Bagikan melalui

Masuk ke MICROSOFT Entra ID dengan email sebagai ID masuk alternatif (Pratinjau)

  • Artikel

Nota

Masuk ke MICROSOFT Entra ID dengan email sebagai ID masuk alternatif adalah fitur pratinjau publik ID Microsoft Entra. Untuk informasi selengkapnya tentang pratinjau, lihat Ketentuan Penggunaan Tambahan untuk Pratinjau Microsoft Azure.

Banyak organisasi ingin mengizinkan pengguna masuk ke MICROSOFT Entra ID menggunakan kredensial yang sama dengan lingkungan direktori lokal mereka. Dengan pendekatan ini, yang dikenal sebagai autentikasi hibrid, pengguna hanya perlu mengingat satu set kredensial.

Beberapa organisasi belum pindah ke autentikasi hibrid karena alasan berikut:

  • Secara default, Nama Prinsipal Pengguna (UPN) Microsoft Entra diatur ke nilai yang sama dengan UPN lokal.
  • Mengubah Microsoft Entra UPN menciptakan ketidakcocokan antara lingkungan lokal dan Microsoft Entra yang dapat menyebabkan masalah dengan aplikasi dan layanan tertentu.
  • Karena alasan bisnis atau kepatuhan, organisasi tidak ingin menggunakan UPN lokal untuk masuk ke ID Microsoft Entra.

Untuk berpindah ke autentikasi hibrid, Anda dapat mengonfigurasi ID Microsoft Entra untuk memungkinkan pengguna masuk dengan email mereka sebagai ID masuk alternatif. Misalnya, jika Contoso berganti nama menjadi Fabrikam, daripada terus masuk dengan UPN warisan ana@contoso.com , email sebagai ID masuk alternatif dapat digunakan. Untuk mengakses aplikasi atau layanan, pengguna akan masuk ke MICROSOFT Entra ID menggunakan email non-UPN mereka, seperti ana@fabrikam.com.

Diagram email sebagai ID masuk alternatif.

Artikel ini memperlihatkan kepada Anda cara mengaktifkan dan menggunakan email sebagai ID masuk alternatif.

Sebelum Anda mulai

Berikut adalah apa yang perlu Anda ketahui tentang email sebagai ID masuk alternatif:

  • Fitur ini tersedia di Microsoft Entra ID edisi Gratis dan yang lebih tinggi.

  • Fitur ini memungkinkan masuk dengan ProxyAddresses, selain UPN, untuk pengguna Microsoft Entra yang diautentikasi cloud. Selengkapnya tentang bagaimana hal ini berlaku untuk kolaborasi Microsoft Entra business-to-business (B2B) di bagian B2B .

  • Saat pengguna masuk dengan email non-UPN, unique_name klaim dan preferred_username (jika ada) dalam token ID akan mengembalikan email non-UPN.

    • Jika email non-UPN yang digunakan menjadi basi (bukan lagi milik pengguna), klaim ini akan mengembalikan UPN sebagai gantinya.

  • Fitur ini mendukung autentikasi terkelola dengan Sinkronisasi Hash Kata Sandi (PHS) atau Autentikasi Pass-Through (PTA).

  • Ada dua opsi untuk mengonfigurasi fitur:

    • Kebijakan Home Realm Discovery (HRD) - Gunakan opsi ini untuk mengaktifkan fitur untuk seluruh penyewa. Setidaknya peran Administrator Aplikasi diperlukan.
    • Kebijakan peluncuran bertahap - Gunakan opsi ini untuk menguji fitur dengan grup Microsoft Entra tertentu. Saat pertama kali menambahkan grup keamanan untuk peluncuran bertahap, Anda dibatasi hingga 200 pengguna untuk menghindari batas waktu UX. Setelah menambahkan grup, Anda dapat menambahkan lebih banyak pengguna langsung ke grup tersebut, sesuai kebutuhan.

    Administrator Global diperlukan untuk mengelola fitur ini.

Batasan pratinjau

Dalam status pratinjau saat ini, batasan berikut berlaku untuk email sebagai ID masuk alternatif:

  • Pengalaman pengguna - Pengguna mungkin melihat UPN mereka, bahkan ketika mereka masuk dengan email non-UPN mereka. Contoh perilaku berikut dapat dilihat:

    • Pengguna diminta untuk masuk dengan UPN ketika diarahkan ke masuk Microsoft Entra dengan login_hint=<non-UPN email>.
    • Saat pengguna masuk dengan email non-UPN dan memasukkan kata sandi yang salah, halaman "Masukkan kata sandi Anda" berubah untuk menampilkan UPN.
    • Di beberapa situs dan aplikasi Microsoft, seperti Microsoft Office, kontrol Manajer Akun biasanya ditampilkan di kanan atas dapat menampilkan UPN pengguna alih-alih email non-UPN yang digunakan untuk masuk.

  • Alur yang tidak didukung - Beberapa alur saat ini tidak kompatibel dengan email non-UPN, seperti berikut ini:

    • Microsoft Entra ID Protection tidak cocok dengan email non-UPN dengan deteksi risiko Kredensial Bocor . Deteksi risiko ini menggunakan UPN untuk mencocokkan kredensial yang telah bocor. Untuk informasi selengkapnya, lihat Cara: Menyelidiki risiko.
    • Saat pengguna masuk dengan email non-UPN, mereka tidak dapat mengubah kata sandi mereka. Pengaturan ulang kata sandi mandiri (SSPR) Microsoft Entra harus berfungsi seperti yang diharapkan. Selama SSPR, pengguna mungkin melihat UPN mereka jika mereka memverifikasi identitas mereka menggunakan email non-UPN.

  • Skenario yang tidak didukung - Skenario berikut tidak didukung. Masuk dengan email non-UPN untuk:

  • Aplikasi yang tidak didukung - Beberapa aplikasi pihak ketiga mungkin tidak berfungsi seperti yang diharapkan jika mengasumsikan bahwa unique_name klaim atau preferred_username tidak dapat diubah atau akan selalu cocok dengan atribut pengguna tertentu, seperti UPN.

  • Pengelogan - Perubahan yang dilakukan pada konfigurasi fitur dalam kebijakan HRD tidak secara eksplisit ditampilkan dalam log audit.

  • Kebijakan peluncuran bertahap - Batasan berikut hanya berlaku saat fitur diaktifkan menggunakan kebijakan peluncuran bertahap:

    • Fitur ini tidak berfungsi seperti yang diharapkan untuk pengguna yang disertakan dalam kebijakan peluncuran bertahap lainnya.
    • Kebijakan peluncuran bertahap mendukung maksimal 10 grup per fitur.
    • Kebijakan peluncuran bertahap tidak mendukung grup berlapis.
    • Kebijakan peluncuran bertahap tidak mendukung grup keanggotaan dinamis.
    • Objek kontak di dalam grup akan memblokir grup agar tidak ditambahkan ke kebijakan peluncuran bertahap.

  • Nilai duplikat - Dalam penyewa, UPN pengguna khusus cloud dapat menjadi nilai yang sama dengan alamat proksi pengguna lain yang disinkronkan dari direktori lokal. Dalam skenario ini, dengan fitur diaktifkan, pengguna khusus cloud tidak akan dapat masuk dengan UPN mereka. Selengkapnya tentang masalah ini di bagian Pemecahan Masalah .

Gambaran umum opsi ID masuk alternatif

Untuk masuk ke ID Microsoft Entra, pengguna memasukkan nilai yang secara unik mengidentifikasi akun mereka. Secara historis, Anda hanya dapat menggunakan MICROSOFT Entra UPN sebagai pengidentifikasi masuk.

Untuk organisasi di mana UPN lokal adalah email masuk pilihan pengguna, pendekatan ini sangat bagus. Organisasi tersebut akan mengatur MICROSOFT Entra UPN ke nilai yang sama persis dengan UPN lokal, dan pengguna akan memiliki pengalaman masuk yang konsisten.

ID Masuk Alternatif untuk Layanan Federasi Direktori Aktif

Namun, di beberapa organisasi UPN lokal tidak digunakan sebagai pengidentifikasi masuk. Di lingkungan lokal, Anda akan mengonfigurasi AD DS lokal untuk mengizinkan masuk dengan ID masuk alternatif. Mengatur UPN Microsoft Entra ke nilai yang sama dengan UPN lokal bukan opsi karena ID Microsoft Entra kemudian akan mengharuskan pengguna untuk masuk dengan nilai tersebut.

ID Masuk Alternatif di Microsoft Entra Connect

Solusi umum untuk masalah ini adalah mengatur MICROSOFT Entra UPN ke alamat email yang diharapkan pengguna untuk masuk. Pendekatan ini berfungsi, meskipun menghasilkan UPN yang berbeda antara AD lokal dan ID Microsoft Entra, dan konfigurasi ini tidak kompatibel dengan semua beban kerja Microsoft 365.

Email sebagai ID Masuk Alternatif

Pendekatan yang berbeda adalah menyinkronkan ID Microsoft Entra dan UPN lokal ke nilai yang sama lalu mengonfigurasi ID Microsoft Entra untuk memungkinkan pengguna masuk ke ID Microsoft Entra dengan email terverifikasi. Untuk memberikan kemampuan ini, Anda menentukan satu atau beberapa alamat email di atribut ProxyAddresses pengguna di direktori lokal. ProxyAddresses kemudian disinkronkan ke ID Microsoft Entra secara otomatis menggunakan Microsoft Entra Connect.

Pilihan Deskripsi
ID Masuk Alternatif untuk Layanan Federasi Direktori Aktif Aktifkan masuk dengan atribut alternatif (seperti Mail) untuk pengguna LAYANAN Federasi Direktori Aktif.
ID Masuk Alternatif di Microsoft Entra Connect Sinkronkan atribut alternatif (seperti Mail) sebagai Microsoft Entra UPN.
Email sebagai ID Masuk Alternatif Aktifkan masuk dengan domain terverifikasi ProxyAddresses untuk pengguna Microsoft Entra.

Menyinkronkan alamat email masuk ke ID Microsoft Entra

Autentikasi Layanan Domain Direktori Aktif Tradisional (AD DS) atau Layanan Federasi Direktori Aktif (AD FS) terjadi langsung di jaringan Anda dan ditangani oleh infrastruktur AD DS Anda. Dengan autentikasi hibrid, pengguna dapat masuk langsung ke ID Microsoft Entra.

Untuk mendukung pendekatan autentikasi hibrid ini, Anda menyinkronkan lingkungan AD DS lokal Anda ke ID Microsoft Entra menggunakan Microsoft Entra Connect dan mengonfigurasinya untuk menggunakan PHS atau PTA. Untuk informasi selengkapnya, lihat Memilih metode autentikasi yang tepat untuk solusi identitas hibrid Microsoft Entra Anda.

Dalam kedua opsi konfigurasi, pengguna mengirimkan nama pengguna dan kata sandi mereka ke ID Microsoft Entra, yang memvalidasi kredensial dan mengeluarkan tiket. Saat pengguna masuk ke ID Microsoft Entra, pengguna menghapus kebutuhan organisasi Anda untuk menghosting dan mengelola infrastruktur Layanan Federasi Direktori Aktif.

Salah satu atribut pengguna yang secara otomatis disinkronkan oleh Microsoft Entra Connect adalah ProxyAddresses. Jika pengguna memiliki alamat email yang ditentukan di lingkungan AD DS lokal sebagai bagian dari atribut ProxyAddresses , alamat tersebut secara otomatis disinkronkan ke ID Microsoft Entra. Alamat email ini kemudian dapat digunakan langsung dalam proses masuk Microsoft Entra sebagai ID masuk alternatif.

Penting

Hanya email di domain terverifikasi untuk penyewa yang disinkronkan ke ID Microsoft Entra. Setiap penyewa Microsoft Entra memiliki satu atau beberapa domain terverifikasi, yang kepemilikannya telah Anda buktikan, dan secara unik terikat dengan penyewa Anda.

Untuk informasi selengkapnya, lihat Menambahkan dan memverifikasi nama domain kustom di ID Microsoft Entra.

Pengguna tamu B2B masuk dengan alamat email

Diagram email sebagai ID masuk alternatif untuk masuk pengguna tamu B 2 B.

Email sebagai ID masuk alternatif berlaku untuk kolaborasi Microsoft Entra B2B di bawah model "bawa pengidentifikasi masuk Anda sendiri". Saat email sebagai ID masuk alternatif diaktifkan di penyewa beranda, pengguna Microsoft Entra dapat melakukan masuk tamu dengan email non-UPN di titik akhir penyewa sumber daya. Tidak ada tindakan yang diperlukan dari penyewa sumber daya untuk mengaktifkan fungsionalitas ini.

Nota

Ketika ID masuk alternatif digunakan pada titik akhir penyewa sumber daya yang tidak mengaktifkan fungsionalitas, proses masuk akan bekerja dengan mulus, tetapi SSO akan terganggu.

Mengaktifkan rincian masuk pengguna dengan alamat email

Nota

Opsi konfigurasi ini menggunakan kebijakan HRD. Untuk informasi selengkapnya, lihat jenis sumber daya homeRealmDiscoveryPolicy.

Setelah pengguna dengan atribut ProxyAddresses diterapkan disinkronkan ke ID Microsoft Entra menggunakan Microsoft Entra Connect, Anda perlu mengaktifkan fitur bagi pengguna untuk masuk dengan email sebagai ID masuk alternatif untuk penyewa Anda. Fitur ini memberi tahu server login Microsoft Entra untuk tidak hanya memeriksa pengidentifikasi masuk terhadap nilai UPN, tetapi juga terhadap nilai ProxyAddresses untuk alamat email.

Anda dapat menggunakan pusat admin Microsoft Entra atau Graph PowerShell untuk menyiapkan fitur.

Administrator Global diperlukan untuk mengelola fitur ini.

Pusat admin Microsoft Entra

Ujung

Langkah-langkah dalam artikel ini mungkin sedikit berbeda berdasarkan portal tempat Anda memulai.

  1. Masuk ke pusat admin Microsoft Entra sebagai Administrator Global.

  2. Dari menu navigasi di sisi kiri jendela Microsoft Entra, pilih Microsoft Entra Connect > Email sebagai ID masuk alternatif.

    Cuplikan layar email sebagai opsi ID masuk alternatif di pusat admin Microsoft Entra.

  3. Klik kotak centang di samping Email sebagai ID masuk alternatif.

  4. Klik Simpan.

    Cuplikan layar email sebagai bilah ID masuk alternatif di pusat admin Microsoft Entra.

Dengan kebijakan yang diterapkan, diperlukan waktu hingga satu jam untuk disebarluaskan dan bagi pengguna untuk dapat masuk menggunakan ID masuk alternatif mereka.

PowerShell

Nota

Opsi konfigurasi ini menggunakan kebijakan HRD. Untuk informasi selengkapnya, lihat jenis sumber daya homeRealmDiscoveryPolicy.

Setelah pengguna dengan atribut ProxyAddresses diterapkan disinkronkan ke ID Microsoft Entra menggunakan Microsoft Entra Connect, Anda perlu mengaktifkan fitur bagi pengguna untuk masuk dengan email sebagai ID masuk alternatif untuk penyewa Anda. Fitur ini memberi tahu server login Microsoft Entra untuk tidak hanya memeriksa pengidentifikasi masuk terhadap nilai UPN, tetapi juga terhadap nilai ProxyAddresses untuk alamat email.

Administrator Global diperlukan untuk mengelola fitur ini.

  1. Buka sesi PowerShell sebagai administrator, lalu instal modul Microsoft.Graph menggunakan Install-Module cmdlet:

    Install-Module Microsoft.Graph

    Untuk informasi selengkapnya tentang penginstalan, lihat Menginstal Microsoft Graph PowerShell SDK.

  2. Masuk ke penyewa Microsoft Entra Anda menggunakan Connect-MgGraph cmdlet:

    Connect-MgGraph -Scopes "Policy.ReadWrite.ApplicationConfiguration" -TenantId organizations

    Perintah akan meminta Anda untuk mengautentikasi menggunakan browser web.

  3. Periksa apakah HomeRealmDiscoveryPolicy sudah ada di penyewa Anda menggunakan Get-MgPolicyHomeRealmDiscoveryPolicy cmdlet sebagai berikut:

    Get-MgPolicyHomeRealmDiscoveryPolicy

  4. Jika saat ini tidak ada kebijakan yang dikonfigurasi, perintah tidak mengembalikan apa pun. Jika kebijakan dikembalikan, lewati langkah ini dan lanjutkan ke langkah berikutnya untuk memperbarui kebijakan yang ada.

    Untuk menambahkan HomeRealmDiscoveryPolicy ke penyewa, gunakan New-MgPolicyHomeRealmDiscoveryPolicy cmdlet dan atur atribut AlternateIdLogin ke "Enabled": true seperti yang ditunjukkan dalam contoh berikut:

    $AzureADPolicyDefinition = @(
  @{
     "HomeRealmDiscoveryPolicy" = @{
        "AlternateIdLogin" = @{
           "Enabled" = $true
        }
     }
  } | ConvertTo-JSON -Compress
)

$AzureADPolicyParameters = @{
  Definition            = $AzureADPolicyDefinition
  DisplayName           = "BasicAutoAccelerationPolicy"
  AdditionalProperties  = @{ IsOrganizationDefault = $true }
}

New-MgPolicyHomeRealmDiscoveryPolicy @AzureADPolicyParameters

    Ketika kebijakan telah berhasil dibuat, perintah mengembalikan ID kebijakan, seperti yang ditunjukkan dalam contoh output berikut:

    Definition                                                           DeletedDateTime Description DisplayName                 Id            IsOrganizationDefault
----------                                                           --------------- ----------- -----------                 --            ---------------------
{{"HomeRealmDiscoveryPolicy":{"AlternateIdLogin":{"Enabled":true}}}}                             BasicAutoAccelerationPolicy HRD_POLICY_ID True

  5. Jika sudah ada kebijakan yang dikonfigurasi, periksa apakah atribut AlternateIdLogin diaktifkan, seperti yang ditunjukkan dalam contoh output kebijakan berikut:

    Definition                                                           DeletedDateTime Description DisplayName                 Id            IsOrganizationDefault
----------                                                           --------------- ----------- -----------                 --            ---------------------
{{"HomeRealmDiscoveryPolicy":{"AlternateIdLogin":{"Enabled":true}}}}                             BasicAutoAccelerationPolicy HRD_POLICY_ID True

    Jika kebijakan ada tetapi atribut AlternateIdLogin yang tidak ada atau diaktifkan, atau jika atribut lain ada pada kebijakan yang ingin Anda pertahankan, perbarui kebijakan yang ada menggunakan Update-MgPolicyHomeRealmDiscoveryPolicy cmdlet.

    Penting

    Saat Memperbarui kebijakan, pastikan Anda menyertakan pengaturan lama dan atribut AlternateIdLogin baru.

    Contoh berikut menambahkan atribut AlternateIdLogin dan mempertahankan atribut AllowCloudPasswordValidation yang sebelumnya diatur:

    $AzureADPolicyDefinition = @(
  @{
     "HomeRealmDiscoveryPolicy" = @{
        "AllowCloudPasswordValidation" = $true
        "AlternateIdLogin" = @{
           "Enabled" = $true
        }
     }
  } | ConvertTo-JSON -Compress
)

$AzureADPolicyParameters = @{
  HomeRealmDiscoveryPolicyId = "HRD_POLICY_ID"
  Definition                 = $AzureADPolicyDefinition
  DisplayName                = "BasicAutoAccelerationPolicy"
  AdditionalProperties       = @{ "IsOrganizationDefault" = $true }
}

Update-MgPolicyHomeRealmDiscoveryPolicy @AzureADPolicyParameters

    Konfirmasikan bahwa kebijakan yang diperbarui menunjukkan perubahan Anda dan atribut AlternateIdLogin sekarang diaktifkan:

    Get-MgPolicyHomeRealmDiscoveryPolicy

Nota

Dengan kebijakan yang diterapkan, diperlukan waktu hingga satu jam untuk disebarluaskan dan bagi pengguna untuk dapat masuk menggunakan email sebagai ID masuk alternatif.

Menghapus kebijakan

Untuk menghapus kebijakan HRD, gunakan Remove-MgPolicyHomeRealmDiscoveryPolicy cmdlet:

Remove-MgPolicyHomeRealmDiscoveryPolicy -HomeRealmDiscoveryPolicyId "HRD_POLICY_ID"

Mengaktifkan peluncuran bertahap untuk menguji masuk pengguna dengan alamat email

Nota

Opsi konfigurasi ini menggunakan kebijakan peluncuran bertahap. Untuk informasi selengkapnya, lihat jenis sumber daya featureRolloutPolicy.

Kebijakan peluncuran bertahap memungkinkan administrator penyewa mengaktifkan fitur untuk grup Microsoft Entra tertentu. Disarankan agar administrator penyewa menggunakan peluncuran bertahap untuk menguji masuk pengguna dengan alamat email. Ketika administrator siap untuk menyebarkan fitur ini ke seluruh penyewa mereka, mereka harus menggunakan kebijakan HRD.

Administrator Global diperlukan untuk mengelola fitur ini.

  1. Buka sesi PowerShell sebagai administrator, lalu instal modul Microsoft.Graph.Beta menggunakan cmdlet Install-Module :

    Install-Module Microsoft.Graph.Beta

    Jika diminta, pilih Y untuk menginstal NuGet atau untuk menginstal dari repositori yang tidak tepercaya.

  2. Masuk ke penyewa Microsoft Entra Anda menggunakan cmdlet Connect-MgGraph :

    Connect-MgGraph -Scopes "Directory.ReadWrite.All"

    Perintah mengembalikan informasi tentang akun, lingkungan, dan ID penyewa Anda.

  3. Cantumkan semua kebijakan peluncuran bertahap yang ada menggunakan cmdlet berikut:

    Get-MgBetaPolicyFeatureRolloutPolicy

  4. Jika tidak ada kebijakan peluncuran bertahap yang ada untuk fitur ini, buat kebijakan peluncuran bertahap baru dan catat ID kebijakan:

    $MgPolicyFeatureRolloutPolicy = @{
Feature    = "EmailAsAlternateId"
DisplayName = "EmailAsAlternateId Rollout Policy"
IsEnabled   = $true
}
New-MgBetaPolicyFeatureRolloutPolicy @MgPolicyFeatureRolloutPolicy

  5. Temukan ID directoryObject untuk grup yang akan ditambahkan ke kebijakan peluncuran bertahap. Perhatikan nilai yang dikembalikan untuk parameter Id , karena akan digunakan pada langkah berikutnya.

    Get-MgBetaGroup -Filter "DisplayName eq 'Name of group to be added to the staged rollout policy'"

  6. Tambahkan grup ke kebijakan peluncuran bertahap seperti yang ditunjukkan dalam contoh berikut. Ganti nilai dalam parameter -FeatureRolloutPolicyId dengan nilai yang dikembalikan untuk ID kebijakan di langkah 4 dan ganti nilai dalam parameter -OdataId dengan Id yang dicatat di langkah 5. Mungkin diperlukan waktu hingga 1 jam sebelum pengguna dalam grup dapat masuk ke ID Microsoft Entra dengan email sebagai ID masuk alternatif.

    New-MgBetaDirectoryFeatureRolloutPolicyApplyToByRef `
   -FeatureRolloutPolicyId "ROLLOUT_POLICY_ID" `
   -OdataId "https://graph.microsoft.com/v1.0/directoryObjects/{GROUP_OBJECT_ID}"

Untuk anggota baru yang ditambahkan ke grup, mungkin perlu waktu hingga 24 jam sebelum mereka dapat masuk ke ID Microsoft Entra dengan email sebagai ID masuk alternatif.

Menghapus grup

Untuk menghapus grup dari kebijakan peluncuran bertahap, jalankan perintah berikut:

Remove-MgBetaPolicyFeatureRolloutPolicyApplyToByRef -FeatureRolloutPolicyId "ROLLOUT_POLICY_ID" -DirectoryObjectId "GROUP_OBJECT_ID"

Menghapus kebijakan

Untuk menghapus kebijakan peluncuran bertahap, pertama-tama nonaktifkan kebijakan lalu hapus dari sistem:

Update-MgBetaPolicyFeatureRolloutPolicy -FeatureRolloutPolicyId "ROLLOUT_POLICY_ID" -IsEnabled:$false 
Remove-MgBetaPolicyFeatureRolloutPolicy -FeatureRolloutPolicyId "ROLLOUT_POLICY_ID"

Menguji rincian masuk pengguna dengan alamat email

Untuk menguji bahwa pengguna dapat masuk dengan email, buka https://myprofile.microsoft.com dan masuk dengan email non-UPN, seperti balas@fabrikam.com. Pengalaman masuk akan terlihat dan terasa sama dengan masuk dengan UPN.

Memecahkan

Jika pengguna mengalami masalah saat masuk dengan alamat email mereka, tinjau langkah-langkah pemecahan masalah berikut:

  1. Pastikan sudah setidaknya 1 jam sejak email karena ID masuk alternatif diaktifkan. Jika pengguna baru-baru ini ditambahkan ke grup untuk kebijakan peluncuran bertahap, pastikan sudah setidaknya 24 jam sejak ditambahkan ke grup.

  2. Jika menggunakan kebijakan HRD, konfirmasikan bahwa properti Microsoft Entra ID HomeRealmDiscoveryPolicy memiliki properti definisi AlternateIdLogin yang diatur ke "Diaktifkan": true dan properti IsOrganizationDefault diatur ke True:

    Get-MgBetaPolicyHomeRealmDiscoveryPolicy | Format-List *

    Jika menggunakan kebijakan peluncuran bertahap, konfirmasikan bahwa Microsoft Entra ID FeatureRolloutPolicy memiliki properti IsEnabled yang diatur ke True:

    Get-MgBetaPolicyFeatureRolloutPolicy

  3. Pastikan akun pengguna memiliki alamat email mereka yang diatur di atribut ProxyAddresses di ID Microsoft Entra.

Log masuk

Cuplikan layar log masuk Microsoft Entra memperlihatkan email sebagai aktivitas ID masuk alternatif.

Anda dapat meninjau log masuk di ID Microsoft Entra untuk informasi selengkapnya. Rincian masuk dengan email sebagai ID masuk alternatif akan proxyAddress muncul di bidang Jenis pengidentifikasi masuk dan nama pengguna yang diinput di bidang Pengidentifikasi masuk.

Nilai yang bertentangan antara pengguna khusus cloud dan yang disinkronkan

Dalam penyewa, UPN pengguna khusus cloud dapat mengambil nilai yang sama dengan alamat proksi pengguna lain yang disinkronkan dari direktori lokal. Dalam skenario ini, dengan fitur diaktifkan, pengguna khusus cloud tidak akan dapat masuk dengan UPN mereka. Berikut adalah langkah-langkah untuk mendeteksi instans masalah ini.

  1. Buka sesi PowerShell sebagai administrator, lalu instal modul AzureADPreview menggunakan cmdlet Install-Module :

    Install-Module Microsoft.Graph.Beta

    Jika diminta, pilih Y untuk menginstal NuGet atau untuk menginstal dari repositori yang tidak tepercaya.

  2. Administrator Global diperlukan untuk mengelola fitur ini.

    Masuk ke penyewa Microsoft Entra Anda menggunakan cmdlet Connect-AzureAD :

    Connect-MgGraph -Scopes "User.Read.All"

  3. Mendapatkan pengguna yang terpengaruh.

    # Get all users
$allUsers = Get-MgUser -All

# Get list of proxy addresses from all synced users
$syncedProxyAddresses = $allUsers |
    Where-Object {$_.ImmutableId} |
    Select-Object -ExpandProperty ProxyAddresses |
    ForEach-Object {$_ -Replace "smtp:", ""}

# Get list of user principal names from all cloud-only users
$cloudOnlyUserPrincipalNames = $allUsers |
    Where-Object {!$_.ImmutableId} |
    Select-Object -ExpandProperty UserPrincipalName

# Get intersection of two lists
$duplicateValues = $syncedProxyAddresses |
    Where-Object {$cloudOnlyUserPrincipalNames -Contains $_}

  4. Untuk menghasilkan pengguna yang terpengaruh:

    # Output affected synced users
$allUsers |
    Where-Object {$_.ImmutableId -And ($_.ProxyAddresses | Where-Object {($duplicateValues | ForEach-Object {"smtp:$_"}) -Contains $_}).Length -GT 0} |
    Select-Object ObjectId, DisplayName, UserPrincipalName, ProxyAddresses, ImmutableId, UserType

# Output affected cloud-only users
$allUsers |
    Where-Object {!$_.ImmutableId -And $duplicateValues -Contains $_.UserPrincipalName} |
    Select-Object ObjectId, DisplayName, UserPrincipalName, ProxyAddresses, ImmutableId, UserType

  5. Untuk menghasilkan pengguna yang terpengaruh ke CSV:

    # Output affected users to CSV
$allUsers |
    Where-Object {
        ($_.ImmutableId -And ($_.ProxyAddresses | Where-Object {($duplicateValues | ForEach-Object {"smtp:$_"}) -Contains $_}).Length -GT 0) -Or
        (!$_.ImmutableId -And $duplicateValues -Contains $_.UserPrincipalName)
    } |
    Select-Object ObjectId, DisplayName, UserPrincipalName, @{n="ProxyAddresses"; e={$_.ProxyAddresses -Join ','}}, @{n="IsSyncedUser"; e={$_.ImmutableId.Length -GT 0}}, UserType |
    Export-Csv -Path .\AffectedUsers.csv -NoTypeInformation

Langkah berikutnya

Untuk mempelajari selengkapnya tentang identitas hibrid, seperti proksi aplikasi Microsoft Entra atau Microsoft Entra Domain Services, lihat Identitas hibrid Microsoft Entra untuk akses dan manajemen beban kerja lokal.

Untuk informasi selengkapnya tentang operasi identitas hibrid, lihat cara kerja sinkronisasi hash kata sandi atau sinkronisasi autentikasi pass-through.