Megosztás a következőn keresztül:

Bejelentkezés a Microsoft Entra ID-hez e-mailben, alternatív bejelentkezési azonosítóként (előnézet)

Megjegyzés

E-mail használatával való bejelentkezés a Microsoft Entra ID-ba alternatív bejelentkezési azonosítóként a Microsoft Entra ID nyilvános előzetes verziójának egy funkciója. Az előzetes verziókkal kapcsolatos további információkért tekintse meg a Microsoft Azure Előzetes verzió kiegészítő használati feltételeit.

Számos szervezet szeretné engedélyezni, hogy a felhasználók a helyszíni címtárkörnyezetükkel azonos hitelesítő adatokkal jelentkezzenek be a Microsoft Entra-azonosítóba. Ezzel a hibrid hitelesítéssel a felhasználóknak csak egy hitelesítő adatkészletet kell megjegyeznie.

Egyes szervezetek a következő okok miatt nem váltanak át hibrid hitelesítésre:

  • Alapértelmezés szerint a Microsoft Entra felhasználónév (UPN) értéke megegyezik a helyszíni UPN értékével.
  • A Microsoft Entra UPN módosítása eltérést okoz a helyszíni és a Microsoft Entra-környezetek között, ami problémákat okozhat bizonyos alkalmazásokkal és szolgáltatásokkal kapcsolatban.
  • Üzleti vagy megfelelőségi okokból a szervezet nem szeretné a helyszíni UPN-t használni a Microsoft Entra-azonosítóba való bejelentkezéshez.

A hibrid hitelesítés felé való váltáshoz konfigurálhatja a Microsoft Entra-azonosítót, hogy a felhasználók másodlagos bejelentkezési azonosítóként jelentkezzenek be az e-mailükkel. Ha például a Contoso át lett állítva a Fabrikamra, ahelyett, hogy továbbra is bejelentkezett volna az örökölt ana@contoso.com UPN-nel, használhatja az e-maileket másodlagos bejelentkezési azonosítóként. Egy alkalmazás vagy szolgáltatás eléréséhez a felhasználók a nem UPN-alapú e-mailjeik használatával jelentkeznek be a Microsoft Entra-azonosítóba, például ana@fabrikam.com.

Az e-mail másodlagos bejelentkezési azonosítóként való ábrázolása.

Ez a cikk bemutatja, hogyan engedélyezheti és használhatja az e-maileket másodlagos bejelentkezési azonosítóként.

Mielőtt elkezdené

Az e-mailről az alábbiakat kell tudnia másodlagos bejelentkezési azonosítóként:

  • A funkció a Microsoft Entra ID Free kiadásban és újabb verziókban érhető el.
  • A szolgáltatás lehetővé teszi a ProxyAddresses szolgáltatással való bejelentkezést az UPN mellett a felhőalapú Microsoft Entra-felhasználók számára. A B2B szakaszban további információ arról, hogy ez hogyan vonatkozik a Microsoft Entra vállalatok közötti ( B2B ) együttműködésére.
  • Ha egy felhasználó nem UPN-alapú e-maillel jelentkezik be, az unique_name és preferred_username követelések (ha jelen vannak) az azonosító tokenben visszaadják a nem UPN-alapú e-mailt.
    • Ha a használatban lévő, nem UPN e-mail megszűnik a felhasználóhoz tartozni, akkor ezek az állítások helyette az UPN-t fogják visszaadni.
  • A szolgáltatás támogatja a felügyelt hitelesítést jelszókivonat-szinkronizálással (PHS) vagy átmenő hitelesítéssel (PTA).
  • A funkció konfigurálásának két lehetősége van:
    • Home Realm Discovery (HRD) szabályzat – Ezzel a beállítással engedélyezheti a szolgáltatást a teljes bérlő számára. Legalább az alkalmazásadminisztrátori szerepkör szükséges.
    • Szakaszos bevezetési szabályzat – Ezzel a beállítással teszteli a funkciót adott Microsoft Entra-csoportokkal. Amikor először ad hozzá biztonsági csoportot a szakaszos bevezetéshez, 200 felhasználóra van korlátozva, hogy elkerülje a UX időtúllépését. Miután hozzáadta a csoportot, szükség szerint további felhasználókat is hozzáadhat közvetlenül hozzá.

Előzetes verzióra vonatkozó korlátozások

Az aktuális előzetes verziójú állapotban az alábbi korlátozások vonatkoznak az e-mailekre másodlagos bejelentkezési azonosítóként:

  • Felhasználói élmény – A felhasználók akkor is láthatják az UPN-jüket, ha nem UPN-alapú e-mailükkel jelentkeztek be. A következő példa viselkedése látható:

    • A rendszer arra kéri a felhasználót, hogy jelentkezzen be az UPN-el, amikor a login_hint=<non-UPN email> használatával bejelentkezik a Microsoft Entra-ba.
    • Ha egy felhasználó nem UPN-alapú e-maillel jelentkezik be, és helytelen jelszót ad meg, a "Jelszó megadása" oldal megváltozik az UPN megjelenítéséhez.
    • Egyes Microsoft-webhelyeken és -alkalmazásokban, például a Microsoft Office-ban a jobb felső sarokban megjelenő Fiókkezelő vezérlő a bejelentkezéshez használt nem UPN-alapú e-mail helyett a felhasználó UPN-jét jelenítheti meg.

  • Nem támogatott folyamatok – Egyes folyamatok jelenleg nem kompatibilisek a nem UPN-alapú e-mailekkel, például az alábbiakkal:

    • A Microsoft Entra ID Protection nem egyezik meg a nem UPN-alapú e-mailekkel a kiszivárgott hitelesítő adatok kockázatának észlelésében. Ez a kockázatészlelés az UPN használatával azonosítja a kiszivárgott hitelesítő adatokat. További információért lásd: Hogyan vizsgáljuk a kockázatot.
    • Ha egy felhasználó nem UPN-alapú e-maillel van bejelentkezve, nem módosíthatja a jelszavát. A Microsoft Entra önkiszolgáló jelszó-visszaállításnak (SSPR) a várt módon kell működnie. Az SSPR során a felhasználó láthatja az UPN-jét, ha nem UPN-alapú e-mail használatával ellenőrzi személyazonosságát.

  • Nem támogatott forgatókönyvek – A következő forgatókönyvek nem támogatottak. Bejelentkezés nem UPN-alapú e-mail-címmel a következőhöz:

  • Nem támogatott alkalmazások – Előfordulhat, hogy egyes külső alkalmazások nem a várt módon működnek, ha azt feltételezik, hogy unique_name vagy preferred_username jogosultságok nem módosíthatók, vagy mindig megfelelnek egy adott felhasználói attribútumnak, például az UPN-nek.

  • Naplózás – A szolgáltatás konfigurációjában a HRD-házirendben végrehajtott módosítások nem jelennek meg explicit módon az auditnaplókban.

  • Szakaszos bevezetési szabályzat – A következő korlátozások csak akkor érvényesek, ha a szolgáltatás szakaszos bevezetési szabályzattal van engedélyezve:

    • A szolgáltatás nem a várt módon működik a többi többfázisos kiadási szabályzatban szereplő felhasználók esetében.
    • A többfázisos kiadási szabályzat funkciónként legfeljebb 10 csoportot támogat.
    • A többfázisos kiadási szabályzat nem támogatja a beágyazott csoportokat.
    • A szakaszos bevezetési szabályzat nem támogatja a dinamikus tagsági csoportokat.
    • A csoporton belüli névjegyobjektumok megakadályozzák a csoport hozzáadását egy fokozatos bevezetési szabályzathoz.

  • Ismétlődő értékek – Egy bérlőn belül a csak felhőalapú felhasználó UPN-jének értéke megegyezhet a helyszíni címtárból szinkronizált másik felhasználó proxycímével. Ebben a forgatókönyvben, ha a funkció engedélyezve van, a csak felhőbeli felhasználó nem tud bejelentkezni az UPN-jével. Erről a problémáról a Hibaelhárítás szakaszban olvashat bővebben.

Az alternatív bejelentkezési azonosítók beállításainak áttekintése

A Microsoft Entra-azonosítóba való bejelentkezéshez a felhasználók olyan értéket adnak meg, amely egyedileg azonosítja a fiókjukat. Korábban csak a Microsoft Entra UPN-t használhatta bejelentkezési azonosítóként.

Azoknak a szervezeteknek, ahol a helyszíni UPN a felhasználó által előnyben részesített bejelentkezési e-mail, ez a módszer nagyszerű volt. Ezek a szervezetek pontosan ugyanazt az értéket állítják be a Microsoft Entra UPN-hez, mint a helyszíni UPN, a felhasználók pedig konzisztens bejelentkezési felülettel rendelkeznek.

Alternatív bejelentkezési azonosító az AD FS-hez

Egyes szervezetekben azonban a helyszíni UPN nem használható bejelentkezési azonosítóként. A helyszíni környezetekben úgy konfigurálná a helyi AD DS-t, hogy alternatív bejelentkezési azonosítóval engedélyezze a bejelentkezést. A Microsoft Entra UPN beállítása a helyszíni UPN-vel azonos értékre nem lehetséges, mivel a Microsoft Entra-azonosító ezután megköveteli a felhasználóktól, hogy ezzel az értékkel jelentkezzenek be.

Másodlagos bejelentkezési azonosító a Microsoft Entra Connectben

A probléma tipikus kerülő megoldása az volt, hogy a Microsoft Entra UPN-t arra az e-mail-címre állította be, amellyel a felhasználó várhatóan bejelentkezik. Ez a megközelítés működik, de a helyszíni AD és a Microsoft Entra ID között különböző UPN-eket eredményez, és ez a konfiguráció nem kompatibilis az összes Microsoft 365-számítási feladattal.

E-mail másodlagos bejelentkezési azonosítóként

Egy másik módszer a Microsoft Entra-azonosító és a helyszíni UPN-k ugyanazon értékre való szinkronizálása, majd a Microsoft Entra-azonosító konfigurálása, hogy a felhasználók ellenőrzött e-maillel jelentkezzenek be a Microsoft Entra-azonosítóba. Ennek a lehetőségnek a biztosításához meg kell adnia egy vagy több e-mail-címet a felhasználó ProxyAddresses attribútumában a helyszíni címtárban. A ProxyAddresses ezután automatikusan szinkronizálódik a Microsoft Entra ID-ra a Microsoft Entra Connect használatával.

Lehetőség Leírás
Alternatív bejelentkezési azonosító az AD FS-hez Engedélyezze a bejelentkezést egy alternatív attribútummal (például Posta) az AD FS-felhasználók számára.
Másodlagos bejelentkezési azonosító a Microsoft Entra Connectben Szinkronizáljon egy másik attribútumot (például a Posta) a Microsoft Entra UPN-ként.
E-mail másodlagos bejelentkezési azonosítóként Engedélyezze a bejelentkezést az ellenőrzött tartomány proxycímeivel a Microsoft Entra-felhasználók számára.

Bejelentkezési e-mail-címek szinkronizálása a Microsoft Entra-azonosítóval

A hagyományos Active Directory tartományi szolgáltatások (AD DS) vagy az Active Directory összevonási szolgáltatások (AD FS) hitelesítése közvetlenül a hálózaton történik, és az AD DS-infrastruktúra kezeli. Hibrid hitelesítéssel a felhasználók ehelyett közvetlenül a Microsoft Entra-azonosítóba jelentkezhetnek be.

A hibrid hitelesítési módszer támogatásához szinkronizálja a helyszíni AD DS-környezetet a Microsoft Entra Id-ra a Microsoft Entra Connect használatával, és konfigurálja phS vagy PTA használatára. További információ: A Microsoft Entra hibrid identitáskezelési megoldás megfelelő hitelesítési módszerének kiválasztása.

Mindkét konfigurációs beállításban a felhasználó elküldi a felhasználó felhasználónevét és jelszavát a Microsoft Entra-azonosítónak, amely ellenőrzi a hitelesítő adatokat, és kiad egy jegyet. Amikor a felhasználók bejelentkeznek a Microsoft Entra-azonosítóba, az szükségtelenné teszi a szervezet számára az AD FS-infrastruktúra üzemeltetését és kezelését.

A Microsoft Entra Connect által automatikusan szinkronizált felhasználói attribútumok egyike a ProxyAddresses. Ha a felhasználók email címe a ProxyAddresses attribútumként van meghatározva a helyszíni AD DS-környezetben, az automatikusan szinkronizálódik a Microsoft Entra ID-vel. Ez az e-mail-cím ezután közvetlenül a Microsoft Entra bejelentkezési folyamatában használható másodlagos bejelentkezési azonosítóként.

Fontos

A rendszer csak a bérlő ellenőrzött tartományaiban lévő e-maileket szinkronizálja a Microsoft Entra-azonosítóval. Minden Microsoft Entra-bérlő rendelkezik egy vagy több ellenőrzött tartománnyal, amelynek tulajdonjoga bizonyított, és amely egyedileg kötődik a bérlőhöz.

További információ: Egyéni tartománynév hozzáadása és ellenőrzése a Microsoft Entra-azonosítóban.

B2B vendégfelhasználói bejelentkezés e-mail-címmel

A B 2 B vendégfelhasználói bejelentkezés másodlagos bejelentkezési azonosítójaként szolgáló e-mail diagramja.

Az e-mail cím használata alternatív bejelentkezési azonosítóként érvényes a Microsoft Entra B2B együttműködésre, a "hozd magaddal a saját bejelentkezési azonosítóidat" modell keretében. Ha az e-mail másodlagos bejelentkezési azonosítóként engedélyezve van az otthoni bérlőben, a Microsoft Entra-felhasználók nem UPN-alapú e-mailekkel jelentkezhetnek be az erőforrás-bérlő végpontján. A funkció engedélyezéséhez nincs szükség műveletre az erőforrás-bérlőtől.

Megjegyzés

Ha alternatív bejelentkezési azonosítót használ egy olyan erőforrás-bérlő végponton, ahol a funkció nincs engedélyezve, akkor a bejelentkezési folyamat továbbra is zökkenőmentes lesz, de az egyszeri bejelentkezés (SSO) megszakad.

Felhasználói bejelentkezés engedélyezése e-mail-címmel

Megjegyzés

Ez a konfigurációs beállítás HRD-szabályzatot használ. További információ: homeRealmDiscoveryPolicy erőforrástípus.

Miután a ProxyAddresses attribútummal rendelkező felhasználók szinkronizálva lettek a Microsoft Entra-azonosítóval a Microsoft Entra Connect használatával, engedélyeznie kell a funkciót, hogy a felhasználók másodlagos bejelentkezési azonosítóként jelentkezzenek be e-mailben a bérlőhöz. Ez a funkció arra utasítja a Microsoft Entra bejelentkezési kiszolgálóit, hogy ne csak a bejelentkezési azonosítót ellenőrizze az UPN-értékeken, hanem az e-mail-cím ProxyAddresses értékein is.

A funkció beállításához használhatja a Microsoft Entra Felügyeleti központot vagy a Graph PowerShellt.

Microsoft Entra felügyeleti központ

  1. Jelentkezzen be a Microsoft Entra felügyeleti központba legalább hibrid identitásadminisztrátorként.

  2. Keresse fel a Entra ID>Entra Connect>Connect Sync lehetőséget.

  3. Válassza az E-mail lehetőséget másodlagos bejelentkezési azonosítóként**.

    Képernyőkép az e-mail másodlagos bejelentkezési azonosítóként való beállításáról a Microsoft Entra Felügyeleti központban.

  4. Kattintson az E-mail melletti jelölőnégyzetre másodlagos bejelentkezési azonosítóként.

  5. Kattintson a Mentés gombra.

    Képernyőkép az e-mail másodlagos bejelentkezési azonosító paneljéről a Microsoft Entra Felügyeleti központban.

A szabályzat alkalmazásával akár egy órát is igénybe vehet a propagálás, és a felhasználók a másodlagos bejelentkezési azonosítójukkal jelentkezhetnek be.

PowerShell

Megjegyzés

Ez a konfigurációs beállítás HRD-szabályzatot használ. További információ: homeRealmDiscoveryPolicy erőforrástípus.

Miután a ProxyAddresses attribútummal rendelkező felhasználók szinkronizálva lettek a Microsoft Entra-azonosítóval a Microsoft Entra Connect használatával, engedélyeznie kell a funkciót, hogy a felhasználók másodlagos bejelentkezési azonosítóként jelentkezzenek be az e-mailekkel a bérlőhöz. Ez a funkció arra utasítja a Microsoft Entra bejelentkezési kiszolgálóit, hogy ne csak a bejelentkezési azonosítót ellenőrizze az UPN-értékeken, hanem az e-mail-cím ProxyAddresses értékein is.

  1. Nyisson meg egy PowerShell-munkamenetet rendszergazdaként, majd telepítse a Microsoft.Graph modult a Install-Module parancsmag használatával:

    Install-Module Microsoft.Graph

    További információ a telepítésről: A Microsoft Graph PowerShell SDK telepítése.

  2. Jelentkezzen be a Microsoft Entra-bérlőbe a Connect-MgGraph parancsmag használatával:

    Connect-MgGraph -Scopes "Policy.ReadWrite.ApplicationConfiguration" -TenantId organizations

    A parancs kérni fogja a hitelesítést egy webböngésző használatával.

  3. Ellenőrizze, hogy már létezik-e HomeRealmDiscoveryPolicy a bérlőben az alábbiak szerint a parancsmag használatával:

    Get-MgPolicyHomeRealmDiscoveryPolicy

  4. Ha jelenleg nincs konfigurálva szabályzat, a parancs semmit sem ad vissza. ** Ha egy szabályzatot visszakapnak, hagyja ki ezt a lépést, és lépjen a következő lépésre egy meglévő szabályzat frissítéséhez.

    A HomeRealmDiscoveryPolicy bérlőhöz való hozzáadásához használja a New-MgPolicyHomeRealmDiscoveryPolicy parancsmagot, és állítsa az AlternateIdLogin attribútumot "Engedélyezve" értékre: igaz , ahogyan az alábbi példában látható:

    $AzureADPolicyDefinition = @(
  @{
     "HomeRealmDiscoveryPolicy" = @{
        "AlternateIdLogin" = @{
           "Enabled" = $true
        }
     }
  } | ConvertTo-JSON -Compress
)

$AzureADPolicyParameters = @{
  Definition            = $AzureADPolicyDefinition
  DisplayName           = "BasicAutoAccelerationPolicy"
  AdditionalProperties  = @{ IsOrganizationDefault = $true }
}

New-MgPolicyHomeRealmDiscoveryPolicy @AzureADPolicyParameters

    A szabályzat sikeres létrehozása után a parancs visszaadja a szabályzat azonosítóját, ahogyan az a következő példakimenetben is látható:

    Definition                                                           DeletedDateTime Description DisplayName                 Id            IsOrganizationDefault
----------                                                           --------------- ----------- -----------                 --            ---------------------
{{"HomeRealmDiscoveryPolicy":{"AlternateIdLogin":{"Enabled":true}}}}                             BasicAutoAccelerationPolicy HRD_POLICY_ID True

  5. Ha már van konfigurált szabályzat, ellenőrizze, hogy engedélyezve van-e az AlternateIdLogin attribútum, ahogyan az alábbi példaszabályzat kimenetében látható:

    Definition                                                           DeletedDateTime Description DisplayName                 Id            IsOrganizationDefault
----------                                                           --------------- ----------- -----------                 --            ---------------------
{{"HomeRealmDiscoveryPolicy":{"AlternateIdLogin":{"Enabled":true}}}}                             BasicAutoAccelerationPolicy HRD_POLICY_ID True

    Ha a szabályzat létezik, de az AlternateIdLogin attribútum nem található vagy engedélyezve van, vagy ha más attribútumok is léteznek a megőrizni kívánt házirenden, frissítse a meglévő szabályzatot a Update-MgPolicyHomeRealmDiscoveryPolicy parancsmaggal.

    Fontos

    A szabályzat frissítésekor mindenképpen adja meg a régi beállításokat és az új AlternateIdLogin attribútumot.

    Az alábbi példa hozzáadja az AlternateIdLogin attribútumot, és megőrzi a korábban beállított AllowCloudPasswordValidation attribútumot:

    $AzureADPolicyDefinition = @(
  @{
     "HomeRealmDiscoveryPolicy" = @{
        "AllowCloudPasswordValidation" = $true
        "AlternateIdLogin" = @{
           "Enabled" = $true
        }
     }
  } | ConvertTo-JSON -Compress
)

$AzureADPolicyParameters = @{
  HomeRealmDiscoveryPolicyId = "HRD_POLICY_ID"
  Definition                 = $AzureADPolicyDefinition
  DisplayName                = "BasicAutoAccelerationPolicy"
  AdditionalProperties       = @{ "IsOrganizationDefault" = $true }
}

Update-MgPolicyHomeRealmDiscoveryPolicy @AzureADPolicyParameters

    Ellenőrizze, hogy a frissített szabályzat megjeleníti-e a módosításokat, és hogy az AlternateIdLogin attribútum engedélyezve van-e:

    Get-MgPolicyHomeRealmDiscoveryPolicy

Megjegyzés

A szabályzat alkalmazásával a propagálás akár egy órát is igénybe vehet, és a felhasználók másodlagos bejelentkezési azonosítóként használhatják az e-maileket.

Szabályzatok eltávolítása

HRD-szabályzat eltávolításához használja a Remove-MgPolicyHomeRealmDiscoveryPolicy parancsmagot:

Remove-MgPolicyHomeRealmDiscoveryPolicy -HomeRealmDiscoveryPolicyId "HRD_POLICY_ID"

Szakaszos bevezetés engedélyezése a felhasználói bejelentkezés e-mail-címmel való teszteléséhez

Megjegyzés

Ez a konfigurációs beállítás szakaszos bevezetési szabályzatot használ. További információ: featureRolloutPolicy erőforrástípus.

A szakaszos bevezetési szabályzat lehetővé teszi, hogy a bérlői rendszergazdák bizonyos Microsoft Entra-csoportok funkcióit engedélyezhessék. Javasoljuk, hogy a bérlői rendszergazdák szakaszos bevezetéssel teszteljék a felhasználói bejelentkezést egy e-mail-címmel. Ha a rendszergazdák készen állnak a szolgáltatás teljes bérlőre való üzembe helyezésére, akkor HRD-szabályzatot kell használniuk.

  1. Nyisson meg egy PowerShell-munkamenetet rendszergazdaként, majd telepítse a Microsoft.Graph.Béta modult az Install-Module parancsmaggal:

    Install-Module Microsoft.Graph.Beta

    Ha a rendszer kéri, válassza az Y lehetőséget a NuGet telepítéséhez vagy egy nem megbízható adattárból való telepítéshez.

  2. Jelentkezzen be a Microsoft Entra-bérlőbe a Connect-MgGraph parancsmaggal:

    Connect-MgGraph -Scopes "Directory.ReadWrite.All"

    A parancs a fiók, a környezet és a bérlőazonosító adatait adja vissza.

  3. Az alábbi parancsmaggal listázhatja az összes meglévő szakaszos bevezetési szabályzatot:

    Get-MgBetaPolicyFeatureRolloutPolicy

  4. Ha ehhez a funkcióhoz nincsenek meglévő szakaszos bevezetési szabályzatok, hozzon létre egy új szakaszos bevezetési szabályzatot, és jegyezze fel a szabályzat azonosítóját:

    $MgPolicyFeatureRolloutPolicy = @{
Feature    = "EmailAsAlternateId"
DisplayName = "EmailAsAlternateId Rollout Policy"
IsEnabled   = $true
}
New-MgBetaPolicyFeatureRolloutPolicy @MgPolicyFeatureRolloutPolicy

  5. Keresse meg a szakaszos telepítési szabályzathoz hozzáadni kívánt csoport címtár-objektum azonosítóját. Jegyezze fel az Id paraméter visszaadott értékét, mert a következő lépésben ezt fogja használni.

    Get-MgBetaGroup -Filter "DisplayName eq 'Name of group to be added to the staged rollout policy'"

  6. Adja hozzá a csoportot a szakaszos bevezetési szabályzathoz az alábbi példában látható módon. Cserélje le a -FeatureRolloutPolicyId paraméter értékét a 4. lépésben a szabályzatazonosítóhoz visszaadott értékre, és cserélje le az -OdataId paraméter értékét az 5. lépésben feljegyzett azonosítóra . Akár 1 órát is igénybe vehet, amíg a csoport felhasználói másodlagos bejelentkezési azonosítóként e-mailben bejelentkezhetnek a Microsoft Entra-azonosítóba.

    New-MgBetaDirectoryFeatureRolloutPolicyApplyToByRef `
   -FeatureRolloutPolicyId "ROLLOUT_POLICY_ID" `
   -OdataId "https://graph.microsoft.com/v1.0/directoryObjects/{GROUP_OBJECT_ID}"

A csoporthoz hozzáadott új tagok esetében akár 24 órát is igénybe vehet, amíg másodlagos bejelentkezési azonosítóként e-mailben bejelentkezhetnek a Microsoft Entra-azonosítóba.

Csoportok eltávolítása

Ha el szeretne távolítani egy csoportot egy szakaszos bevezetési szabályzatból, futtassa a következő parancsot:

Remove-MgBetaPolicyFeatureRolloutPolicyApplyToByRef -FeatureRolloutPolicyId "ROLLOUT_POLICY_ID" -DirectoryObjectId "GROUP_OBJECT_ID"

Szabályzatok eltávolítása

Szakaszos bevezetési szabályzat eltávolításához először tiltsa le a szabályzatot, majd távolítsa el a rendszerből:

Update-MgBetaPolicyFeatureRolloutPolicy -FeatureRolloutPolicyId "ROLLOUT_POLICY_ID" -IsEnabled:$false 
Remove-MgBetaPolicyFeatureRolloutPolicy -FeatureRolloutPolicyId "ROLLOUT_POLICY_ID"

Felhasználói bejelentkezés tesztelése e-mail-címmel

Annak ellenőrzéséhez, hogy a felhasználók bejelentkezhetnek-e e-mailben, lépjen https://myprofile.microsoft.com be egy nem UPN-alapú e-maillel, például balas@fabrikam.com. A bejelentkezési felületnek ugyanúgy kell kinéznie és éreznie, mint az UPN-nel való bejelentkezésnek.

Hibaelhárítás

Ha a felhasználóknak nem sikerül bejelentkezniük az e-mail-címükkel, tekintse át az alábbi hibaelhárítási lépéseket:

  1. Győződjön meg arról, hogy legalább 1 órát eltelt azóta, hogy az e-mailt mint alternatív bejelentkezési azonosítót engedélyezték. Ha a felhasználó nemrég lett hozzáadva egy csoporthoz a szakaszos bevezetési szabályzathoz, győződjön meg arról, hogy legalább 24 óra telt el azóta, hogy hozzáadták őket a csoporthoz.

  2. HRD-szabályzat használata esetén győződjön meg arról, hogy a Microsoft Entra ID HomeRealmDiscoveryPolicy tulajdonságban az AlternateIdLogin definíciótulajdonság értéke "Enabled": true, és az IsOrganizationDefault tulajdonság értéke Igaz:

    Get-MgBetaPolicyHomeRealmDiscoveryPolicy | Format-List *

    Ha szakaszos bevezetési szabályzatot használ, győződjön meg arról, hogy a Microsoft Entra ID FeatureRolloutPolicyIsEnabled tulajdonsága be van állítva Igaz-ra.

    Get-MgBetaPolicyFeatureRolloutPolicy

  3. Győződjön meg arról, hogy a felhasználói fiók e-mail-címe be van állítva a Microsoft Entra ID ProxyAddresses attribútumában.

Bejelentkezési naplók

Képernyőkép a Microsoft Entra bejelentkezési naplóiról, amelyek az e-maileket másodlagos bejelentkezési azonosítóként jelenítik meg.

További információért tekintse át a bejelentkezési naplókat a Microsoft Entra-azonosítóban . A másodlagos bejelentkezési azonosítóként e-mailes bejelentkezések a proxyAddress és a bejelentkezési azonosító mezőben megadott felhasználónevet fogják kibocsátni.

Ellentétes értékek a csak felhőalapú és a szinkronizált felhasználók között

A bérlőn belül a csak felhőalapú felhasználó UPN-jének értéke megegyezhet a helyszíni címtárból szinkronizált másik felhasználó proxycímével. Ebben a forgatókönyvben, ha a funkció engedélyezve van, a csak felhőbeli felhasználó nem tud bejelentkezni az UPN-jével. Az alábbiakban bemutatjuk a probléma példányainak észlelésének lépéseit.

  1. Nyisson meg egy PowerShell-munkamenetet rendszergazdaként, majd telepítse a Microsoft Graphot az Install-Module parancsmaggal:

    Install-Module Microsoft.Graph.Authentication

    Ha a rendszer kéri, válassza az Y lehetőséget a NuGet telepítéséhez vagy egy nem megbízható adattárból való telepítéshez.

  2. Csatlakozás a Microsoft Graphhoz:

    Connect-MgGraph -Scopes "User.Read.All"

  3. Érintett felhasználók listázása.

    # Get all users
$allUsers = Get-MgUser -All

# Get list of proxy addresses from all synced users
$syncedProxyAddresses = $allUsers |
    Where-Object {$_.ImmutableId} |
    Select-Object -ExpandProperty ProxyAddresses |
    ForEach-Object {$_ -Replace "smtp:", ""}

# Get list of user principal names from all cloud-only users
$cloudOnlyUserPrincipalNames = $allUsers |
    Where-Object {!$_.ImmutableId} |
    Select-Object -ExpandProperty UserPrincipalName

# Get intersection of two lists
$duplicateValues = $syncedProxyAddresses |
    Where-Object {$cloudOnlyUserPrincipalNames -Contains $_}

  4. Az érintett felhasználók megjelenítése:

    # Output affected synced users
$allUsers |
    Where-Object {$_.ImmutableId -And ($_.ProxyAddresses | Where-Object {($duplicateValues | ForEach-Object {"smtp:$_"}) -Contains $_}).Length -GT 0} |
    Select-Object ObjectId, DisplayName, UserPrincipalName, ProxyAddresses, ImmutableId, UserType

# Output affected cloud-only users
$allUsers |
    Where-Object {!$_.ImmutableId -And $duplicateValues -Contains $_.UserPrincipalName} |
    Select-Object ObjectId, DisplayName, UserPrincipalName, ProxyAddresses, ImmutableId, UserType

  5. Az érintett felhasználók exportálása CSV fájlba:

    # Output affected users to CSV
$allUsers |
    Where-Object {
        ($_.ImmutableId -And ($_.ProxyAddresses | Where-Object {($duplicateValues | ForEach-Object {"smtp:$_"}) -Contains $_}).Length -GT 0) -Or
        (!$_.ImmutableId -And $duplicateValues -Contains $_.UserPrincipalName)
    } |
    Select-Object ObjectId, DisplayName, UserPrincipalName, @{n="ProxyAddresses"; e={$_.ProxyAddresses -Join ','}}, @{n="IsSyncedUser"; e={$_.ImmutableId.Length -GT 0}}, UserType |
    Export-Csv -Path .\AffectedUsers.csv -NoTypeInformation

Következő lépések

A hibrid identitással, például a Microsoft Entra alkalmazásproxyval vagy a Microsoft Entra Domain Services szolgáltatással kapcsolatos további információkért tekintse meg a Microsoft Entra hibrid identitást a helyszíni számítási feladatok eléréséhez és kezeléséhez.

A hibrid identitásműveletekkel kapcsolatos további információkért tekintse meg a jelszókivonat-szinkronizálás vagy az átmenő hitelesítés szinkronizálásának működését.