise kann Contoso Corp einen Wert von Contoso.com in diesem Registrierungsschlüssel angeben, wenn Contoso.com einer der überprüften benutzerdefinierten Domänennamen im Mandanten Contoso.onmicrosoft.com ist. |
HKEY_CURRENT_USER\Software\Microsoft\Office\16.0\Common\Identity | EnableAlternateIdSupport REG_DWORD 1 |
Erforderlich für Outlook 2016 ProPlus | Erforderlich für Outlook 2016 ProPlus | Der Wert dieses Registrierungsschlüssels kann 1 /0 sein, um der Outlook-Anwendung anzugeben, ob er die verbesserte Alternative ID-Authentifizierungslogik verwenden soll. |
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\contoso.com\sts |
*
REG_DWORD 1 |
Erforderlich | Erforderlich | Dieser Registrierungsschlüssel kann verwendet werden, um den STS als vertrauenswürdige Zone in den Interneteinstellungen festzulegen. Die Standardmäßige AD FS-Bereitstellung empfiehlt, den AD FS-Namespace zur lokalen Intranetzone für Internet Explorer hinzuzufügen. |
Neuer Authentifizierungsfluss nach zusätzlicher Konfiguration
- a: Ein Benutzer wird in Microsoft Entra ID mit alternativer ID bereitgestellt.
b: Der Verzeichnisadministrator pusht erforderliche RegKey-Einstellungen an betroffene Clientcomputer. - Der Benutzer authentifiziert sich auf dem lokalen Computer und öffnet eine Office-Anwendung.
- Die Office-Anwendung verwendet die lokalen Sitzungsanmeldeinformationen.
- Die Office-Anwendung authentifiziert sich bei Microsoft Entra ID mithilfe eines von einem Administrator übermittelten Domänenhinweises und lokalen Anmeldeinformationen.
- Die Microsoft Entra-ID authentifiziert den Benutzer erfolgreich, indem sie zum korrekten Verbundbereich navigiert und ein Token ausstellt.
Anwendungen und Benutzererfahrung nach der zusätzlichen Konfiguration
Nicht-Exchange- und -Skype for Business-Clients
Kunde | Unterstützungserklärung | Bemerkungen |
---|---|---|
Microsoft Teams | Unterstützt | |
OneDrive für Unternehmen | Unterstützt – clientseitiger Registrierungsschlüssel empfohlen | Wenn die alternative ID konfiguriert ist, sehen Sie, dass der lokale UPN im Überprüfungsfeld vorab ausgefüllt ist. Dieser muss in die alternative Identität geändert werden, die verwendet wird. Es wird empfohlen, den in diesem Artikel aufgeführten clientseitigen Registrierungsschlüssel zu verwenden: Office 2013 und Lync 2013 fordern regelmäßig zur Eingabe von Anmeldeinformationen für SharePoint Online, OneDrive und Lync Online auf. |
OneDrive for Business Mobiler Client | Unterstützt | |
Office 365 Pro Plus-Aktivierungsseite | Unterstützt – clientseitiger Registrierungsschlüssel empfohlen | Wenn die alternative ID konfiguriert ist, sehen Sie, dass der lokale UPN im Überprüfungsfeld vorab ausgefüllt ist. Dieser muss in die alternative Identität geändert werden, die verwendet wird. Es wird empfohlen, den in diesem Artikel aufgeführten clientseitigen Registrierungsschlüssel zu verwenden: Office 2013 und Lync 2013 fordern regelmäßig zur Eingabe von Anmeldeinformationen für SharePoint Online, OneDrive und Lync Online auf. |
Exchange- und Skype for Business-Clients
Kunde | Supporthinweis – mit HMA | Supporthinweis – ohne HMA |
---|---|---|
Aussicht | Unterstützt, keine zusätzlichen Eingabeaufforderungen | Unterstützt mit für Exchange Online: Unterstützt mit normaler Authentifizierung für Exchange Online: Unterstützt mit folgenden Einschränkungen: |
Hybrid-Öffentliche Ordner | Unterstützt, keine zusätzlichen Eingabeaufforderungen. | Mit moderner Authentifizierung für Exchange Online: Unterstützt mit normaler Authentifizierung für Exchange Online: Nicht unterstützt |
Standortübergreifende Delegierung | Siehe Konfigurieren von Exchange zur Unterstützung delegierter Postfachberechtigungen in einer Hybridbereitstellung | Siehe Konfigurieren von Exchange zur Unterstützung delegierter Postfachberechtigungen in einer Hybridbereitstellung |
Archivpostfachzugriff (lokal postfach – Archiv in der Cloud) | Unterstützt, keine zusätzlichen Eingabeaufforderungen | Unterstützt – Benutzer erhalten beim Zugriff auf das Archiv eine zusätzliche Eingabeaufforderung für Anmeldeinformationen, wenn sie dazu aufgefordert werden, ihre alternative ID anzugeben. |
Outlook Web Access | Unterstützt | Unterstützt |
Outlook Mobile Apps für Android, IOS und Windows Phone | Unterstützt | Unterstützt |
Skype for Business/ Lync | Unterstützt, ohne zusätzliche Eingabeaufforderungen | Unterstützt (außer wie angegeben), aber es besteht ein potenzielles für Benutzerverwechslungen. Auf mobilen Clients wird die Alternative ID nur unterstützt, wenn SIP-Adresse = E-Mail-Adresse = Alternative ID. Benutzer müssen sich möglicherweise zweimal beim Skype for Business-Desktopclient anmelden, zuerst den lokalen UPN und dann die alternative ID verwenden. (Beachten Sie, dass die "Anmeldeadresse" tatsächlich die SIP-Adresse ist, die möglicherweise nicht mit dem "Benutzernamen" identisch ist, obwohl häufig). Wenn der Benutzer das erste Mal zur Eingabe eines Benutzernamens aufgefordert wird, sollte er den UPN eingeben, auch wenn dieser fälschlicherweise mit der alternativen ID oder SIP-Adresse vorausgefüllt wurde. Nachdem der Benutzer versucht, sich mit dem UPN anzumelden, wird erneut die Eingabeaufforderung für den Benutzernamen angezeigt, wobei dieses Mal der UPN vorab eingefügt ist. Dieses Mal muss der Benutzer dies durch die alternative ID ersetzen und auf "Anmelden" klicken, um den Anmeldevorgang abzuschließen. Auf mobilen Clients sollten Benutzer die lokale Benutzer-ID auf der erweiterten Seite im SAM-Format (Domäne\Benutzername) und nicht im UPN-Format eingeben. Wenn Skype for Business oder Lync nach erfolgreicher Anmeldung sagt: "Exchange benötigt Ihre Anmeldeinformationen", müssen Sie die Anmeldeinformationen angeben, die für den Speicherort des Postfachs gültig sind. Wenn sich das Postfach in der Cloud befindet, müssen Sie die alternative ID angeben. Wenn das Postfach lokal ist, müssen Sie den lokalen UPN angeben. |
Weitere Details und Überlegungen
Microsoft Entra ID bietet verschiedene Features im Zusammenhang mit "Alternative Anmelde-ID"
- Die Konfigurationsfunktion für alternative AD FS-Anmelde-IDs in Verbundumgebungen1 für Identitätsinfrastrukturen, die in diesem Artikel beschrieben wird.
- Die Microsoft Entra Connect-Synchronisierungskonfiguration, die definiert, welches lokale Attribut als Microsoft Entra-Benutzername (userPrincipalName) fürVerbund-1- oderverwaltete 2-Identitätsinfrastrukturumgebungen verwendet wird, die teilweise in diesem Artikel behandelt werden.
- Die Funktion zum Anmelden bei Microsoft Entra ID mit E-Mail-Adresse als alternativer Anmelde-ID für verwaltete2 Umgebungen für Identitätsinfrastrukturen.
Das in diesem Artikel beschriebene Feature "Alternative Anmelde-ID" ist fürVerbund-1-Identitätsinfrastrukturumgebungen verfügbar. Es wird in den folgenden Szenarien nicht unterstützt:
- Ein AlternateLoginID-Attribut mit nicht routingfähigen Domänen (z. B. Contoso.local), das nicht von der Microsoft Entra-ID überprüft werden kann.
- Verwaltete Umgebungen, für die AD FS nicht bereitgestellt wurde. Bitte lesen Sie entweder die Microsoft Entra Connect Sync-Dokumentation oder die Anmeldung bei Microsoft Entra ID mit E-Mail als alternative Anmelde-ID-Dokumentation . Wenn Sie die Microsoft Entra Connect-Synchronisierungskonfiguration in einerVerwalteten 2-Identitätsinfrastrukturumgebung anpassen möchten, können die Anwendungen und die Benutzererfahrung nach dem zusätzlichen Konfigurationsabschnitt dieses Artikels weiterhin anwendbar sein, während die spezifische AD FS-Konfiguration nicht mehr anwendbar ist, da keine AD FS in einer Umgebung der verwalteten 2-Identitätsinfrastruktur bereitgestellt wird.
Wenn diese Option aktiviert ist, ist das alternative Anmelde-ID-Feature nur für die Authentifizierung mit Benutzername/Kennwort für alle Benutzernamen-/Kennwortauthentifizierungsprotokolle verfügbar, die von AD FS (SAML-P, WS-Fed, WS-Trust und OAuth) unterstützt werden.
Wenn windows Integrated Authentication (WIA) ausgeführt wird (z. B. wenn Benutzer versuchen, auf eine Unternehmensanwendung auf einem in die Domäne eingebundenen Computer über intranet zuzugreifen, und AD FS-Administrator hat die Authentifizierungsrichtlinie für die Verwendung von WIA für intranet konfiguriert), wird UPN für die Authentifizierung verwendet. Wenn Sie Anspruchsregeln für die vertrauenden Parteien für die alternative Anmelde-ID-Funktion konfiguriert haben, sollten Sie sicherstellen, dass diese Regeln im WIA-Fall weiterhin gültig sind.
Wenn die Funktion für alternative Anmelde-IDs aktiviert ist, muss mindestens ein globaler Katalogserver vom AD FS-Server für jede von AD FS unterstützte Benutzerkonten-Gesamtstruktur erreichbar sein. Wenn ein globaler Katalogserver in der Benutzerkonten-Gesamtstruktur nicht erreichbar ist, greift AD FS auf die Verwendung von UPNs zurück. Standardmäßig sind alle Domänencontroller globale Katalogserver.
Wenn aktiviert, schlägt die Anmeldung fehl, wenn der AD FS-Server mehr als ein Benutzerobjekt mit demselben alternativen Anmelde-ID-Wert findet, der in allen konfigurierten Benutzerkontenverzeichnissen angegeben ist.
Wenn die alternative Anmelde-ID-Funktion aktiviert ist, versucht AD FS, den Endbenutzer zuerst mit alternativer Anmelde-ID zu authentifizieren und dann auf die Verwendung von UPN zurückzugreifen, wenn es kein Konto finden kann, das durch die alternative Anmelde-ID identifiziert werden kann. Sie sollten sicherstellen, dass es keine Konflikte zwischen der alternativen Anmelde-ID und dem UPN gibt, wenn Sie die UPN-Anmeldung weiterhin unterstützen möchten. Das Festlegen des E-Mail-Attributs mit dem UPN des anderen Benutzers blockiert beispielsweise die Anmeldung mit seinem UPN.
Wenn eine der vom Administrator konfigurierten Gesamtstrukturen ausfällt, sucht AD FS weiterhin in den anderen konfigurierten Gesamtstrukturen nach einem Benutzerkonto mit alternativer Anmelde-ID. Wenn der AD FS-Server in den durchsuchten Gesamtstrukturen ein eindeutiges Benutzerobjekt findet, kann sich ein Benutzer erfolgreich anmelden.
Möglicherweise möchten Sie auch die AD FS-Anmeldeseite anpassen, um Endbenutzern einen Hinweis auf die alternative Anmelde-ID zu geben. Sie können dies tun, indem Sie entweder die benutzerdefinierte Beschreibung der Anmeldeseite hinzufügen (weitere Informationen finden Sie unter Anpassen der AD FS-Anmeldeseiten oder Anpassen der Zeichenfolge "Anmelden mit Organisationskonto" oberhalb des Benutzernamenfelds (weitere Informationen finden Sie unter "Erweiterte Anpassung von AD FS-Anmeldeseiten".
Der neue Anspruchstyp, der den alternativen Anmelde-ID-Wert enthält, ist http:schemas.microsoft.com/ws/2013/11/alternateloginid
1 Eine Verbundidentitätsinfrastrukturumgebung stellt eine Umgebung mit einem Identitätsanbieter wie AD FS oder einem anderen DRITTANBIETER-IDP dar.
2 Bei einer verwalteten Umgebung für Identitätsinfrastrukturen handelt es sich um eine Umgebung mit Microsoft Entra ID als Identitätsanbieter, die entweder mit Kennworthashsynchronisierung (PHS) oder mit Passthrough-Authentifizierung (PTA) bereitgestellt wird.
Ereignisse und Leistungsindikatoren
Die folgenden Leistungsindikatoren wurden hinzugefügt, um die Leistung von AD FS-Servern zu messen, wenn alternative Anmelde-ID aktiviert ist:
Alternative Anmelde-ID-Authentifizierungen: Anzahl der Authentifizierungen, die mithilfe alternativer Anmelde-ID ausgeführt werden
Alternative Anmelde-ID-Authentifizierungen/Sek.: Anzahl der Authentifizierungen, die mithilfe alternativer Anmelde-ID pro Sekunde ausgeführt werden
Durchschnittliche Suchlatenz für alternative Anmelde-ID: Die durchschnittliche Suchlatenz in den Gesamtstrukturen, die ein Administrator für die alternative Anmelde-ID konfiguriert hat
Im Folgenden finden Sie verschiedene Fehlerfälle und entsprechende Auswirkungen auf die Anmeldeerfahrung eines Benutzers mit ereignissen, die von AD FS protokolliert werden:
Fehlerfälle | Auswirkungen auf die Anmeldeerfahrung | Ereignis |
---|---|---|
Ein Wert für SAMAccountName für das Benutzerobjekt kann nicht abgerufen werden. | Anmeldefehler | Ereignis-ID 364 mit Ausnahmemeldung MSIS8012: SamAccountName für den Benutzer konnte nicht gefunden werden: '{0}'. |
Auf das CanonicalName-Attribut kann nicht zugegriffen werden. | Anmeldefehler | Ereignis-ID 364 mit Ausnahmemeldung MSIS8013: CanonicalName „{0}“ des Benutzers „{1}“ weist ein ungültiges Format auf. |
Mehrere Benutzerobjekte werden in einem Wald gefunden. | Anmeldefehler | Ereignis-ID 364 mit Ausnahmemeldung MSIS8015: Für die Identität „{0}“ wurden in der Gesamtstruktur „{1}“ mehrere Benutzerkonten mit Identitäten gefunden: {2} |
Es wurden mehrere Benutzerobjekte in mehreren Gesamtstrukturen gefunden. | Anmeldefehler | Ereignis-ID 364 mit Ausnahmemeldung MSIS8014: Für die Identität „{0}“ wurden in den Gesamtstrukturen mehrere Benutzerkonten gefunden: {1} |