Delen via

Aanmelden bij Microsoft Entra-id met e-mail als alternatieve aanmeldings-id (preview)

  • Artikel

Notitie

Aanmelden bij Microsoft Entra-id met e-mail als alternatieve aanmeldings-id is een openbare preview-functie van Microsoft Entra-id. Zie Aanvullende gebruiksvoorwaarden voor Microsoft Azure Previews voor meer informatie over previews.

Veel organisaties willen gebruikers zich laten aanmelden bij Microsoft Entra ID met dezelfde referenties als hun on-premises adreslijstomgeving. Met deze benadering, ook wel hybride verificatie genoemd, hoeven gebruikers slechts één set referenties te onthouden.

Sommige organisaties zijn om de volgende redenen niet verplaatst naar hybride verificatie:

  • De Microsoft Entra user Principal Name (UPN) is standaard ingesteld op dezelfde waarde als de on-premises UPN.
  • Als u de Microsoft Entra UPN wijzigt, komen on-premises en Microsoft Entra-omgevingen niet overeen die problemen met bepaalde toepassingen en services kunnen veroorzaken.
  • Vanwege zakelijke of nalevingsredenen wil de organisatie de on-premises UPN niet gebruiken om zich aan te melden bij Microsoft Entra-id.

Als u wilt overstappen op hybride verificatie, kunt u Microsoft Entra-id configureren zodat gebruikers zich met hun e-mailadres kunnen aanmelden als een alternatieve aanmeldings-id. Als Contoso bijvoorbeeld de naam Van Fabrikam wijzigt in plaats van zich aan te melden met de verouderde ana@contoso.com UPN, kan e-mail als alternatieve aanmeldings-id worden gebruikt. Om toegang te krijgen tot een toepassing of service, melden gebruikers zich aan bij Microsoft Entra ID met behulp van hun niet-UPN-e-mail, zoals ana@fabrikam.com.

Diagram van e-mail als alternatieve aanmeldings-id.

In dit artikel leest u hoe u e-mail inschakelt en gebruikt als alternatieve aanmeldings-id.

Voordat u begint

Dit is wat u moet weten over e-mail als alternatieve aanmeldings-id:

  • De functie is beschikbaar in de gratis versie van Microsoft Entra ID en hoger.

  • De functie maakt aanmelding met ProxyAddresses mogelijk, naast UPN, voor door de cloud geverifieerde Microsoft Entra-gebruikers. Meer informatie over hoe dit van toepassing is op B2B-samenwerking (Microsoft Entra business-to-business) in de sectie B2B .

  • Wanneer een gebruiker zich aanmeldt met een niet-UPN-e-mail, retourneren de unique_name en preferred_username claims (indien aanwezig) in het id-token de niet-UPN-e-mail.

    • Als de niet-UPN-e-mail die in gebruik is verlopen (niet meer bij de gebruiker hoort), retourneren deze claims in plaats daarvan de UPN.

  • De functie ondersteunt beheerde verificatie met PHS (Password Hash Sync) of Pass Through-verificatie (PTA).

  • Er zijn twee opties voor het configureren van de functie:

    • Home Realm Discovery-beleid (HRD): gebruik deze optie om de functie voor de hele tenant in te schakelen. Ten minste de rol Toepassingsbeheerder is vereist.
    • Gefaseerd implementatiebeleid : gebruik deze optie om de functie te testen met specifieke Microsoft Entra-groepen. Wanneer u voor het eerst een beveiligingsgroep toevoegt voor gefaseerde implementatie, bent u beperkt tot 200 gebruikers om een UX-time-out te voorkomen. Nadat u de groep hebt toegevoegd, kunt u indien nodig meer gebruikers rechtstreeks aan de groep toevoegen.

    Er is een globale beheerder nodig om deze functie te beheren.

Preview-beperkingen

In de huidige preview-status gelden de volgende beperkingen voor e-mail als alternatieve aanmeldings-id:

  • Gebruikerservaring : gebruikers kunnen hun UPN zien, zelfs wanneer ze zich aanmelden met hun niet-UPN-e-mailadres. Het volgende voorbeeldgedrag kan worden gezien:

    • De gebruiker wordt gevraagd zich aan te melden met UPN wanneer deze wordt omgeleid naar microsoft Entra-aanmelding met login_hint=<non-UPN email>.
    • Wanneer een gebruiker zich aanmeldt met een niet-UPN-e-mail en een onjuist wachtwoord invoert, verandert de pagina 'Voer uw wachtwoord' in om de UPN weer te geven.
    • Op sommige Microsoft-sites en -apps, zoals Microsoft Office, kan het besturingselement Accountmanager die in de rechterbovenhoek wordt weergegeven, de UPN van de gebruiker weergeven in plaats van het niet-UPN-e-mailadres dat wordt gebruikt om u aan te melden.

  • Niet-ondersteunde stromen : sommige stromen zijn momenteel niet compatibel met niet-UPN-e-mailberichten, zoals:

    • Microsoft Entra ID Protection komt niet overeen met niet-UPN-e-mailberichten met risicodetectie van gelekte referenties. Deze risicodetectie maakt gebruik van de UPN om referenties te vinden die zijn gelekt. Zie Procedure: Risico onderzoeken voor meer informatie.
    • Wanneer een gebruiker is aangemeld met een niet-UPN-e-mailadres, kan het wachtwoord niet worden gewijzigd. Microsoft Entra selfservice voor wachtwoordherstel (SSPR) moet werken zoals verwacht. Tijdens SSPR kan de gebruiker zijn UPN zien als ze hun identiteit verifiëren met behulp van een niet-UPN-e-mail.

  • Niet-ondersteunde scenario's: de volgende scenario's worden niet ondersteund. Aanmelden met niet-UPN-e-mail voor:

  • Niet-ondersteunde apps : sommige toepassingen van derden werken mogelijk niet zoals verwacht als ze ervan uitgaan dat de unique_name of preferred_username claims onveranderbaar zijn of altijd overeenkomen met een specifiek gebruikerskenmerk, zoals UPN.

  • Logboekregistratie : wijzigingen in de configuratie van de functie in HRD-beleid worden niet expliciet weergegeven in de auditlogboeken.

  • Gefaseerd implementatiebeleid: de volgende beperkingen gelden alleen wanneer de functie is ingeschakeld met behulp van gefaseerd implementatiebeleid :

    • De functie werkt niet zoals verwacht voor gebruikers die zijn opgenomen in andere gefaseerde implementatiebeleidsregels.
    • Gefaseerd implementatiebeleid ondersteunt maximaal 10 groepen per functie.
    • Gefaseerd implementatiebeleid biedt geen ondersteuning voor geneste groepen.
    • Gefaseerd implementatiebeleid biedt geen ondersteuning voor dynamische lidmaatschapsgroepen.
    • Contactobjecten in de groep blokkeren dat de groep wordt toegevoegd aan een gefaseerd implementatiebeleid.

  • Dubbele waarden : binnen een tenant kan de UPN van een cloudgebruiker dezelfde waarde hebben als het proxyadres van een andere gebruiker dat is gesynchroniseerd vanuit de on-premises directory. In dit scenario, waarbij de functie is ingeschakeld, kunnen de cloudgebruikers zich niet aanmelden met hun UPN. Meer informatie over dit probleem vindt u in de sectie Problemen oplossen .

Overzicht van alternatieve opties voor aanmeldings-id's

Als gebruikers zich willen aanmelden bij Microsoft Entra ID, voeren gebruikers een waarde in waarmee hun account uniek wordt geïdentificeerd. In het verleden kon u de Microsoft Entra UPN alleen gebruiken als de aanmeldings-id.

Voor organisaties waar de on-premises UPN de voorkeur heeft voor aanmeldings-e-mail van de gebruiker, was deze aanpak geweldig. Deze organisaties stellen de Microsoft Entra UPN in op exact dezelfde waarde als de on-premises UPN, en gebruikers zouden een consistente aanmeldingservaring hebben.

Alternatieve aanmeldings-id voor AD FS

In sommige organisaties wordt de on-premises UPN echter niet gebruikt als aanmeldings-id. In de on-premises omgevingen configureert u de lokale AD DS om aanmelding met een alternatieve aanmeldings-id toe te staan. Het instellen van de Microsoft Entra UPN op dezelfde waarde als de on-premises UPN is geen optie, omdat Microsoft Entra-id vervolgens vereist dat gebruikers zich met die waarde aanmelden.

Alternatieve aanmeldings-id in Microsoft Entra Connect

De gebruikelijke tijdelijke oplossing voor dit probleem was het instellen van de Microsoft Entra UPN op het e-mailadres waarmee de gebruiker zich verwacht aan te melden. Deze aanpak werkt, maar resulteert in verschillende UPN's tussen de on-premises AD en Microsoft Entra-id en deze configuratie is niet compatibel met alle Microsoft 365-workloads.

E-mail als alternatieve aanmeldings-id

Een andere benadering is om de Microsoft Entra-id en on-premises UPN's te synchroniseren met dezelfde waarde en vervolgens Microsoft Entra-id te configureren zodat gebruikers zich met een geverifieerd e-mailadres kunnen aanmelden bij Microsoft Entra-id. Als u deze mogelijkheid wilt bieden, definieert u een of meer e-mailadressen in het kenmerk ProxyAddresses van de gebruiker in de on-premises directory. ProxyAddresses worden vervolgens automatisch gesynchroniseerd met Microsoft Entra ID met behulp van Microsoft Entra Connect.

Optie Beschrijving
Alternatieve aanmeldings-id voor AD FS Schakel aanmelding in met een alternatief kenmerk (zoals Mail) voor AD FS-gebruikers.
Alternatieve aanmeldings-id in Microsoft Entra Connect Synchroniseer een alternatief kenmerk (zoals Mail) als microsoft Entra UPN.
E-mail als alternatieve aanmeldings-id Schakel aanmelden met geverifieerde domeinproxyadressen in voor Microsoft Entra-gebruikers.

E-mailadressen voor aanmelden synchroniseren met Microsoft Entra-id

Traditionele Active Directory-domein Services (AD DS) of AD FS-verificatie (Active Directory Federation Services) vindt rechtstreeks plaats in uw netwerk en wordt afgehandeld door uw AD DS-infrastructuur. Met hybride verificatie kunnen gebruikers zich in plaats daarvan rechtstreeks aanmelden bij Microsoft Entra ID.

Ter ondersteuning van deze hybride verificatiemethode synchroniseert u uw on-premises AD DS-omgeving met Microsoft Entra ID met behulp van Microsoft Entra Connect en configureert u deze voor het gebruik van PHS of PTA. Zie De juiste verificatiemethode kiezen voor uw hybride identiteitsoplossing van Microsoft Entra voor meer informatie.

In beide configuratieopties verzendt de gebruiker zijn gebruikersnaam en wachtwoord naar Microsoft Entra ID, waarmee de referenties worden gevalideerd en een ticket wordt opgegeven. Wanneer gebruikers zich aanmelden bij Microsoft Entra ID, wordt de noodzaak voor uw organisatie verwijderd om een AD FS-infrastructuur te hosten en te beheren.

Een van de gebruikerskenmerken die automatisch worden gesynchroniseerd door Microsoft Entra Connect, is ProxyAddresses. Als gebruikers een e-mailadres hebben gedefinieerd in de on-premises AD DS-omgeving als onderdeel van het kenmerk ProxyAddresses , wordt dit automatisch gesynchroniseerd met de Microsoft Entra-id. Dit e-mailadres kan vervolgens rechtstreeks in het aanmeldingsproces van Microsoft Entra worden gebruikt als alternatieve aanmeldings-id.

Belangrijk

Alleen e-mailberichten in geverifieerde domeinen voor de tenant worden gesynchroniseerd met Microsoft Entra-id. Elke Microsoft Entra-tenant heeft een of meer geverifieerde domeinen waarvoor u het eigendom hebt bewezen en die uniek zijn gebonden aan uw tenant.

Zie Een aangepaste domeinnaam toevoegen en verifiëren in Microsoft Entra ID voor meer informatie.

B2B-gastgebruiker meldt zich aan met een e-mailadres

Diagram van e-mail als alternatieve aanmeldings-id voor B 2 B-gastgebruikersaanmelding.

E-mail als alternatieve aanmeldings-id is van toepassing op Microsoft Entra B2B-samenwerking onder een 'Bring Your Own Sign-In Identifiers'-model. Wanneer e-mail als alternatieve aanmeldings-id is ingeschakeld in de basistenant, kunnen Microsoft Entra-gebruikers zich aanmelden met gastaanmelding met niet-UPN-e-mail op het eindpunt van de resourcetenant. Er is geen actie vereist van de resourcetenant om deze functionaliteit in te schakelen.

Notitie

Wanneer een alternatieve aanmeldings-id wordt gebruikt op een eindpunt van een resourcetenant waarvoor de functionaliteit niet is ingeschakeld, werkt het aanmeldingsproces naadloos, maar wordt eenmalige aanmelding onderbroken.

Gebruikersaanmelding met een e-mailadres inschakelen

Notitie

Deze configuratieoptie maakt gebruik van HRD-beleid. Zie het resourcetype homeRealmDiscoveryPolicy voor meer informatie.

Zodra gebruikers met het kenmerk ProxyAddresses zijn toegepast, worden gesynchroniseerd met Microsoft Entra ID met behulp van Microsoft Entra Connect, moet u de functie inschakelen voor gebruikers om zich aan te melden met e-mail als een alternatieve aanmeldings-id voor uw tenant. Met deze functie kunnen de Microsoft Entra-aanmeldingsservers niet alleen de aanmeldings-id controleren op UPN-waarden, maar ook op basis van ProxyAddresses-waarden voor het e-mailadres.

U kunt het Microsoft Entra-beheercentrum of Graph PowerShell gebruiken om de functie in te stellen.

Er is een globale beheerder nodig om deze functie te beheren.

Microsoft Entra-beheercentrum

Fooi

Stappen in dit artikel kunnen enigszins variëren op basis van de portal waaruit u begint.

  1. Meld u als globale beheerder aan bij het Microsoft Entra-beheercentrum.

  2. Selecteer in het navigatiemenu aan de linkerkant van het Microsoft Entra-venster Microsoft Entra Connect > Email als alternatieve aanmeldings-id.

    Schermopname van e-mail als alternatieve optie voor aanmeldings-id in het Microsoft Entra-beheercentrum.

  3. Klik op het selectievakje naast E-mail als alternatieve aanmeldings-id.

  4. Klik op Opslaan.

    Schermopname van de blade alternatieve aanmeldings-id in het Microsoft Entra-beheercentrum.

Wanneer het beleid is toegepast, kan het maximaal één uur duren voordat gebruikers zich kunnen aanmelden met hun alternatieve aanmeldings-id.

PowerShell

Notitie

Deze configuratieoptie maakt gebruik van HRD-beleid. Zie het resourcetype homeRealmDiscoveryPolicy voor meer informatie.

Zodra gebruikers met het kenmerk ProxyAddresses zijn toegepast, worden gesynchroniseerd met Microsoft Entra ID met behulp van Microsoft Entra Connect, moet u de functie inschakelen voor gebruikers om zich aan te melden met e-mail als een alternatieve aanmeldings-id voor uw tenant. Met deze functie kunnen de Microsoft Entra-aanmeldingsservers niet alleen de aanmeldings-id controleren op UPN-waarden, maar ook op basis van ProxyAddresses-waarden voor het e-mailadres.

Er is een globale beheerder nodig om deze functie te beheren.

  1. Open een PowerShell-sessie als beheerder en installeer vervolgens de Microsoft.Graph-module met behulp van de Install-Module cmdlet:

    Install-Module Microsoft.Graph

    Zie De Microsoft Graph PowerShell SDK installeren voor meer informatie over de installatie.

  2. Meld u aan bij uw Microsoft Entra-tenant met behulp van de Connect-MgGraph cmdlet:

    Connect-MgGraph -Scopes "Policy.ReadWrite.ApplicationConfiguration" -TenantId organizations

    Met de opdracht wordt u gevraagd u te verifiëren met behulp van een webbrowser.

  3. Controleer als volgt of er al een HomeRealmDiscoveryPolicy bestaat in uw tenant met behulp van de Get-MgPolicyHomeRealmDiscoveryPolicy cmdlet:

    Get-MgPolicyHomeRealmDiscoveryPolicy

  4. Als er momenteel geen beleid is geconfigureerd, retourneert de opdracht niets. Als er een beleid wordt geretourneerd, slaat u deze stap over en gaat u verder met de volgende stap om een bestaand beleid bij te werken.

    Als u HomeRealmDiscoveryPolicy wilt toevoegen aan de tenant, gebruikt u de New-MgPolicyHomeRealmDiscoveryPolicy cmdlet en stelt u het kenmerk AlternateIdLogin in op 'Ingeschakeld': waar, zoals wordt weergegeven in het volgende voorbeeld:

    $AzureADPolicyDefinition = @(
  @{
     "HomeRealmDiscoveryPolicy" = @{
        "AlternateIdLogin" = @{
           "Enabled" = $true
        }
     }
  } | ConvertTo-JSON -Compress
)

$AzureADPolicyParameters = @{
  Definition            = $AzureADPolicyDefinition
  DisplayName           = "BasicAutoAccelerationPolicy"
  AdditionalProperties  = @{ IsOrganizationDefault = $true }
}

New-MgPolicyHomeRealmDiscoveryPolicy @AzureADPolicyParameters

    Wanneer het beleid is gemaakt, retourneert de opdracht de beleids-id, zoals wordt weergegeven in de volgende voorbeelduitvoer:

    Definition                                                           DeletedDateTime Description DisplayName                 Id            IsOrganizationDefault
----------                                                           --------------- ----------- -----------                 --            ---------------------
{{"HomeRealmDiscoveryPolicy":{"AlternateIdLogin":{"Enabled":true}}}}                             BasicAutoAccelerationPolicy HRD_POLICY_ID True

  5. Als er al een geconfigureerd beleid is, controleert u of het kenmerk AlternateIdLogin is ingeschakeld, zoals wordt weergegeven in de volgende voorbeeldbeleidsuitvoer:

    Definition                                                           DeletedDateTime Description DisplayName                 Id            IsOrganizationDefault
----------                                                           --------------- ----------- -----------                 --            ---------------------
{{"HomeRealmDiscoveryPolicy":{"AlternateIdLogin":{"Enabled":true}}}}                             BasicAutoAccelerationPolicy HRD_POLICY_ID True

    Als het beleid bestaat maar het kenmerk AlternateIdLogin dat niet aanwezig of ingeschakeld is, of als er andere kenmerken bestaan in het beleid dat u wilt behouden, werkt u het bestaande beleid bij met behulp van de Update-MgPolicyHomeRealmDiscoveryPolicy cmdlet.

    Belangrijk

    Wanneer u het beleid bijwerkt, moet u ervoor zorgen dat u oude instellingen en het nieuwe kenmerk AlternateIdLogin opneemt.

    In het volgende voorbeeld wordt het kenmerk AlternateIdLogin toegevoegd en blijft het kenmerk AllowCloudPasswordValidation behouden dat eerder is ingesteld:

    $AzureADPolicyDefinition = @(
  @{
     "HomeRealmDiscoveryPolicy" = @{
        "AllowCloudPasswordValidation" = $true
        "AlternateIdLogin" = @{
           "Enabled" = $true
        }
     }
  } | ConvertTo-JSON -Compress
)

$AzureADPolicyParameters = @{
  HomeRealmDiscoveryPolicyId = "HRD_POLICY_ID"
  Definition                 = $AzureADPolicyDefinition
  DisplayName                = "BasicAutoAccelerationPolicy"
  AdditionalProperties       = @{ "IsOrganizationDefault" = $true }
}

Update-MgPolicyHomeRealmDiscoveryPolicy @AzureADPolicyParameters

    Controleer of het bijgewerkte beleid uw wijzigingen weergeeft en of het kenmerk AlternateIdLogin nu is ingeschakeld:

    Get-MgPolicyHomeRealmDiscoveryPolicy

Notitie

Wanneer het beleid is toegepast, kan het een uur duren voordat het doorgeeft en gebruikers zich kunnen aanmelden met behulp van e-mail als een alternatieve aanmeldings-id.

Beleid verwijderen

Als u een HRD-beleid wilt verwijderen, gebruikt u de Remove-MgPolicyHomeRealmDiscoveryPolicy cmdlet:

Remove-MgPolicyHomeRealmDiscoveryPolicy -HomeRealmDiscoveryPolicyId "HRD_POLICY_ID"

Gefaseerde implementatie inschakelen om aanmelding van gebruikers met een e-mailadres te testen

Notitie

Deze configuratieoptie maakt gebruik van gefaseerd implementatiebeleid. Zie featureRolloutPolicy-resourcetype voor meer informatie.

Met gefaseerd implementatiebeleid kunnen tenantbeheerders functies inschakelen voor specifieke Microsoft Entra-groepen. Het wordt aanbevolen dat tenantbeheerders gefaseerde implementatie gebruiken om aanmelding van gebruikers met een e-mailadres te testen. Wanneer beheerders klaar zijn om deze functie te implementeren in hun hele tenant, moeten ze HRD-beleid gebruiken.

Er is een globale beheerder nodig om deze functie te beheren.

  1. Open een PowerShell-sessie als beheerder en installeer vervolgens de Microsoft.Graph.Beta-module met behulp van de cmdlet Install-Module :

    Install-Module Microsoft.Graph.Beta

    Als u hierom wordt gevraagd, selecteert u Y om NuGet te installeren of om te installeren vanuit een niet-vertrouwde opslagplaats.

  2. Meld u aan bij uw Microsoft Entra-tenant met behulp van de cmdlet Connect-MgGraph :

    Connect-MgGraph -Scopes "Directory.ReadWrite.All"

    De opdracht retourneert informatie over uw account, omgeving en tenant-id.

  3. Vermeld alle bestaande gefaseerde implementatiebeleidsregels met behulp van de volgende cmdlet:

    Get-MgBetaPolicyFeatureRolloutPolicy

  4. Als er geen bestaand gefaseerd implementatiebeleid voor deze functie bestaat, maakt u een nieuw gefaseerd implementatiebeleid en noteert u de beleids-id:

    $MgPolicyFeatureRolloutPolicy = @{
Feature    = "EmailAsAlternateId"
DisplayName = "EmailAsAlternateId Rollout Policy"
IsEnabled   = $true
}
New-MgBetaPolicyFeatureRolloutPolicy @MgPolicyFeatureRolloutPolicy

  5. Zoek de directoryObject-id voor de groep die moet worden toegevoegd aan het gefaseerde implementatiebeleid. Let op de waarde die wordt geretourneerd voor de id-parameter , omdat deze wordt gebruikt in de volgende stap.

    Get-MgBetaGroup -Filter "DisplayName eq 'Name of group to be added to the staged rollout policy'"

  6. Voeg de groep toe aan het gefaseerde implementatiebeleid, zoals wordt weergegeven in het volgende voorbeeld. Vervang de waarde in de parameter -FeatureRolloutPolicyId door de waarde die is geretourneerd voor de beleids-id in stap 4 en vervang de waarde in de parameter -OdataId door de id die in stap 5 is genoteerd. Het kan maximaal 1 uur duren voordat gebruikers in de groep zich kunnen aanmelden bij Microsoft Entra ID met e-mail als een alternatieve aanmeldings-id.

    New-MgBetaDirectoryFeatureRolloutPolicyApplyToByRef `
   -FeatureRolloutPolicyId "ROLLOUT_POLICY_ID" `
   -OdataId "https://graph.microsoft.com/v1.0/directoryObjects/{GROUP_OBJECT_ID}"

Voor nieuwe leden die aan de groep zijn toegevoegd, kan het tot 24 uur duren voordat ze zich met e-mail kunnen aanmelden bij Microsoft Entra-id als alternatieve aanmeldings-id.

Groepen verwijderen

Als u een groep wilt verwijderen uit een gefaseerd implementatiebeleid, voert u de volgende opdracht uit:

Remove-MgBetaPolicyFeatureRolloutPolicyApplyToByRef -FeatureRolloutPolicyId "ROLLOUT_POLICY_ID" -DirectoryObjectId "GROUP_OBJECT_ID"

Beleid verwijderen

Als u een gefaseerd implementatiebeleid wilt verwijderen, schakelt u eerst het beleid uit en verwijdert u het uit het systeem:

Update-MgBetaPolicyFeatureRolloutPolicy -FeatureRolloutPolicyId "ROLLOUT_POLICY_ID" -IsEnabled:$false 
Remove-MgBetaPolicyFeatureRolloutPolicy -FeatureRolloutPolicyId "ROLLOUT_POLICY_ID"

Gebruikersaanmelding testen met een e-mailadres

Als u wilt testen of gebruikers zich kunnen aanmelden met e-mail, gaat u naar https://myprofile.microsoft.com en meldt u zich aan met een niet-UPN-e-mail, zoals balas@fabrikam.com. De aanmeldingservaring moet er hetzelfde uitzien als aanmelden met de UPN.

Oplossen

Als gebruikers problemen ondervinden bij het aanmelden met hun e-mailadres, raadpleegt u de volgende stappen voor probleemoplossing:

  1. Zorg ervoor dat het minstens 1 uur geleden is geweest sinds e-mail als alternatieve aanmeldings-id is ingeschakeld. Als de gebruiker onlangs is toegevoegd aan een groep voor gefaseerd implementatiebeleid, controleert u of deze ten minste 24 uur geleden is toegevoegd aan de groep.

  2. Als u HRD-beleid gebruikt, controleert u of voor de Microsoft Entra-id HomeRealmDiscoveryPolicy de definitie-eigenschap AlternateIdLogin is ingesteld op 'Enabled': true en de eigenschap IsOrganizationDefault is ingesteld op True:

    Get-MgBetaPolicyHomeRealmDiscoveryPolicy | Format-List *

    Als u gefaseerd implementatiebeleid gebruikt, controleert u of de eigenschap IsEnabled is ingesteld op True voor de Microsoft Entra-id FeatureRolloutPolicy:

    Get-MgBetaPolicyFeatureRolloutPolicy

  3. Zorg ervoor dat het e-mailadres van het gebruikersaccount is ingesteld in het kenmerk ProxyAddresses in Microsoft Entra ID.

Aanmeldingslogboeken

Schermopname van aanmeldingslogboeken van Microsoft Entra met e-mail als alternatieve aanmeldings-id-activiteit.

U kunt de aanmeldingslogboeken in Microsoft Entra ID bekijken voor meer informatie. Aanmeldingen met e-mail als een alternatieve aanmeldings-id worden verzonden proxyAddress in het veld Aanmeldings-id en de ingevoerde gebruikersnaam in het veld Aanmeldings-id .

Conflicterende waarden tussen cloudgebruikers en gesynchroniseerde gebruikers

Binnen een tenant kan de UPN van een cloudgebruiker dezelfde waarde aannemen als het proxyadres van een andere gebruiker dat is gesynchroniseerd vanuit de on-premises directory. In dit scenario, waarbij de functie is ingeschakeld, kunnen de cloudgebruikers zich niet aanmelden met hun UPN. Hier volgen de stappen voor het detecteren van exemplaren van dit probleem.

  1. Open een PowerShell-sessie als beheerder en installeer vervolgens de AzureADPreview-module met behulp van de cmdlet Install-Module :

    Install-Module Microsoft.Graph.Beta

    Als u hierom wordt gevraagd, selecteert u Y om NuGet te installeren of om te installeren vanuit een niet-vertrouwde opslagplaats.

  2. Er is een globale beheerder nodig om deze functie te beheren.

    Meld u aan bij uw Microsoft Entra-tenant met behulp van de Connect-AzureAD-cmdlet :

    Connect-MgGraph -Scopes "User.Read.All"

  3. Betrokken gebruikers krijgen.

    # Get all users
$allUsers = Get-MgUser -All

# Get list of proxy addresses from all synced users
$syncedProxyAddresses = $allUsers |
    Where-Object {$_.ImmutableId} |
    Select-Object -ExpandProperty ProxyAddresses |
    ForEach-Object {$_ -Replace "smtp:", ""}

# Get list of user principal names from all cloud-only users
$cloudOnlyUserPrincipalNames = $allUsers |
    Where-Object {!$_.ImmutableId} |
    Select-Object -ExpandProperty UserPrincipalName

# Get intersection of two lists
$duplicateValues = $syncedProxyAddresses |
    Where-Object {$cloudOnlyUserPrincipalNames -Contains $_}

  4. Als u betrokken gebruikers wilt uitvoeren:

    # Output affected synced users
$allUsers |
    Where-Object {$_.ImmutableId -And ($_.ProxyAddresses | Where-Object {($duplicateValues | ForEach-Object {"smtp:$_"}) -Contains $_}).Length -GT 0} |
    Select-Object ObjectId, DisplayName, UserPrincipalName, ProxyAddresses, ImmutableId, UserType

# Output affected cloud-only users
$allUsers |
    Where-Object {!$_.ImmutableId -And $duplicateValues -Contains $_.UserPrincipalName} |
    Select-Object ObjectId, DisplayName, UserPrincipalName, ProxyAddresses, ImmutableId, UserType

  5. De uitvoer van betrokken gebruikers naar CSV uitvoeren:

    # Output affected users to CSV
$allUsers |
    Where-Object {
        ($_.ImmutableId -And ($_.ProxyAddresses | Where-Object {($duplicateValues | ForEach-Object {"smtp:$_"}) -Contains $_}).Length -GT 0) -Or
        (!$_.ImmutableId -And $duplicateValues -Contains $_.UserPrincipalName)
    } |
    Select-Object ObjectId, DisplayName, UserPrincipalName, @{n="ProxyAddresses"; e={$_.ProxyAddresses -Join ','}}, @{n="IsSyncedUser"; e={$_.ImmutableId.Length -GT 0}}, UserType |
    Export-Csv -Path .\AffectedUsers.csv -NoTypeInformation

Volgende stappen

Zie hybride Microsoft Entra-identiteit voor toegang en beheer van on-premises workloads voor meer informatie over hybride identiteit, zoals Microsoft Entra-toepassingsproxy of Microsoft Entra Domain Services.

Zie voor meer informatie over hybride identiteitsbewerkingen hoe wachtwoord-hashsynchronisatie of passthrough-verificatiesynchronisatie werkt.