注
メールを代替ログイン ID としてMicrosoft Entra ID にサインインすることは、Microsoft Entra ID のパブリック プレビュー機能です。 プレビューの詳細については、「 Microsoft Azure プレビューの追加使用条件」を参照してください。
多くの組織では、ユーザーがオンプレミス ディレクトリ環境と同じ資格情報を使用して Microsoft Entra ID にサインインできるようにしたいと考えています。 ハイブリッド認証と呼ばれるこの方法では、ユーザーは 1 組の資格情報を記憶しておくだけでよくなります。
一部の組織では、次の理由によりハイブリッド認証に移行していません。
- 既定で、Microsoft Entra のユーザー プリンシパル名 (UPN) が、オンプレミス UPN と同じ値に設定されています。
- Microsoft Entra UPN を変更すると、オンプレミス環境と Microsoft Entra 環境の間で不一致が生じ、特定のアプリケーションやサービスで問題が発生する可能性があります。
- ビジネスまたはコンプライアンス上の理由により、組織では、Microsoft Entra ID へのサインインにオンプレミスの UPN を使用したくないと考えています。
ハイブリッド認証に移行するために、ユーザーが代替ログイン ID として各自のメール アドレスでサインインできるようにMicrosoft Entra ID を構成できます。 たとえば、Contoso がレガシ UPN でサインインし続けるのではなく、ana@contoso.com
にブランド変更した場合、代替ログイン ID として電子メールを使用できます。 アプリケーションまたはサービスにアクセスするために、ユーザーは、UPN 以外のメール アドレス (ana@fabrikam.com
など) を使用して Microsoft Entra ID にサインインします。
この記事では、代替ログイン ID として電子メールを有効にして使用する方法について説明します。
開始する前に
代替ログイン ID としてのメール アドレスについて知る必要がある情報を次に示します。
- この機能は、Microsoft Entra ID Free エディション以降で使用できます。
- この機能により、クラウド認証された Microsoft Entra ユーザーに対して、UPN に加えて ProxyAddresses を使用したサインインが可能になります。 これは、 B2B セクションの Microsoft Entra Business-to-Business (B2B) コラボレーションにどのように適用されるかについて詳しく説明します。
- ユーザーが UPN 以外の電子メールでサインインすると、
unique_name
内のpreferred_username
要求と要求 (存在する場合) は、UPN 以外の電子メールを返します。- 使用中の UPN 以外のメール アドレスが古くなった (ユーザーに属さなくなった) 場合、これらの要求は代わりに UPN を返します。
- この機能では、パスワード ハッシュ同期 (PHS) またはパススルー認証 (PTA) による、マネージド認証がサポートされています。
- この機能を構成するには、次の 2 つのオプションがあります。
- ホーム領域検出 (HRD) ポリシー - このオプションを使用して、テナント全体の機能を有効にします。 少なくとも アプリケーション管理者 ロールが必要です。
- 段階的ロールアウト ポリシー - このオプションを使用して、特定の Microsoft Entra グループで機能をテストします。 段階的なロールアウトで、セキュリティ グループを初めて追加する時点では、UX タイムアウトを回避するために、200 ユーザーに制限されます。グループを追加した後、必要に応じて、そのグループにさらにユーザーを直接追加できます。
プレビューの制限事項
現在のプレビュー状態では、代替ログイン ID としてのメール アドレスに次の制限が適用されます。
ユーザー エクスペリエンス - UPN 以外のメールでサインインした場合でも、UPN が表示される場合があります。 次のような動作の例が表示されます。
-
login_hint=<non-UPN email>
を使用した Microsoft Entra サインインに誘導される場合、ユーザーは UPN でサインインするように求められます。 - ユーザーが UPN 以外の電子メールでサインインし、正しくないパスワードを入力すると、[パスワードの 入力 ] ページが変更され、UPN が表示されます。
- Microsoft Office などの一部の Microsoft サイトやアプリでは、通常、右上に表示される アカウント マネージャー コントロールに、サインインに使用される UPN 以外の電子メールではなく、ユーザーの UPN が表示される場合があります。
-
サポートされていないフロー - 一部のフローは、次のような UPN 以外の電子メールと現在互換性がありません。
- Microsoft Entra ID Protection は、UPN 以外の電子メールと漏洩した資格情報のリスク検出を一致させません。 このリスク検出では、UPN を使用して、漏洩した認証情報を照合します。 詳細については、「 方法: リスクを調査する」を参照してください。
- ユーザーが UPN 以外のメール アドレスを使用してサインインしている場合、ユーザーは自分のパスワードを変更できません。 Microsoft Entra セルフサービス パスワード リセット (SSPR) は想定どおりに機能します。 SSPR 中に、ユーザーが UPN 以外のメール アドレスを使用して自分の ID を確認すると、UPN が表示される場合があります。
サポートされていないシナリオ - 次のシナリオはサポートされていません。 UPN 以外のメール アドレスを使用した次へのサインイン:
サポートされていないアプリ - 一部のサード パーティ製アプリケーションは、
unique_name
またはpreferred_username
要求が不変であると想定している場合や、常に UPN などの特定のユーザー属性と一致すると想定した場合に動作しない可能性があります。ログ - HRD ポリシーで機能の構成に加えられた変更は、監査ログに明示的に表示されません。
段階的ロールアウト ポリシー - 次の制限は、段階的ロールアウト ポリシーを使用して機能が有効になっている場合にのみ適用されます。
- この機能は、他の段階的ロールアウト ポリシーに含まれているユーザーに対しては想定どおりに機能しません。
- 段階的ロールアウト ポリシーでは、機能ごとに最大 10 個のグループがサポートされます。
- 段階的ロールアウト ポリシーでは、入れ子になったグループはサポートされていません。
- 段階的ロールアウト ポリシーでは、動的メンバーシップ グループはサポートされていません。
- グループ内の連絡先オブジェクトによって、段階的ロールアウト ポリシーへのグループの追加がブロックされます。
値の重複 - テナント内では、クラウド専用ユーザーの UPN は、オンプレミス ディレクトリから同期された別のユーザーのプロキシ アドレスと同じ値にすることができます。 このシナリオでは、機能を有効にすると、クラウド専用のユーザーは UPN でサインインできなくなります。 この問題の詳細については、「 トラブルシューティング 」セクションを参照してください。
代替ログイン ID オプションの概要
Microsoft Entra ID にサインインするために、ユーザーは自分のアカウントを一意に識別する値を入力します。 これまでは、サインイン ID として使用できるのは Microsoft Entra UPN のみでした。
オンプレミスの UPN がユーザーの推奨されるサインイン メールである組織の場合、この方法は優れていました。 そうした組織では、Microsoft Entra UPN をオンプレミスの UPN とまったく同じ値に設定することで、ユーザーの一貫したサインイン エクスペリエンスを実現しています。
AD FS の代替ログイン ID
ただし、組織によっては、オンプレミスの UPN をサインイン ID として使用していません。 オンプレミス環境では、代替ログイン ID を使用してサインインできるようにローカル AD DS を構成しています。 Microsoft Entra ID でユーザーはその値を使用してサインインするよう求められるため、Microsoft Entra UPN をオンプレミスの UPN と同じ値に設定することはできません。
Microsoft Entra Connect の代替ログイン ID
この問題の一般的な回避策は、 Microsoft Entra UPN を、ユーザーがサインインに使用することを想定しているメール アドレスに設定することでした。 この方法は有効ですが、結果的にオンプレミスの AD と Microsoft Entra ID で UPN が異なります。また、この構成はすべての Microsoft 365 ワークロードと互換性があるわけではありません。
代替ログイン ID としてのメール アドレス
別の方法は、Microsoft Entra ID とオンプレミスの UPN を同じ値に同期し、ユーザーが検証済みの電子メールで Microsoft Entra ID にサインインできるように Microsoft Entra ID を構成することです。 この機能を提供するには、オンプレミス ディレクトリのユーザーの ProxyAddresses 属性に 1 つ以上の電子メール アドレスを定義します。 ProxyAddresses は、Microsoft Entra Connect を使用して Microsoft Entra ID に自動的に同期されます。
オプション | 説明 |
---|---|
AD FS の代替ログイン ID | AD FS ユーザーの代替属性 (Mail など) を使用したサインインを有効にします。 |
Microsoft Entra Connect の代替ログイン ID | 代替属性 (Mail など) を Microsoft Entra UPN として同期します。 |
代替ログイン ID としてのメール アドレス | Microsoft Entra ユーザーの検証済みドメイン ProxyAddresses を使用してサインインを有効にします。 |
サインイン電子メール アドレスを Microsoft Entra ID に同期する
従来の Active Directory ドメイン サービス (AD DS) 認証または Active Directory フェデレーションサービス (AD FS) 認証は、ネットワーク上で直接行われ、AD DS インフラストラクチャによって処理されます。 ハイブリッド認証では、ユーザーは代わりに Microsoft Entra ID に直接サインインすることができます。
このハイブリッド認証アプローチをサポートするには、Microsoft Entra Connect を使用してオンプレミスの AD DS 環境を Microsoft Entra ID に同期し、PHS または PTA を使用するように構成します。 詳細については、「 Microsoft Entra ハイブリッド ID ソリューションに適した認証方法を選択する」を参照してください。
どちらの構成オプションでも、ユーザーはユーザー名とパスワードを Microsoft Entra ID に送信し、ここで資格情報が検証され、チケットが発行されます。 ユーザーが Microsoft Entra ID にサインインすると、組織が AD FS インフラストラクチャをホストし管理する必要性はなくなります。
Microsoft Entra Connect によって自動的に同期されるユーザー属性の 1 つは ProxyAddresses です。 ユーザーが ProxyAddresses 属性の一部としてオンプレミスの AD DS 環境で定義されているメール アドレスを持っている場合は、自動的に Microsoft Entra ID に同期されます。 このメール アドレスは、直接 Microsoft Entra サインイン プロセスで、代替ログイン ID として使用できます。
重要
テナントの確認済みドメインのメールのみが Microsoft Entra ID に同期されます。 それぞれの Microsoft Entra テナントには、1 つ以上の確認済みドメインがあり、これらは所有権が実証され、テナントに一意にバインドされます。
詳細については、「 Microsoft Entra ID でカスタム ドメイン名を追加して確認する」を参照してください。
メール アドレスを使用した B2B ゲスト ユーザーのサインイン
代替ログイン ID としての電子メールは、"Bring your own sign-in identifiers" モデルの下で Microsoft Entra B2B コラボレーション に適用されます。 代替ログイン ID としてのメール アドレスがホーム テナントで有効になっている場合、Microsoft Entra ユーザーは、UPN 以外のメール アドレスを使用して、リソース テナント エンドポイントでゲスト サインインを実行できます。 この機能を有効にするために、リソース テナントで要求される操作はありません。
注
機能が有効になっていないリソース テナント エンドポイントで代替ログイン ID を使用すると、サインイン プロセスはシームレスに動作しますが、SSO は中断されます。
メール アドレスを使用してユーザーのサインインを有効にする
注
この構成オプションには HRD ポリシーを使用します。 詳細については、「 homeRealmDiscoveryPolicy リソースの種類」を参照してください。
ProxyAddresses 属性が適用されたユーザーが Microsoft Entra Connect を使用して Microsoft Entra ID に同期されたら、ユーザーがテナントの代替ログイン ID として電子メールでサインインする機能を有効にする必要があります。 この機能は、UPN 値に対してサインイン識別子を確認するだけでなく、電子メール アドレスの ProxyAddresses 値に対しても確認するように Microsoft Entra ログイン サーバーに指示します。
Microsoft Entra 管理センターか Graph PowerShell 使用し、機能を設定できます。
Microsoft Entra 管理センター
Microsoft Entra 管理センターに、少なくともハイブリッド ID 管理者としてサインインします。
Entra ID>Entra Connect>Connect Sync に移動します
[代替ログイン ID として電子メール] を選択します**。
[ 代替ログイン ID として電子メールを送信する] の横にあるチェック ボックスをオンにします。
[ 保存] をクリックします。
ポリシーが適用されている場合は、伝達されて、ユーザーが代替ログイン ID を使用してサインインできるようになるまでに、最大 1 時間かかることがあります。
PowerShell
注
この構成オプションには HRD ポリシーを使用します。 詳細については、「 homeRealmDiscoveryPolicy リソースの種類」を参照してください。
ProxyAddresses 属性が適用されたユーザーが Microsoft Entra Connect を使用して Microsoft Entra ID に同期されたら、ユーザーがテナントの代替ログイン ID として電子メールでサインインする機能を有効にする必要があります。 この機能は、UPN 値に対してサインイン識別子を確認するだけでなく、電子メール アドレスの ProxyAddresses 値に対しても確認するように Microsoft Entra ログイン サーバーに指示します。
管理者として PowerShell セッションを開き、 コマンドレットを使用して
Install-Module
モジュールをインストールします。Install-Module Microsoft.Graph
インストールの詳細については、「 Microsoft Graph PowerShell SDK のインストール」を参照してください。
Connect-MgGraph
コマンドレットを使用して、Microsoft Entra テナントにサインインします:Connect-MgGraph -Scopes "Policy.ReadWrite.ApplicationConfiguration" -TenantId organizations
このコマンドにより、Web ブラウザーを使用して認証するよう求められます。
次のように、 コマンドレットを使用して、テナントに
Get-MgPolicyHomeRealmDiscoveryPolicy
が既に存在するかどうかを確認します。Get-MgPolicyHomeRealmDiscoveryPolicy
現在構成されているポリシーがない場合、コマンドは何も返しません。 ポリシーが返された場合は、この手順をスキップし、次の手順に進んで、既存のポリシーを更新します。
HomeRealmDiscoveryPolicy をテナントに追加するには、
New-MgPolicyHomeRealmDiscoveryPolicy
コマンドレットを使用し、AlternateIdLogin 属性を "Enabled" に設定します。次の例に示すように true。$AzureADPolicyDefinition = @( @{ "HomeRealmDiscoveryPolicy" = @{ "AlternateIdLogin" = @{ "Enabled" = $true } } } | ConvertTo-JSON -Compress ) $AzureADPolicyParameters = @{ Definition = $AzureADPolicyDefinition DisplayName = "BasicAutoAccelerationPolicy" AdditionalProperties = @{ IsOrganizationDefault = $true } } New-MgPolicyHomeRealmDiscoveryPolicy @AzureADPolicyParameters
ポリシーが正常に作成されると、次の出力例に示すように、コマンドによってポリシー ID が返されます。
Definition DeletedDateTime Description DisplayName Id IsOrganizationDefault ---------- --------------- ----------- ----------- -- --------------------- {{"HomeRealmDiscoveryPolicy":{"AlternateIdLogin":{"Enabled":true}}}} BasicAutoAccelerationPolicy HRD_POLICY_ID True
構成済みのポリシーが既にある場合は、次のポリシー出力例に示すように、 AlternateIdLogin 属性が有効になっているかどうかを確認します。
Definition DeletedDateTime Description DisplayName Id IsOrganizationDefault ---------- --------------- ----------- ----------- -- --------------------- {{"HomeRealmDiscoveryPolicy":{"AlternateIdLogin":{"Enabled":true}}}} BasicAutoAccelerationPolicy HRD_POLICY_ID True
ポリシーが存在するが 、AlternateIdLogin 属性が存在しないか有効になっていない場合、または保持するポリシーに他の属性が存在する場合は、
Update-MgPolicyHomeRealmDiscoveryPolicy
コマンドレットを使用して既存のポリシーを更新します。重要
ポリシーを更新するときは、古い設定と新しい AlternateIdLogin 属性が含まれていることを確認します。
次の例では、 AlternateIdLogin 属性を追加し、以前に設定した AllowCloudPasswordValidation 属性を保持します。
$AzureADPolicyDefinition = @( @{ "HomeRealmDiscoveryPolicy" = @{ "AllowCloudPasswordValidation" = $true "AlternateIdLogin" = @{ "Enabled" = $true } } } | ConvertTo-JSON -Compress ) $AzureADPolicyParameters = @{ HomeRealmDiscoveryPolicyId = "HRD_POLICY_ID" Definition = $AzureADPolicyDefinition DisplayName = "BasicAutoAccelerationPolicy" AdditionalProperties = @{ "IsOrganizationDefault" = $true } } Update-MgPolicyHomeRealmDiscoveryPolicy @AzureADPolicyParameters
更新されたポリシーに変更内容が表示され 、AlternateIdLogin 属性が有効になっていることを確認します。
Get-MgPolicyHomeRealmDiscoveryPolicy
注
ポリシーが適用されている場合は、伝達されて、ユーザーが代替ログイン ID としてメールを使用してサインインできるようになるまでに、最大 1 時間かかることがあります。
ポリシーの削除
HRD ポリシーを削除するには、Remove-MgPolicyHomeRealmDiscoveryPolicy
コマンドレットを使用します。
Remove-MgPolicyHomeRealmDiscoveryPolicy -HomeRealmDiscoveryPolicyId "HRD_POLICY_ID"
メール アドレスを使用したユーザー サインインをテストするために段階的なロールアウトを有効にする
注
この構成オプションには、段階的ロールアウト ポリシーを使用します。 詳細については、「 featureRolloutPolicy リソースの種類」を参照してください。
段階的なロールアウト ポリシーを使用すると、テナント管理者は特定の Microsoft Entraグループに対して各機能を有効にすることができます。 テナント管理者が、段階的なロールアウトを使用して、メール アドレスでのユーザー サインインをテストすることをお勧めします。 管理者がこの機能をテナント全体に展開する準備ができたら、 HRD ポリシーを使用する必要があります。
管理者として PowerShell セッションを開き、Install-Module コマンドレットを使用して Microsoft.Graph.Beta モジュールをインストールします。
Install-Module Microsoft.Graph.Beta
メッセージが表示されたら、 Y を選択して NuGet をインストールするか、信頼されていないリポジトリからインストールします。
Connect-MgGraph コマンドレットを使用して Microsoft Entra テナントにサインインします。
Connect-MgGraph -Scopes "Directory.ReadWrite.All"
このコマンドは、アカウント、環境、およびテナント ID に関する情報を返します。
次のコマンドレットを使用して、既存の段階的なロールアウト ポリシーをすべて一覧表示します。
Get-MgBetaPolicyFeatureRolloutPolicy
この機能について既存の段階的なロールアウト ポリシーが存在しない場合は、段階的ロールアウト ポリシーを新たに作成し、ポリシー ID を書き留めておきます。
$MgPolicyFeatureRolloutPolicy = @{ Feature = "EmailAsAlternateId" DisplayName = "EmailAsAlternateId Rollout Policy" IsEnabled = $true } New-MgBetaPolicyFeatureRolloutPolicy @MgPolicyFeatureRolloutPolicy
段階的なロールアウト ポリシーに追加されるグループの directoryObject ID を検索します。 次の手順で使用するため、 Id パラメーターに返される値に注意してください。
Get-MgBetaGroup -Filter "DisplayName eq 'Name of group to be added to the staged rollout policy'"
次の例に示すように、グループを段階的なロールアウト ポリシーに追加します。 -FeatureRolloutPolicyId パラメーターの値を、手順 4 でポリシー ID に返された値に置き換え、-OdataId パラメーターの値を手順 5 で示した ID に置き換えます。 グループ内のユーザーが代替ログイン ID としてメール アドレスを使用して Microsoft Entra ID にサインインできるようになるまで、最大 1 時間かかることがあります。
New-MgBetaDirectoryFeatureRolloutPolicyApplyToByRef ` -FeatureRolloutPolicyId "ROLLOUT_POLICY_ID" ` -OdataId "https://graph.microsoft.com/v1.0/directoryObjects/{GROUP_OBJECT_ID}"
新しいメンバーをグループに追加した場合、代替ログイン ID としてメール アドレスを使用して Microsoft Entra ID にサインインできるようになるまで、最大で 24 時間かかることがあります。
グループの削除
段階的なロールアウト ポリシーからグループを削除するには、次のコマンドを実行します。
Remove-MgBetaPolicyFeatureRolloutPolicyApplyToByRef -FeatureRolloutPolicyId "ROLLOUT_POLICY_ID" -DirectoryObjectId "GROUP_OBJECT_ID"
ポリシーの削除
段階的なロールアウト ポリシーを削除するには、まずポリシーを無効にして、システムから削除します。
Update-MgBetaPolicyFeatureRolloutPolicy -FeatureRolloutPolicyId "ROLLOUT_POLICY_ID" -IsEnabled:$false
Remove-MgBetaPolicyFeatureRolloutPolicy -FeatureRolloutPolicyId "ROLLOUT_POLICY_ID"
メール アドレスを使用してユーザーのサインインをテストする
ユーザーがメール アドレスを使用してサインインできるかどうかをテストするには、https://myprofile.microsoft.com に移動し、UPN 以外のメール アドレス (balas@fabrikam.com
など) を使用してサインインします。 サインイン エクスペリエンスは、UPN を使用したサインインと同じ外観になります。
トラブルシューティング
ユーザーがメール アドレスを使用してサインインするときに問題が発生した場合は、次のトラブルシューティングの手順を確認してください。
メール アドレスが代替ログイン ID として有効になってから少なくとも 1 時間が経過していることを確認します。 段階的ロールアウト ポリシーの適用対象であるグループにユーザーが最近追加された場合は、グループに追加されてから少なくとも 24 時間が経過していることを確認します。
HRD ポリシーを使用している場合は、Microsoft Entra ID HomeRealmDiscoveryPolicy の AlternateIdLogin 定義プロパティが "Enabled": true に 設定され、 IsOrganizationDefault プロパティがTrue に設定されていることを確認します。
Get-MgBetaPolicyHomeRealmDiscoveryPolicy | Format-List *
段階的ロールアウト ポリシーを使用している場合は、Microsoft Entra ID FeatureRolloutPolicy に IsEnabled プロパティが True に設定されていることを確認します。
Get-MgBetaPolicyFeatureRolloutPolicy
ユーザー アカウントのメール アドレスが、Microsoft Entra ID の ProxyAddresses 属性に設定されていることを確認します。
サインイン ログ
詳細については、 Microsoft Entra ID のサインイン ログ を確認できます。 代替ログイン ID として電子メールを使用したサインインでは、[proxyAddress
] フィールドにが出力され、[サインイン識別子] フィールドに入力されたユーザー名が出力されます。
クラウド専用ユーザーと同期されたユーザーの間で競合する値
テナント内では、クラウド専用ユーザーの UPN が、オンプレミス ディレクトリから同期された別のユーザーのプロキシ アドレスと同じ値になる場合があります。 このシナリオでは、機能を有効にすると、クラウド専用のユーザーは UPN でサインインできなくなります。 この問題のインスタンスを検出する手順を次に示します。
管理者として PowerShell セッションを開き、 Install-Module コマンドレットを使用して Microsoft Graph をインストールします。
Install-Module Microsoft.Graph.Authentication
メッセージが表示されたら、 Y を選択して NuGet をインストールするか、信頼されていないリポジトリからインストールします。
Microsoft Graph に接続する
Connect-MgGraph -Scopes "User.Read.All"
影響を受けるユーザーを取得します。
# Get all users $allUsers = Get-MgUser -All # Get list of proxy addresses from all synced users $syncedProxyAddresses = $allUsers | Where-Object {$_.ImmutableId} | Select-Object -ExpandProperty ProxyAddresses | ForEach-Object {$_ -Replace "smtp:", ""} # Get list of user principal names from all cloud-only users $cloudOnlyUserPrincipalNames = $allUsers | Where-Object {!$_.ImmutableId} | Select-Object -ExpandProperty UserPrincipalName # Get intersection of two lists $duplicateValues = $syncedProxyAddresses | Where-Object {$cloudOnlyUserPrincipalNames -Contains $_}
影響を受けるユーザーを出力するには:
# Output affected synced users $allUsers | Where-Object {$_.ImmutableId -And ($_.ProxyAddresses | Where-Object {($duplicateValues | ForEach-Object {"smtp:$_"}) -Contains $_}).Length -GT 0} | Select-Object ObjectId, DisplayName, UserPrincipalName, ProxyAddresses, ImmutableId, UserType # Output affected cloud-only users $allUsers | Where-Object {!$_.ImmutableId -And $duplicateValues -Contains $_.UserPrincipalName} | Select-Object ObjectId, DisplayName, UserPrincipalName, ProxyAddresses, ImmutableId, UserType
影響を受けるユーザーを CSV に出力するには:
# Output affected users to CSV $allUsers | Where-Object { ($_.ImmutableId -And ($_.ProxyAddresses | Where-Object {($duplicateValues | ForEach-Object {"smtp:$_"}) -Contains $_}).Length -GT 0) -Or (!$_.ImmutableId -And $duplicateValues -Contains $_.UserPrincipalName) } | Select-Object ObjectId, DisplayName, UserPrincipalName, @{n="ProxyAddresses"; e={$_.ProxyAddresses -Join ','}}, @{n="IsSyncedUser"; e={$_.ImmutableId.Length -GT 0}}, UserType | Export-Csv -Path .\AffectedUsers.csv -NoTypeInformation
次のステップ
Microsoft Entra アプリケーション プロキシや Microsoft Entra Domain Services などのハイブリッド ID の詳細については、 オンプレミス ワークロードへのアクセスと管理に関する Microsoft Entra ハイブリッド ID を参照してください。
ハイブリッド ID 操作の詳細については、 パスワード ハッシュ同期 または パススルー認証 同期のしくみを参照してください。