Veel organisaties willen gebruikers zich laten aanmelden bij Microsoft Entra ID met dezelfde referenties als hun on-premises adreslijstomgeving. Met deze methode, ook wel hybride verificatie genoemd, hoeven gebruikers slechts één set referenties te onthouden.
Sommige organisaties zijn om de volgende redenen niet overgestapt op hybride verificatie:
De Microsoft Entra user Principal Name (UPN) is standaard ingesteld op dezelfde waarde als de on-premises UPN.
Als u de Microsoft Entra UPN wijzigt, komen on-premises en Microsoft Entra-omgevingen niet overeen die problemen met bepaalde toepassingen en services kunnen veroorzaken.
Vanwege zakelijke of nalevingsredenen wil de organisatie de on-premises UPN niet gebruiken om zich aan te melden bij Microsoft Entra-id.
Als u wilt overstappen op hybride verificatie, kunt u Microsoft Entra-id configureren zodat gebruikers zich met hun e-mailadres kunnen aanmelden als een alternatieve aanmeldings-id. Als de naam Contoso bijvoorbeeld is gewijzigd in Fabrikam, kan het e-mailadres als alternatieve aanmeldings-id worden gebruikt in plaats van zich aan te melden met de verouderde ana@contoso.com-UPN. Om toegang te krijgen tot een toepassing of service, melden gebruikers zich aan bij Microsoft Entra ID met behulp van hun niet-UPN-e-mail, zoals ana@fabrikam.com.
Dit artikel laat u zien hoe u e-mailadressen kunt inschakelen en gebruiken als alternatieve aanmeldings-id.
Voordat u begint
Dit is wat u moet weten over een e-mailadres als alternatieve aanmeldings-id:
De functie is beschikbaar in de gratis versie van Microsoft Entra ID en hoger.
De functie maakt aanmelding met ProxyAddresses mogelijk, naast UPN, voor door de cloud geverifieerde Microsoft Entra-gebruikers. Meer informatie over hoe dit van toepassing is op B2B-samenwerking (Microsoft Entra business-to-business) in de sectie B2B .
Wanneer een gebruiker zich aanmeldt met een niet-UPN-e-mailadres, retourneren de unique_name- en preferred_username-claims (indien aanwezig) het niet-UPN-e-mailadres in het id-token.
Als het niet-UPN-e-mailadres dat wordt gebruikt, verouderd is (niet langer tot de gebruiker behoort), retourneren deze claims in plaats daarvan de UPN.
De functie ondersteunt beheerde verificatie met wachtwoord-hashsynchronisatie (PHS) of passthrough-verificatie (PTA).
Er zijn twee opties voor het configureren van de functie:
Gefaseerd implementatiebeleid : gebruik deze optie om de functie te testen met specifieke Microsoft Entra-groepen. Wanneer u voor het eerst een beveiligingsgroep toevoegt voor gefaseerde implementatie, bent u beperkt tot 200 gebruikers om een UX-time-out te voorkomen. Nadat u de groep hebt toegevoegd, kunt u naar behoefte meer gebruikers rechtstreeks aan de groep toevoegen.
Preview-beperkingen
In de huidige preview-status gelden de volgende beperkingen voor een e-mailadres als alternatieve aanmeldings-id:
Gebruikerservaring: gebruikers kunnen hun UPN zien, zelfs wanneer ze zich aanmelden met hun niet-UPN-e-mailadres. Het volgende voorbeeldgedrag doet zich mogelijk voor:
De gebruiker wordt gevraagd zich aan te melden met UPN wanneer deze wordt omgeleid naar microsoft Entra-aanmelding met login_hint=<non-UPN email>.
Wanneer een gebruiker zich aanmeldt met een niet-UPN-e-mailadres en een onjuist wachtwoord invoert, verandert de pagina Voer uw wachtwoord in om de UPN weer te geven.
Op sommige Microsoft-sites en -apps, zoals Microsoft Office, kan het besturingselement Accountmanager in de rechterbovenhoek de UPN van de gebruiker weergeven in plaats van het niet-UPN-e-mailadres dat voor aanmelding wordt gebruikt.
Niet-ondersteunde stromen: sommige stromen zijn momenteel niet compatibel met niet-UPN-e-mailadressen, zoals:
Microsoft Entra ID Protection komt niet overeen met niet-UPN-e-mailberichten met risicodetectie van gelekte referenties. Deze risicodetectie maakt gebruik van de UPN om referenties te vinden die zijn gelekt. Zie Procedure: Risico onderzoeken voor meer informatie.
Wanneer een gebruiker is aangemeld met een niet-UPN-e-mailadres, kan het wachtwoord niet worden gewijzigd. Microsoft Entra selfservice voor wachtwoordherstel (SSPR) moet werken zoals verwacht. Tijdens SSPR kunnen gebruikers hun UPN zien als ze hun identiteit verifiëren met behulp van een niet-UPN-e-mailadres.
Niet-ondersteunde scenario's: de volgende scenario's worden niet ondersteund. Aanmelden met niet-UPN-e-mailadres voor:
Niet-ondersteunde apps - sommige toepassingen van derden werken mogelijk niet zoals verwacht als ze ervan uitgaan dat de unique_name- of preferred_username-claims onveranderbaar zijn of altijd overeenkomen met een specifiek gebruikerskenmerk, zoals UPN.
Logboekregistratie - wijzigingen in de configuratie van de functie in HRD-beleid worden niet expliciet weergegeven in de auditlogboeken.
Gefaseerd implementatiebeleid - de volgende beperkingen gelden alleen wanneer de functie is ingeschakeld met behulp van gefaseerd implementatiebeleid:
De functie werkt niet zoals verwacht voor gebruikers die zijn opgenomen in ander gefaseerd implementatiebeleid.
Gefaseerd implementatiebeleid ondersteunt maximaal 10 groepen per functie.
Gefaseerd implementatiebeleid biedt geen ondersteuning voor geneste groepen.
Gefaseerd implementatiebeleid biedt geen ondersteuning voor dynamische lidmaatschapsgroepen.
Contactobjecten in de groep blokkeren dat de groep wordt toegevoegd aan een gefaseerd implementatiebeleid.
Dubbele waarden - binnen een tenant kan de UPN van een gebruiker van alleen de cloud dezelfde waarde hebben als het proxyadres van een andere gebruiker dat is gesynchroniseerd vanuit de on-premises-map. In dit scenario, waarbij de functie is ingeschakeld, kan de gebruiker van alleen de cloud zich niet aanmelden met de UPN. Meer informatie over dit probleem vindt u in de sectie Problemen oplossen.
Overzicht van alternatieve opties voor aanmeldings-id's
Als gebruikers zich willen aanmelden bij Microsoft Entra ID, voeren gebruikers een waarde in waarmee hun account uniek wordt geïdentificeerd. In het verleden kon u de Microsoft Entra UPN alleen gebruiken als de aanmeldings-id.
Voor organisaties waar de on-premises-UPN de voorkeur heeft voor aanmeldings-e-mailadres van de gebruiker, was deze methode geweldig. Deze organisaties stellen de Microsoft Entra UPN in op exact dezelfde waarde als de on-premises UPN, en gebruikers zouden een consistente aanmeldingservaring hebben.
Alternatieve aanmeldings-id voor AD FS
In sommige organisaties wordt de on-premises-UPN echter niet gebruikt als aanmeldings-id. In de on-premises-omgevingen configureert u de lokale AD DS om aanmelding met een alternatieve aanmeldings-id toe te staan. Het instellen van de Microsoft Entra UPN op dezelfde waarde als de on-premises UPN is geen optie, omdat Microsoft Entra-id vervolgens vereist dat gebruikers zich met die waarde aanmelden.
Alternatieve aanmeldings-id in Microsoft Entra Connect
De gebruikelijke tijdelijke oplossing voor dit probleem was het instellen van de Microsoft Entra UPN op het e-mailadres waarmee de gebruiker zich verwacht aan te melden. Deze aanpak werkt, maar resulteert in verschillende UPN's tussen de on-premises AD en Microsoft Entra-id en deze configuratie is niet compatibel met alle Microsoft 365-workloads.
E-mailadres als alternatieve aanmeldings-id
Een andere benadering is om de Microsoft Entra-id en on-premises UPN's te synchroniseren met dezelfde waarde en vervolgens Microsoft Entra-id te configureren zodat gebruikers zich met een geverifieerd e-mailadres kunnen aanmelden bij Microsoft Entra-id. Als u deze mogelijkheid wilt bieden, definieert u een of meer e-mailadressen in het kenmerk ProxyAddresses van de gebruiker in de on-premises-map.
ProxyAddresses worden vervolgens automatisch gesynchroniseerd met Microsoft Entra ID met behulp van Microsoft Entra Connect.
Synchroniseer een alternatief kenmerk (zoals Mail) als microsoft Entra UPN.
E-mailadres als alternatieve aanmeldings-id
Schakel aanmelden met geverifieerde domeinproxyadressen in voor Microsoft Entra-gebruikers.
E-mailadressen voor aanmelden synchroniseren met Microsoft Entra-id
Traditionele verificatie van Active Directory Domain Services (AD DS) of Active Directory Federation Services (AD FS) vindt rechtstreeks plaats in uw netwerk en wordt verwerkt door uw AD DS-infrastructuur. Met hybride verificatie kunnen gebruikers zich in plaats daarvan rechtstreeks aanmelden bij Microsoft Entra ID.
In beide configuratieopties verzendt de gebruiker zijn gebruikersnaam en wachtwoord naar Microsoft Entra ID, waarmee de referenties worden gevalideerd en een ticket wordt opgegeven. Wanneer gebruikers zich aanmelden bij Microsoft Entra ID, wordt de noodzaak voor uw organisatie verwijderd om een AD FS-infrastructuur te hosten en te beheren.
Een van de gebruikerskenmerken die automatisch worden gesynchroniseerd door Microsoft Entra Connect, is ProxyAddresses. Als gebruikers een e-mailadres hebben gedefinieerd in de on-premises AD DS-omgeving als onderdeel van het kenmerk ProxyAddresses , wordt dit automatisch gesynchroniseerd met de Microsoft Entra-id. Dit e-mailadres kan vervolgens rechtstreeks in het aanmeldingsproces van Microsoft Entra worden gebruikt als alternatieve aanmeldings-id.
Belangrijk
Alleen e-mailberichten in geverifieerde domeinen voor de tenant worden gesynchroniseerd met Microsoft Entra-id. Elke Microsoft Entra-tenant heeft een of meer geverifieerde domeinen waarvoor u het eigendom hebt bewezen en die uniek zijn gebonden aan uw tenant.
B2B-gastgebruiker meldt zich aan met een e-mailadres
E-mail als alternatieve aanmeldings-id is van toepassing op Microsoft Entra B2B-samenwerking onder een 'Bring Your Own Sign-In Identifiers'-model. Wanneer e-mail als alternatieve aanmeldings-id is ingeschakeld in de basistenant, kunnen Microsoft Entra-gebruikers zich aanmelden met gastaanmelding met niet-UPN-e-mail op het eindpunt van de resourcetenant. Er is geen actie vereist van de resourcetenant om deze functionaliteit in te schakelen.
Notitie
Wanneer een alternatieve aanmeldings-id wordt gebruikt op een eindpunt van een resourcetenant waarvoor de functionaliteit niet is ingeschakeld, werkt het aanmeldingsproces naadloos, maar wordt eenmalige aanmelding onderbroken.
Aanmelding van gebruikers met een e-mailadres inschakelen
Notitie
Deze configuratieoptie maakt gebruik van HRD-beleid. Zie het homeRealmDiscoveryPolicy resource type (resourcetype homeRealmDiscoveryPolicy) voor meer informatie.
Zodra gebruikers met het kenmerk ProxyAddresses zijn toegepast, worden gesynchroniseerd met Microsoft Entra ID met behulp van Microsoft Entra Connect, moet u de functie inschakelen voor gebruikers om zich aan te melden met e-mail als een alternatieve aanmeldings-id voor uw tenant. Met deze functie kunnen de Microsoft Entra-aanmeldingsservers niet alleen de aanmeldings-id controleren op UPN-waarden, maar ook op basis van ProxyAddresses-waarden voor het e-mailadres.
U kunt het Microsoft Entra-beheercentrum of Graph PowerShell gebruiken om de functie in te stellen.
Navigeer naar Identity>Hybride Beheer>Microsoft Entra Connect>Connect Sync
Selecteer E-mail als alternatieve aanmeldings-id**.
Klik op het selectievakje naast E-mailadres als alternatieve aanmeldings-id.
Klik op Opslaan.
Wanneer het beleid is toegepast, kan het maximaal één uur duren voordat gebruikers zich kunnen aanmelden met hun alternatieve aanmeldings-id.
Powershell
Notitie
Deze configuratieoptie maakt gebruik van HRD-beleid. Zie het homeRealmDiscoveryPolicy resource type (resourcetype homeRealmDiscoveryPolicy) voor meer informatie.
Zodra gebruikers met het kenmerk ProxyAddresses zijn toegepast, worden gesynchroniseerd met Microsoft Entra ID met behulp van Microsoft Entra Connect, moet u de functie inschakelen voor gebruikers om zich aan te melden met e-mail als een alternatieve aanmeldings-id voor uw tenant. Met deze functie kunnen de Microsoft Entra-aanmeldingsservers niet alleen de aanmeldings-id controleren op UPN-waarden, maar ook op basis van ProxyAddresses-waarden voor het e-mailadres.
De opdracht vraagt u om te verifiëren met behulp van een webbrowser.
Controleer als volgt of er al een HomeRealmDiscoveryPolicy bestaat in uw tenant met behulp van de Get-MgPolicyHomeRealmDiscoveryPolicy-cmdlet:
PowerShell
Get-MgPolicyHomeRealmDiscoveryPolicy
Als er momenteel geen beleid is geconfigureerd, retourneert de opdracht niets. Als een beleid wordt geretourneerd, slaat u deze stap over en gaat u verder met de volgende stap om een bestaand beleid bij te werken.
Als u de homeRealmDiscoveryPolicy wilt toevoegen aan de tenant, gebruikt u de New-MgPolicyHomeRealmDiscoveryPolicy-cmdlet en stelt u het kenmerk AlternateIdLogin in op 'Enabled': true, zoals wordt weergegeven in het volgende voorbeeld:
Als er al een geconfigureerd beleid is, controleert u of het kenmerk AlternateIdLogin is ingeschakeld, zoals wordt weergegeven in de volgende voorbeeldbeleidsuitvoer:
Als het beleid bestaat, maar het kenmerk AlternateIdLogin niet aanwezig of ingeschakeld is, of als er andere kenmerken bestaan in het beleid dat u wilt behouden, werkt u het bestaande beleid bij met behulp van de Update-MgPolicyHomeRealmDiscoveryPolicy-cmdlet.
Belangrijk
Wanneer u het beleid bijwerkt, moet u ervoor zorgen dat u oude instellingen en het nieuwe kenmerk AlternateIdLogin opneemt.
In het volgende voorbeeld wordt het kenmerk AlternateIdLogin toegevoegd en blijft het kenmerk AllowCloudPasswordValidation dat eerder is ingesteld behouden:
Controleer of in het bijgewerkte beleid uw wijzigingen worden weergegeven en of het kenmerk AlternateIdLogin nu is ingeschakeld:
PowerShell
Get-MgPolicyHomeRealmDiscoveryPolicy
Notitie
Wanneer het beleid is toegepast, duurt het maximaal één uur voordat het is doorgegeven en gebruikers zich kunnen aanmelden met een e-mailadres als alternatieve aanmeldings-id.
Beleid verwijderen
Gebruikt de Remove-MgPolicyHomeRealmDiscoveryPolicy-cmdlet als u een HRD-beleid wilt verwijderen:
Gefaseerde implementatie inschakelen om aanmelding van gebruikers met een e-mailadres te testen
Notitie
Deze configuratieoptie maakt gebruik van gefaseerd implementatiebeleid. Zie het featureRolloutPolicy resource type (resourcetype FeatureRolloutPolicy) voor meer informatie.
Met gefaseerd implementatiebeleid kunnen tenantbeheerders functies inschakelen voor specifieke Microsoft Entra-groepen. Het wordt aanbevolen dat tenantbeheerders gefaseerde implementatie gebruiken om aanmelding van gebruikers met een e-mailadres te testen. Wanneer beheerders klaar zijn om deze functie te implementeren in hun hele tenant, moeten ze HRD-beleid gebruiken.
De opdracht retourneert informatie over uw account, omgeving en tenant-id.
Vermeld al het bestaande gefaseerde implementatiebeleid met behulp van de volgende cmdlet:
PowerShell
Get-MgBetaPolicyFeatureRolloutPolicy
Als er geen bestaand gefaseerd implementatiebeleid voor deze functie bestaat, maakt u een nieuw gefaseerd implementatiebeleid en noteert u de beleids-id:
Zoek de directoryObject-id voor de groep die moet worden toegevoegd aan het gefaseerde implementatiebeleid. Noteer de waarde die wordt geretourneerd voor de parameter Id, omdat deze wordt gebruikt in de volgende stap.
PowerShell
Get-MgBetaGroup -Filter"DisplayName eq 'Name of group to be added to the staged rollout policy'"
Voeg de groep toe aan het gefaseerde implementatiebeleid, zoals wordt weergegeven in het volgende voorbeeld. Vervang de waarde in de parameter -FeatureRolloutPolicyId door de waarde die is geretourneerd voor de beleids-id in stap 4 en vervang de waarde in de parameter -OdataId door de id die in stap 5 is genoteerd. Het kan maximaal 1 uur duren voordat gebruikers in de groep zich kunnen aanmelden bij Microsoft Entra ID met e-mail als een alternatieve aanmeldings-id.
Voor nieuwe leden die aan de groep zijn toegevoegd, kan het tot 24 uur duren voordat ze zich met e-mail kunnen aanmelden bij Microsoft Entra-id als alternatieve aanmeldings-id.
Groepen verwijderen
Als u een groep wilt verwijderen uit een gefaseerd implementatiebeleid, voert u de volgende opdracht uit:
Aanmelding van gebruikers met een e-mailadres testen
Als u wilt testen of gebruikers zich kunnen aanmelden met een e-mailadres, gaat u naar https://myprofile.microsoft.com en meldt u zich aan met een niet-UPN-e-mailadres, zoals balas@fabrikam.com. De aanmeldingservaring moet er hetzelfde uitzien als aanmelden met de UPN.
Problemen oplossen
Als gebruikers problemen ondervinden bij het aanmelden met hun e-mailadres, bekijkt u de volgende stappen voor het oplossen van problemen:
Zorg ervoor dat het minimaal 1 uur geleden is dat e-mailadres als een alternatieve aanmeldings-id is ingeschakeld. Als de gebruiker onlangs is toegevoegd aan een groep voor gefaseerd implementatiebeleid, moet u ervoor zorgen dat deze minimaal 24 uur geleden is toegevoegd aan de groep.
Als u HRD-beleid gebruikt, controleert u of voor de Microsoft Entra-id HomeRealmDiscoveryPolicy de definitie-eigenschap AlternateIdLogin is ingesteld op 'Enabled': true en de eigenschap IsOrganizationDefault is ingesteld op True:
Als u gefaseerd implementatiebeleid gebruikt, controleert u of de eigenschap IsEnabled is ingesteld op True voor de Microsoft Entra-id FeatureRolloutPolicy:
PowerShell
Get-MgBetaPolicyFeatureRolloutPolicy
Zorg ervoor dat het e-mailadres van het gebruikersaccount is ingesteld in het kenmerk ProxyAddresses in Microsoft Entra ID.
Aanmeldingslogboeken
U kunt de aanmeldingslogboeken in Microsoft Entra ID bekijken voor meer informatie. Aanmeldingen met een e-mailadres als een alternatieve aanmeldings-id plaatsen proxyAddress in het veld Type aanmeldings-id en de ingevoerde gebruikersnaam in het veld Aanmeldings-id.
Conflicterende waarden tussen alleen gebruikers van de cloud en gesynchroniseerde gebruikers
Binnen een tenant kan de UPN van een gebruiker van alleen de cloud dezelfde waarde aannemen als het proxyadres van een andere gebruiker dat is gesynchroniseerd vanuit de on-premises-map. In dit scenario, waarbij de functie is ingeschakeld, kan de gebruiker van alleen de cloud zich niet aanmelden met de UPN. Dit zijn de stappen voor het detecteren van exemplaren van dit probleem.
Open een PowerShell-sessie als beheerder en installeer vervolgens de AzureADPreview-module met behulp van de Install-Module-cmdlet:
PowerShell
Install-Module Microsoft.Graph.Beta
Als u hierom wordt gevraagd, selecteert u Y om NuGet te installeren of om te installeren vanuit een niet-vertrouwde opslagplaats.
# Get all users$allUsers = Get-MgUser -All# Get list of proxy addresses from all synced users$syncedProxyAddresses = $allUsers |
Where-Object {$_.ImmutableId} |
Select-Object -ExpandProperty ProxyAddresses |
ForEach-Object {$_ -Replace"smtp:", ""}
# Get list of user principal names from all cloud-only users$cloudOnlyUserPrincipalNames = $allUsers |
Where-Object {!$_.ImmutableId} |
Select-Object -ExpandProperty UserPrincipalName
# Get intersection of two lists$duplicateValues = $syncedProxyAddresses |
Where-Object {$cloudOnlyUserPrincipalNames -Contains$_}
Zie voor meer informatie over hybride identiteitsbewerkingen hoe how password hash sync (wachtwoord-hashsynchronisatie) of pass-through authentication (passthrough-verificatiesynchronisatie) werkt.
Ontdek hoe Microsoft Entra Externe ID veilige, naadloze aanmeldingservaringen voor uw consumenten en zakelijke klanten kan bieden. Verken het maken van tenants, app-registratie, stroomaanpassing en accountbeveiliging.
Demonstreer de functies van Microsoft Entra ID om identiteitsoplossingen te moderniseren, hybride oplossingen te implementeren en identiteitsbeheer te implementeren.