Konfigurieren der alternativen Anmelde-ID

Was ist alternative Anmelde-ID?

In den meisten Szenarien verwenden Benutzer ihren UPN (Benutzerprinzipalnamen), um sich bei ihren Konten anzumelden. In einigen Umgebungen aufgrund von Unternehmensrichtlinien oder lokalen Branchenanwendungsabhängigkeiten verwenden die Benutzer möglicherweise eine andere Form der Anmeldung.

Hinweis

Die empfohlenen bewährten Methoden von Microsoft sind die Übereinstimmung von UPN mit der primären SMTP-Adresse. Dieser Artikel befasst sich mit dem geringen Prozentsatz von Kunden, die den UPN nicht abgleichen können.

Beispielsweise können sie ihre E-Mail-ID für die Anmeldung verwenden, und diese unterscheidet sich von ihrem UPN. Dies ist besonders in Szenarien üblich, in denen der UPN nicht routingfähig ist. Erwägen Sie einen Benutzer Jane Doe mit UPN jdoe@contoso.local und E-Mail-Adresse jdoe@contoso.com. Jane ist möglicherweise nicht einmal über den UPN informiert, da sie ihre E-Mail-ID immer für die Anmeldung verwendet hat. Die Verwendung einer anderen Anmeldemethode anstelle von UPN stellt eine alternative ID dar. Weitere Informationen dazu, wie der UPN erstellt wird, finden Sie unter Microsoft Entra UserPrincipalName population.

Active Directory-Verbunddienste (AD FS) ermöglicht Verbundanwendungen, die AD FS verwenden, um sich mit einer alternativen ID anzumelden. Auf diese Weise können Administratoren eine Alternative zum Standard-UPN angeben, die für die Anmeldung verwendet werden soll. AD FS unterstützt bereits die Verwendung einer beliebigen Form von Benutzerbezeichnern, die von Active Directory Domain Services (AD DS) akzeptiert werden. Bei der Konfiguration für alternative ID ermöglicht AD FS Benutzern die Anmeldung mit dem konfigurierten alternativen ID-Wert, z. B. E-Mail-ID. Mithilfe der alternativen ID können Sie SaaS-Anbieter wie Office 365 übernehmen, ohne Ihre lokalen UPNs zu ändern. Außerdem können Sie Branchendienstanwendungen mit vom Verbraucher bereitgestellten Identitäten unterstützen.

Alternative ID in Microsoft Entra ID

In den folgenden Szenarien muss eine Organisation möglicherweise eine alternative ID verwenden:

1. Der lokale Domänenname z. B. contoso.local ist nicht routingfähig, sodass der Standard-UPN (jdoe@contoso.local) auch nicht routingfähig ist. Bestehender UPN kann aufgrund lokaler Anwendungsabhängigkeiten oder Unternehmensrichtlinien nicht geändert werden. Microsoft Entra ID und Office 365 erfordern, dass alle Domänensuffixe, die dem Microsoft Entra-Verzeichnis zugeordnet sind, im Internet vollständig routingfähig sind.
2. Der lokale UPN ist nicht identisch mit der E-Mail-Adresse des Benutzers. Um sich bei Office 365 anzumelden, verwenden die Benutzer die E-Mail-Adresse, da der UPN aufgrund von Organisationseinschränkungen nicht verwendet werden kann. In den oben genannten Szenarien ermöglicht es die alternative ID in AD FS den Benutzern, sich bei Microsoft Entra ID anzumelden, ohne die lokalen UPNs zu ändern.

Konfigurieren der alternativen Anmelde-ID

Wir empfehlen, Microsoft Entra Connect zu verwenden, um eine alternative Anmelde-ID für Ihre Umgebung zu konfigurieren.

• Um eine neue Konfiguration von Microsoft Entra Connect vorzunehmen, lesen Sie unter "Herstellen einer Verbindung mit Microsoft Entra ID", um detaillierte Anweisungen zur Konfiguration von alternativen IDs und der AD FS-Farm zu erhalten.
• Informationen zu vorhandenen Microsoft Entra Connect-Installationen finden Sie unter Ändern der Benutzeranmeldungsmethode für Anweisungen zum Ändern der Anmeldemethode in AD FS.

Wenn Microsoft Entra Connect Details zur AD FS-Umgebung zur Verfügung gestellt werden, wird automatisch überprüft, ob die richtige KB in AD FS vorhanden ist. Anschließend wird AD FS für die alternative ID konfiguriert, einschließlich aller erforderlichen Anspruchsregeln für Berechtigungen an der Microsoft Entra-Verbundvertrauensstellung. Es ist kein zusätzlicher Schritt außerhalb des Assistenten erforderlich, um eine alternative ID zu konfigurieren.

Hinweis

Microsoft empfiehlt die Verwendung von Microsoft Entra Connect zum Konfigurieren alternativer Anmelde-ID.

Manuelles Konfigurieren alternativer ID

Um alternative Anmelde-ID zu konfigurieren, müssen Sie die folgenden Aufgaben ausführen:

Konfigurieren der AD FS-Anspruchsanbieter-Vertrauensstellungen zum Aktivieren einer alternativen Anmelde-ID

1. Wenn Sie über Windows Server 2012 R2 verfügen, stellen Sie sicher, dass sie auf allen AD FS-Servern KB2919355 installiert haben. Sie können es über Windows Update Services abrufen oder direkt herunterladen.

2. Aktualisieren Sie die AD FS-Konfiguration, indem Sie das folgende PowerShell-Cmdlet auf einem der Verbundserver in Ihrer Farm ausführen (wenn Sie über eine WID-Farm verfügen, müssen Sie diesen Befehl auf dem primären AD FS-Server in Ihrer Farm ausführen):

Set-AdfsClaimsProviderTrust -TargetIdentifier "AD AUTHORITY" -AlternateLoginID <attribute> -LookupForests <forest domain>

AlternateLoginID ist der LDAP-Name des Attributs, das Sie für die Anmeldung verwenden möchten.

LookupForests ist die Liste des Gesamtstruktur-DNS, dem Ihre benutzenden Personen angehören.

Um ein alternatives Anmelde-ID-Feature zu aktivieren, müssen Sie sowohl -AlternateLoginID als auch -LookupForests Parameter mit einem nicht null gültigen Wert konfigurieren.

Im folgenden Beispiel aktivieren Sie die Funktion für alternative Anmelde-IDs, sodass sich Ihre Benutzer mit Konten in contoso.com- und fabrikam.com-Gesamtstrukturen mit ihrem „mail“-Attribut bei AD FS-fähigen Anwendungen anmelden können.

Set-AdfsClaimsProviderTrust -TargetIdentifier "AD AUTHORITY" -AlternateLoginID mail -LookupForests contoso.com,fabrikam.com

3. Um dieses Feature zu deaktivieren, legen Sie den Wert für beide Parameter auf Null fest.

Set-AdfsClaimsProviderTrust -TargetIdentifier "AD AUTHORITY" -AlternateLoginID $NULL -LookupForests $NULL

Moderne Hybridauthentifizierung mit alternativer ID

Von großer Bedeutung

Das Folgende wurde nur auf AD FS und nicht auf Identitätsanbieter von Drittanbietern getestet.

Exchange und Skype for Business

Wenn Sie alternative Anmelde-ID mit Exchange und Skype for Business verwenden, variiert die Benutzererfahrung je nachdem, ob Sie HMA verwenden.

Hinweis

Für optimale Endbenutzerfreundlichkeit empfiehlt Microsoft die Verwendung der modernen Hybridauthentifizierung.

oder weitere Informationen finden Sie unter "Übersicht über die moderne Hybridauthentifizierung"

Voraussetzungen für Exchange und Skype for Business

Im Folgenden sind die Voraussetzungen für das Erreichen von SSO mit alternativer ID aufgeführt.

• Exchange Online sollte die moderne Authentifizierung aktiviert haben.
• Skype for Business (SFB) Online sollte die moderne Authentifizierung aktiviert haben.
• Lokale Exchange-Geräte sollten die moderne Authentifizierung aktiviert haben. Exchange 2013 CU19 oder Exchange 2016 CU18 und höher ist auf allen Exchange-Servern erforderlich. Keine Exchange 2010 in der Umgebung.
• Lokale Skype for Business-Geräte sollten die moderne Authentifizierung aktiviert haben.
• Sie müssen Exchange- und Skype-Clients verwenden, für die die moderne Authentifizierung aktiviert ist. Alle Server müssen SFB Server 2015 CU5 ausführen.
• Skype for Business-Clients, die für moderne Authentifizierung fähig sind
  • iOS, Android, Windows Phone
  • SFB 2016 (MA ist standardmäßig aktiviert, aber stellen Sie sicher, dass sie nicht deaktiviert wurde.)
  • SFB 2013 (MA ist standardmäßig DEAKTIVIERT, stellen Sie daher sicher, dass MA aktiviert wurde.)
  • SFB Mac, Desktopversion
• Exchange-Clients, die moderne Authentifizierungsfähig sind und AltID-Regkeys unterstützen
  • Nur Office Pro Plus 2016

Unterstützte Office-Version

Konfigurieren Ihres Verzeichnisses für SSO mit alternativer ID

Die Verwendung der alternativen ID kann zusätzliche Aufforderungen zur Authentifizierung verursachen, wenn diese zusätzlichen Konfigurationen nicht abgeschlossen sind. Mögliche Auswirkungen auf die Benutzererfahrung mit alternativer ID finden Sie im Artikel.

Mit der folgenden zusätzlichen Konfiguration wird die Benutzererfahrung erheblich verbessert, und Sie können nahezu null Aufforderungen zur Authentifizierung für alternative ID-Benutzer in Ihrer Organisation erzielen.

Schritt 1: Aktualisieren auf erforderliche Office-Version

Office Version 1712 (Build Nr. 8827.2148) und höher haben die Authentifizierungslogik aktualisiert, um das Szenario "Alternative ID" zu behandeln. Um die neue Logik nutzen zu können, müssen die Clientcomputer auf Office Version 1712 (Build 8827.2148) und höher aktualisiert werden.

Schritt 2: Aktualisieren auf erforderliche Windows-Version

Windows Version 1709 und höher haben die Authentifizierungslogik aktualisiert, um das Szenario "Alternative ID" zu behandeln. Um die neue Logik nutzen zu können, müssen die Clientcomputer auf Windows Version 1709 und höher aktualisiert werden.

Schritt 3: Konfigurieren der Registrierung für betroffene Benutzer mithilfe von Gruppenrichtlinien

Die Office-Anwendungen basieren auf Informationen, die vom Verzeichnisadministrator zur Identifizierung der Alternativen ID-Umgebung übertragen werden. Die folgenden Registrierungsschlüssel müssen so konfiguriert werden, dass Office-Anwendungen den Benutzer mit alternativer ID authentifizieren können, ohne zusätzliche Eingabeaufforderungen anzuzeigen.

Hinzuzufügender RegKey	Regkey-Datenname, -typ und -wert	Windows 7/8	Windows 10	BESCHREIBUNG
HKEY_CURRENT_USER\Software\Microsoft\AuthN	DomainHint REG_SZ contoso.com	Erforderlich	Erforderlich	Dieser RegKey-Wert ist ein überprüfter benutzerdefinierter Domänenname im Mandanten des Unternehmens. Beispielsweise kann Contoso Corp einen Wert von Contoso.com in diesem Registrierungsschlüssel angeben, wenn Contoso.com einer der überprüften benutzerdefinierten Domänennamen im Mandanten Contoso.onmicrosoft.com ist.
HKEY_CURRENT_USER\Software\Microsoft\Office\16.0\Common\Identity	EnableAlternateIdSupport REG_DWORD 1	Erforderlich für Outlook 2016 ProPlus	Erforderlich für Outlook 2016 ProPlus	Der Wert dieses Registrierungsschlüssels kann 1 /0 sein, um der Outlook-Anwendung anzugeben, ob er die verbesserte Alternative ID-Authentifizierungslogik verwenden soll.
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\contoso.com\sts	* REG_DWORD 1	Erforderlich	Erforderlich	Dieser Registrierungsschlüssel kann verwendet werden, um den STS als vertrauenswürdige Zone in den Interneteinstellungen festzulegen. Die Standardmäßige AD FS-Bereitstellung empfiehlt, den AD FS-Namespace zur lokalen Intranetzone für Internet Explorer hinzuzufügen.

Neuer Authentifizierungsfluss nach zusätzlicher Konfiguration

1. a: Ein Benutzer wird in Microsoft Entra ID mit alternativer ID bereitgestellt.
   b: Der Verzeichnisadministrator pusht erforderliche RegKey-Einstellungen an betroffene Clientcomputer.
2. Der Benutzer authentifiziert sich auf dem lokalen Computer und öffnet eine Office-Anwendung.
3. Die Office-Anwendung verwendet die lokalen Sitzungsanmeldeinformationen.
4. Die Office-Anwendung authentifiziert sich bei Microsoft Entra ID mithilfe eines von einem Administrator übermittelten Domänenhinweises und lokalen Anmeldeinformationen.
5. Die Microsoft Entra-ID authentifiziert den Benutzer erfolgreich, indem sie zum korrekten Verbundbereich navigiert und ein Token ausstellt.

Anwendungen und Benutzererfahrung nach der zusätzlichen Konfiguration

Nicht-Exchange- und -Skype for Business-Clients

Kunde	Unterstützungserklärung	Bemerkungen
Microsoft Teams	Unterstützt	Microsoft Teams unterstützt AD FS (SAML-P, WS-Fed, WS-Trust und OAuth) und moderne Authentifizierung. Kernfunktionen von Microsoft Teams wie Kanälen, Chats und Dateien funktionieren mit alternativer Anmelde-ID. Apps von 1. und 3. Drittanbietern müssen vom Kunden separat untersucht werden. Dies liegt daran, dass jede Anwendung über eigene Authentifizierungsprotokolle zur Unterstützung verfügt.
OneDrive für Unternehmen	Unterstützt – clientseitiger Registrierungsschlüssel empfohlen	Wenn die alternative ID konfiguriert ist, sehen Sie, dass der lokale UPN im Überprüfungsfeld vorab ausgefüllt ist. Dieser muss in die alternative Identität geändert werden, die verwendet wird. Es wird empfohlen, den in diesem Artikel aufgeführten clientseitigen Registrierungsschlüssel zu verwenden: Office 2013 und Lync 2013 fordern regelmäßig zur Eingabe von Anmeldeinformationen für SharePoint Online, OneDrive und Lync Online auf.
OneDrive for Business Mobiler Client	Unterstützt
Office 365 Pro Plus-Aktivierungsseite	Unterstützt – clientseitiger Registrierungsschlüssel empfohlen	Wenn die alternative ID konfiguriert ist, sehen Sie, dass der lokale UPN im Überprüfungsfeld vorab ausgefüllt ist. Dieser muss in die alternative Identität geändert werden, die verwendet wird. Es wird empfohlen, den in diesem Artikel aufgeführten clientseitigen Registrierungsschlüssel zu verwenden: Office 2013 und Lync 2013 fordern regelmäßig zur Eingabe von Anmeldeinformationen für SharePoint Online, OneDrive und Lync Online auf.

Exchange- und Skype for Business-Clients

Kunde	Supporthinweis – mit HMA	Supporthinweis – ohne HMA
Aussicht	Unterstützt, keine zusätzlichen Eingabeaufforderungen	Unterstützt mit für Exchange Online: Unterstützt mit normaler Authentifizierung für Exchange Online: Unterstützt mit folgenden Einschränkungen: Sie müssen sich auf einem Computer befinden, der einer Domäne beigetreten ist und mit dem Unternehmensnetzwerk verbunden ist. Sie können alternative ID nur in Umgebungen verwenden, in denen kein externer Zugriff für Postfachbenutzer zulässig ist. Dies bedeutet, dass Benutzer sich nur auf unterstützte Weise bei ihrem Postfach authentifizieren können, wenn sie mit dem Unternehmensnetzwerk, einem VPN oder über Direct Access-Computer verbunden sind, aber beim Konfigurieren Ihres Outlook-Profils erhalten Sie einige zusätzliche Eingabeaufforderungen.
Hybrid-Öffentliche Ordner	Unterstützt, keine zusätzlichen Eingabeaufforderungen.	Mit moderner Authentifizierung für Exchange Online: Unterstützt mit normaler Authentifizierung für Exchange Online: Nicht unterstützt Öffentliche Hybridordner können nicht erweitert werden, wenn alternative IDs verwendet werden und daher heute nicht mit regulären Authentifizierungsmethoden verwendet werden sollten.
Standortübergreifende Delegierung	Siehe Konfigurieren von Exchange zur Unterstützung delegierter Postfachberechtigungen in einer Hybridbereitstellung	Siehe Konfigurieren von Exchange zur Unterstützung delegierter Postfachberechtigungen in einer Hybridbereitstellung
Archivpostfachzugriff (lokal postfach – Archiv in der Cloud)	Unterstützt, keine zusätzlichen Eingabeaufforderungen	Unterstützt – Benutzer erhalten beim Zugriff auf das Archiv eine zusätzliche Eingabeaufforderung für Anmeldeinformationen, wenn sie dazu aufgefordert werden, ihre alternative ID anzugeben.
Outlook Web Access	Unterstützt	Unterstützt
Outlook Mobile Apps für Android, IOS und Windows Phone	Unterstützt	Unterstützt
Skype for Business/ Lync	Unterstützt, ohne zusätzliche Eingabeaufforderungen	Unterstützt (außer wie angegeben), aber es besteht ein potenzielles für Benutzerverwechslungen. Auf mobilen Clients wird die Alternative ID nur unterstützt, wenn SIP-Adresse = E-Mail-Adresse = Alternative ID. Benutzer müssen sich möglicherweise zweimal beim Skype for Business-Desktopclient anmelden, zuerst den lokalen UPN und dann die alternative ID verwenden. (Beachten Sie, dass die "Anmeldeadresse" tatsächlich die SIP-Adresse ist, die möglicherweise nicht mit dem "Benutzernamen" identisch ist, obwohl häufig). Wenn der Benutzer das erste Mal zur Eingabe eines Benutzernamens aufgefordert wird, sollte er den UPN eingeben, auch wenn dieser fälschlicherweise mit der alternativen ID oder SIP-Adresse vorausgefüllt wurde. Nachdem der Benutzer versucht, sich mit dem UPN anzumelden, wird erneut die Eingabeaufforderung für den Benutzernamen angezeigt, wobei dieses Mal der UPN vorab eingefügt ist. Dieses Mal muss der Benutzer dies durch die alternative ID ersetzen und auf "Anmelden" klicken, um den Anmeldevorgang abzuschließen. Auf mobilen Clients sollten Benutzer die lokale Benutzer-ID auf der erweiterten Seite im SAM-Format (Domäne\Benutzername) und nicht im UPN-Format eingeben. Wenn Skype for Business oder Lync nach erfolgreicher Anmeldung sagt: "Exchange benötigt Ihre Anmeldeinformationen", müssen Sie die Anmeldeinformationen angeben, die für den Speicherort des Postfachs gültig sind. Wenn sich das Postfach in der Cloud befindet, müssen Sie die alternative ID angeben. Wenn das Postfach lokal ist, müssen Sie den lokalen UPN angeben.

Weitere Details und Überlegungen

• Microsoft Entra ID bietet verschiedene Features im Zusammenhang mit "Alternative Anmelde-ID"

  • Die Konfigurationsfunktion für alternative AD FS-Anmelde-IDs in Verbundumgebungen¹ für Identitätsinfrastrukturen, die in diesem Artikel beschrieben wird.
  • Die Microsoft Entra Connect-Synchronisierungskonfiguration, die definiert, welches lokale Attribut als Microsoft Entra-Benutzername (userPrincipalName) fürVerbund-1- oder^{verwaltete 2-Identitätsinfrastrukturumgebungen} verwendet wird, die teilweise in diesem Artikel behandelt werden.
  • Die Funktion zum Anmelden bei Microsoft Entra ID mit E-Mail-Adresse als alternativer Anmelde-ID für verwaltete² Umgebungen für Identitätsinfrastrukturen.

• Das in diesem Artikel beschriebene Feature "Alternative Anmelde-ID" ist für^{Verbund-1-Identitätsinfrastrukturumgebungen} verfügbar. Es wird in den folgenden Szenarien nicht unterstützt:

  • Ein AlternateLoginID-Attribut mit nicht routingfähigen Domänen (z. B. Contoso.local), das nicht von der Microsoft Entra-ID überprüft werden kann.
  • Verwaltete Umgebungen, für die AD FS nicht bereitgestellt wurde. Bitte lesen Sie entweder die Microsoft Entra Connect Sync-Dokumentation oder die Anmeldung bei Microsoft Entra ID mit E-Mail als alternative Anmelde-ID-Dokumentation . Wenn Sie die Microsoft Entra Connect-Synchronisierungskonfiguration in einer^{Verwalteten 2-Identitätsinfrastrukturumgebung} anpassen möchten, können die Anwendungen und die Benutzererfahrung nach dem zusätzlichen Konfigurationsabschnitt dieses Artikels weiterhin anwendbar sein, während die spezifische AD FS-Konfiguration nicht mehr anwendbar ist, da keine AD FS in einer Umgebung der verwalteten 2-Identitätsinfrastruktur bereitgestellt wird.

• Wenn diese Option aktiviert ist, ist das alternative Anmelde-ID-Feature nur für die Authentifizierung mit Benutzername/Kennwort für alle Benutzernamen-/Kennwortauthentifizierungsprotokolle verfügbar, die von AD FS (SAML-P, WS-Fed, WS-Trust und OAuth) unterstützt werden.

• Wenn windows Integrated Authentication (WIA) ausgeführt wird (z. B. wenn Benutzer versuchen, auf eine Unternehmensanwendung auf einem in die Domäne eingebundenen Computer über intranet zuzugreifen, und AD FS-Administrator hat die Authentifizierungsrichtlinie für die Verwendung von WIA für intranet konfiguriert), wird UPN für die Authentifizierung verwendet. Wenn Sie Anspruchsregeln für die vertrauenden Parteien für die alternative Anmelde-ID-Funktion konfiguriert haben, sollten Sie sicherstellen, dass diese Regeln im WIA-Fall weiterhin gültig sind.

• Wenn die Funktion für alternative Anmelde-IDs aktiviert ist, muss mindestens ein globaler Katalogserver vom AD FS-Server für jede von AD FS unterstützte Benutzerkonten-Gesamtstruktur erreichbar sein. Wenn ein globaler Katalogserver in der Benutzerkonten-Gesamtstruktur nicht erreichbar ist, greift AD FS auf die Verwendung von UPNs zurück. Standardmäßig sind alle Domänencontroller globale Katalogserver.

• Wenn aktiviert, schlägt die Anmeldung fehl, wenn der AD FS-Server mehr als ein Benutzerobjekt mit demselben alternativen Anmelde-ID-Wert findet, der in allen konfigurierten Benutzerkontenverzeichnissen angegeben ist.

• Wenn die alternative Anmelde-ID-Funktion aktiviert ist, versucht AD FS, den Endbenutzer zuerst mit alternativer Anmelde-ID zu authentifizieren und dann auf die Verwendung von UPN zurückzugreifen, wenn es kein Konto finden kann, das durch die alternative Anmelde-ID identifiziert werden kann. Sie sollten sicherstellen, dass es keine Konflikte zwischen der alternativen Anmelde-ID und dem UPN gibt, wenn Sie die UPN-Anmeldung weiterhin unterstützen möchten. Das Festlegen des E-Mail-Attributs mit dem UPN des anderen Benutzers blockiert beispielsweise die Anmeldung mit seinem UPN.

• Wenn eine der vom Administrator konfigurierten Gesamtstrukturen ausfällt, sucht AD FS weiterhin in den anderen konfigurierten Gesamtstrukturen nach einem Benutzerkonto mit alternativer Anmelde-ID. Wenn der AD FS-Server in den durchsuchten Gesamtstrukturen ein eindeutiges Benutzerobjekt findet, kann sich ein Benutzer erfolgreich anmelden.

• Möglicherweise möchten Sie auch die AD FS-Anmeldeseite anpassen, um Endbenutzern einen Hinweis auf die alternative Anmelde-ID zu geben. Sie können dies tun, indem Sie entweder die benutzerdefinierte Beschreibung der Anmeldeseite hinzufügen (weitere Informationen finden Sie unter Anpassen der AD FS-Anmeldeseiten oder Anpassen der Zeichenfolge "Anmelden mit Organisationskonto" oberhalb des Benutzernamenfelds (weitere Informationen finden Sie unter "Erweiterte Anpassung von AD FS-Anmeldeseiten".

• Der neue Anspruchstyp, der den alternativen Anmelde-ID-Wert enthält, ist http:schemas.microsoft.com/ws/2013/11/alternateloginid

¹ Eine Verbundidentitätsinfrastrukturumgebung stellt eine Umgebung mit einem Identitätsanbieter wie AD FS oder einem anderen DRITTANBIETER-IDP dar.

² Bei einer verwalteten Umgebung für Identitätsinfrastrukturen handelt es sich um eine Umgebung mit Microsoft Entra ID als Identitätsanbieter, die entweder mit Kennworthashsynchronisierung (PHS) oder mit Passthrough-Authentifizierung (PTA) bereitgestellt wird.

Ereignisse und Leistungsindikatoren

Die folgenden Leistungsindikatoren wurden hinzugefügt, um die Leistung von AD FS-Servern zu messen, wenn alternative Anmelde-ID aktiviert ist:

• Alternative Anmelde-ID-Authentifizierungen: Anzahl der Authentifizierungen, die mithilfe alternativer Anmelde-ID ausgeführt werden

• Alternative Anmelde-ID-Authentifizierungen/Sek.: Anzahl der Authentifizierungen, die mithilfe alternativer Anmelde-ID pro Sekunde ausgeführt werden

• Durchschnittliche Suchlatenz für alternative Anmelde-ID: Die durchschnittliche Suchlatenz in den Gesamtstrukturen, die ein Administrator für die alternative Anmelde-ID konfiguriert hat

Im Folgenden finden Sie verschiedene Fehlerfälle und entsprechende Auswirkungen auf die Anmeldeerfahrung eines Benutzers mit ereignissen, die von AD FS protokolliert werden:

Fehlerfälle	Auswirkungen auf die Anmeldeerfahrung	Ereignis
Ein Wert für SAMAccountName für das Benutzerobjekt kann nicht abgerufen werden.	Anmeldefehler	Ereignis-ID 364 mit Ausnahmemeldung MSIS8012: SamAccountName für den Benutzer konnte nicht gefunden werden: '{0}'.
Auf das CanonicalName-Attribut kann nicht zugegriffen werden.	Anmeldefehler	Ereignis-ID 364 mit Ausnahmemeldung MSIS8013: CanonicalName „{0}“ des Benutzers „{1}“ weist ein ungültiges Format auf.
Mehrere Benutzerobjekte werden in einem Wald gefunden.	Anmeldefehler	Ereignis-ID 364 mit Ausnahmemeldung MSIS8015: Für die Identität „{0}“ wurden in der Gesamtstruktur „{1}“ mehrere Benutzerkonten mit Identitäten gefunden: {2}
Es wurden mehrere Benutzerobjekte in mehreren Gesamtstrukturen gefunden.	Anmeldefehler	Ereignis-ID 364 mit Ausnahmemeldung MSIS8014: Für die Identität „{0}“ wurden in den Gesamtstrukturen mehrere Benutzerkonten gefunden: {1}

Siehe auch

AD FS-Vorgänge