Поделиться через


Вход в Microsoft Entra ID с помощью адреса электронной почты в качестве альтернативного имени для входа (предварительная версия)

Примечание.

Вход в Microsoft Entra ID с помощью электронной почты в качестве альтернативного идентификатора входа — это общедоступная предварительная версия идентификатора Microsoft Entra ID. Дополнительные сведения о предварительных версиях см. в дополнительных условиях использования для предварительных версий Microsoft Azure.

Многие организации хотят разрешить пользователям входить в Microsoft Entra ID, используя те же учетные данные, что и в их локальной среде каталогов. При таком подходе, известном как гибридная проверка подлинности, пользователям нужно запоминать только один набор учетных данных.

Некоторые организации не перешли к гибридной проверке подлинности по следующим причинам.

  • По умолчанию основное имя пользователя (UPN) в Microsoft Entra устанавливается таким же, как локальное основное имя пользователя.
  • Изменение UPN в Microsoft Entra создает несоответствие между локальной средой и средой Microsoft Entra, что может вызвать проблемы с некоторыми приложениями и службами.
  • Из-за бизнес- или регулирования организация не хочет использовать локальное имя пользователя UPN для входа в идентификатор Microsoft Entra.

Чтобы перейти к гибридной проверке подлинности, можно настроить идентификатор Microsoft Entra, чтобы пользователи могли войти с помощью электронной почты в качестве альтернативного идентификатора входа. Например, если Компания Contoso переименовалась в Fabrikam, вместо того чтобы продолжить вход с помощью устаревшего ana@contoso.com UPN, можно использовать электронную почту в качестве альтернативного логина. Чтобы получить доступ к приложению или службе, пользователи войдут в Microsoft Entra ID, используя адрес электронной почты, не совпадающий с UPN, например ana@fabrikam.com.

Схема электронной почты в качестве альтернативного идентификатора входа.

В этой статье показано, как включить и использовать адрес электронной почты в качестве альтернативного имени для входа.

Перед началом работы

Далее приводятся сведения об адресе электронной почты в качестве альтернативного имени для входа:

  • Эта функция доступна в бесплатном выпуске Microsoft Entra ID и более поздней версии.
  • Эта функция позволяет пользователям Microsoft Entra, аутентифицированным в облаке, входить с использованием ProxyAddresses в дополнение к именам пользователя UPN. Дополнительные сведения о том, как это относится к совместной работе Microsoft Entra business-to-business (B2B) в разделе B2B.
  • При входе пользователя с помощью электронной почты, не являющейся UPN, unique_namepreferred_username утверждения (если присутствуют) в токене идентификатора будут возвращать эту электронную почту, не являющуюся UPN.
    • Если используемый адрес электронной почты, который не является UPN, становится устаревшим (больше не принадлежит пользователю), эти утверждения будут возвращать UPN.
  • Эта функция поддерживает управляемую проверку подлинности с помощью синхронизации хэша паролей (PHS) или сквозной проверки подлинности (PTA).
  • Существует два варианта настройки функции:
    • Политика обнаружения домашней области (HRD) — используйте этот параметр, чтобы включить функцию для всего клиента. По крайней мере требуется роль администратора приложений .
    • Политика поэтапного развертывания . Используйте этот параметр для проверки функции с определенными группами Microsoft Entra. При первом добавлении группы безопасности для поэтапного развертывания вы можете ограничиться 200 пользователями, чтобы избежать истечения времени ожидания пользовательского интерфейса. После добавления группы вы можете добавить в нее дополнительных пользователей по мере необходимости.

Ограничения предварительной версии

В текущем состоянии предварительной версии следующие ограничения применяются к адресу электронной почты в качестве альтернативного имени для входа:

  • Взаимодействие с пользователем - Пользователи могут видеть свой UPN, даже если вошли в систему с использованием электронной почты, отличной от UPN. Может быть следующий пример поведения:

    • Пользователю предлагается войти с помощью UPN при перенаправлении на страницу входа в Microsoft Entra с помощью login_hint=<non-UPN email>.
    • Когда пользователь входит в систему с помощью электронного адреса, отличного от UPN, и вводит неверный пароль, страница "Введите пароль" изменится, чтобы отобразить UPN.
    • На некоторых сайтах и приложениях Майкрософт, таких как Microsoft Office, элемент управления Диспетчер учетных записей, как правило, отображаемый в правом верхнем углу, может отображать имя пользователя UPN вместо адреса электронной почты, отличающегося от UPN, используемого для входа.
  • Неподдерживаемые потоки - Некоторые потоки в настоящее время несовместимы с адресами электронной почты без UPN, например, следующими:

    • Защита идентификатора Microsoft Entra ID не сопоставляет сообщения электронной почты без UPN с обнаружением риска утечки учетных данных. Это обнаружение рисков использует UPN для сопоставления учетных данных, которые утекли. Дополнительные сведения см. в разделе "Практическое руководство. Изучение риска".
    • Когда пользователь входит с помощью адреса электронной почты, не являющимся UPN, он не может изменить свой пароль. Самостоятельный сброс пароля Microsoft Entra (SSPR) должен функционировать в соответствии с ожиданиями. Во время SSPR пользователь может видеть свой UPN, если он удостоверяет свою личность через адрес электронной почты, не связанный с UPN.
  • Неподдерживаемые сценарии . Следующие сценарии не поддерживаются. Вход в систему с помощью электронной почты, не связанной с UPN:

  • Неподдерживаемые приложения - Некоторые сторонние приложения могут не работать как ожидается, если предполагается, что unique_namepreferred_username утверждения неизменяемы или всегда соответствуют определенному атрибуту пользователя, например UPN.

  • Ведение журнала . Изменения, внесенные в конфигурацию функции в политике HRD, не отображаются явным образом в журналах аудита.

  • Политика поэтапного развертывания . Следующие ограничения применяются только в том случае, если эта функция включена с помощью политики поэтапного развертывания:

    • Функция не работает должным образом для пользователей, которые включены в других политиках поэтапного развертывания.
    • Политика поэтапного развертывания поддерживает не больше 10 групп для каждой функции.
    • Политика поэтапного развертывания не поддерживает вложенные группы пользователей.
    • Политика поэтапного развертывания не поддерживает динамические группы членства.
    • Контактные объекты внутри группы будут блокировать добавление группы в политику постепенного внедрения.
  • Повторяющиеся значения. В пределах арендатора UPN пользователя только облака может совпадать со значением, используемым как адрес прокси другого пользователя, синхронизированного из локального каталога. В этом сценарии, если функция включена, пользователь, работающий только в облаке, не сможет войти в систему, используя основное имя пользователя (UPN). Дополнительные сведения об этой проблеме см. в разделе "Устранение неполадок ".

Общие сведения о параметрах альтернативного имени для входа

Чтобы войти в Microsoft Entra ID, пользователи вводят значение, которое однозначно идентифицирует свою учетную запись. Исторически вы могли использовать только UPN Microsoft Entra в качестве идентификатора для входа.

Для организаций, где локальное имя участника-пользователя является предпочтительным электронным адресом входа, такой подход был отличным. Эти организации будут устанавливать имя участника Microsoft Entra на то же значение, что и локальное имя участника, и у пользователей будет единый процесс входа.

Альтернативное имя для входа для AD FS

Однако в некоторых организациях локальный UPN не используется в качестве идентификатора для входа в систему. В локальных средах можно настроить локальную службу AD DS, чтобы разрешить вход с помощью альтернативного имени для входа. Установка UPN Microsoft Entra на то же значение, что и локальное имя пользователя, не является вариантом, так как Microsoft Entra ID затем требует, чтобы пользователи входили с этим значением.

Альтернативный идентификатор входа в Microsoft Entra Connect

Обычное решение этой проблемы заключалось в установке UPN Microsoft Entra на адрес электронной почты, который пользователь ожидает использовать для входа. Этот подход работает, хотя приводит к разным именам пользователя в локальном AD и в Microsoft Entra ID, и эта конфигурация несовместима со всеми рабочими нагрузками Microsoft 365.

Адрес электронной почты в качестве альтернативного имени для входа

Другой подход заключается в синхронизации идентификатора Microsoft Entra ID и локальных UPN до одного значения, а затем в настройке Microsoft Entra ID так, чтобы пользователи могли войти в Microsoft Entra ID с проверенным адресом электронной почты. Чтобы обеспечить эту возможность, необходимо определить один или несколько адресов электронной почты в атрибуте ProxyAddresses пользователя в локальном каталоге. Затем proxyAddresses синхронизируются с идентификатором Microsoft Entra ID автоматически с помощью Microsoft Entra Connect.

Вариант Описание
Альтернативный идентификатор входа для AD FS Включение входа с помощью альтернативного атрибута (например, электронной почты) для пользователей AD FS.
Альтернативный идентификатор входа в Microsoft Entra Connect Синхронизация альтернативного атрибута (например, почта) как UPN Microsoft Entra.
Адрес электронной почты в качестве альтернативного имени для входа Включите вход с проверенным доменом ProxyAddresses для пользователей Microsoft Entra.

Синхронизация адресов электронной почты входа с идентификатором Microsoft Entra

Традиционная проверка подлинности доменных служб Active Directory Services (AD DS) или служб федерации Active Directory (AD FS) производится непосредственно в вашей сети и обрабатывается вашей инфраструктурой AD DS. При гибридной проверке подлинности пользователи могут выполнять вход непосредственно в идентификатор Microsoft Entra.

Для поддержки этого гибридного подхода проверки подлинности необходимо синхронизировать локальную среду AD DS с идентификатором Microsoft Entra Id с помощью Microsoft Entra Connect и настроить ее для использования PHS или PTA. Дополнительные сведения см. в разделе "Выбор правильного метода проверки подлинности" для решения гибридного удостоверения Microsoft Entra.

В обоих параметрах конфигурации пользователь отправляет имя пользователя и пароль в идентификатор Microsoft Entra, который проверяет учетные данные и выдает билет. При входе пользователей в Microsoft Entra ID исключается необходимость размещения и управления инфраструктурой AD FS в вашей организации.

Одним из атрибутов пользователя, автоматически синхронизированным Microsoft Entra Connect, является ProxyAddresses. Если у пользователей есть адрес электронной почты, определенный в локальной среде AD DS в рамках атрибута ProxyAddresses , он автоматически синхронизируется с идентификатором Microsoft Entra. Затем этот адрес электронной почты можно использовать непосредственно в процессе входа в Microsoft Entra в качестве альтернативного идентификатора входа.

Внимание

Только сообщения электронной почты в проверенных доменах клиента синхронизируются с идентификатором Microsoft Entra. Каждый клиент Microsoft Entra имеет один или несколько проверенных доменов, для которых вы доказали владение, и однозначно привязаны к вашему клиенту.

Дополнительные сведения см. в разделе "Добавление и проверка имени личного домена" в идентификаторе Microsoft Entra.

Вход гостевого пользователя B2B с помощью адреса электронной почты

Схема электронной почты в качестве альтернативного идентификатора входа для гостевого пользователя B 2 B.

Электронная почта в качестве альтернативного идентификатора входа применяется к Microsoft Entra B2B сотрудничеству в рамках модели "принеси свои собственные идентификаторы входа". Если электронная почта используется в качестве альтернативного идентификатора входа в домашнем арендаторе, пользователи Microsoft Entra могут выполнять гостевой вход с использованием электронной почты, не связанной с UPN, на точке доступа арендатора ресурса. Для включения этой функции никаких действий на стороне арендатора ресурса не требуется.

Примечание.

Если на конечной точке арендатора ресурсов используется альтернативный идентификатор входа, но в ней не включена соответствующая функциональность, процесс входа будет проходить безупречно, однако единый вход (SSO) будет прерван.

Включение входа пользователя с помощью адреса электронной почты

Примечание.

Этот параметр конфигурации использует политику HRD. Дополнительные сведения см. в разделе "Тип ресурса homeRealmDiscoveryPolicy".

После того как пользователи с атрибутом ProxyAddresses синхронизируются с идентификатором Microsoft Entra с помощью Microsoft Entra Connect, необходимо включить функцию входа с помощью электронной почты в качестве альтернативного идентификатора входа для клиента. Эта функция сообщает серверам входа Microsoft Entra проверять идентификатор входа не только по значениям UPN, но также по значениям ProxyAddresses для адреса электронной почты.

Для настройки функции можно использовать Центр администрирования Microsoft Entra или Graph PowerShell.

Центр администрирования Microsoft Entra

  1. Войдите в Центр администрирования Microsoft Entra как минимум гибридный администратор удостоверений.

  2. Перейдите к Entra ID>Entra Connect>Connect Sync

  3. Выберите "Электронная почта" в качестве альтернативного идентификатора входа**.

    Снимок экрана опции альтернативного использования электронной почты в качестве идентификатора входа в Центре администрирования Microsoft Entra.

  4. Установите флажок рядом с адресом электронной почты в качестве альтернативного идентификатора входа.

  5. Нажмите кнопку "Сохранить".

    Снимок экрана страницы

При применении политики может потребоваться до одного часа для распространения и для того, чтобы пользователи могли входить с помощью альтернативного идентификатора входа.

PowerShell

Примечание.

Этот параметр конфигурации использует политику HRD. Дополнительные сведения см. в разделе "Тип ресурса homeRealmDiscoveryPolicy".

После того как пользователи с атрибутом ProxyAddresses синхронизируются с идентификатором Microsoft Entra с помощью Microsoft Entra Connect, необходимо включить функцию входа пользователей с помощью электронной почты в качестве альтернативного идентификатора входа для клиента. Эта функция сообщает серверам входа Microsoft Entra проверять идентификатор входа не только по значениям UPN, но также по значениям ProxyAddresses для адреса электронной почты.

  1. Откройте сеанс PowerShell от имени администратора, а затем установите модуль Microsoft.Graph с помощью командлета Install-Module :

    Install-Module Microsoft.Graph
    

    Дополнительные сведения об установке см. в разделе "Установка пакета SDK Microsoft Graph PowerShell".

  2. Войдите в учетную запись Microsoft Entra с помощью командлета Connect-MgGraph.

    Connect-MgGraph -Scopes "Policy.ReadWrite.ApplicationConfiguration" -TenantId organizations
    

    Команда запросит пройти проверку подлинности с помощью веб-браузера.

  3. Проверьте, существует ли в вашем арендаторе HomeRealmDiscoveryPolicy с помощью командлета Get-MgPolicyHomeRealmDiscoveryPolicy следующим образом:

    Get-MgPolicyHomeRealmDiscoveryPolicy
    
  4. Если политика не настроена в настоящий момент, команда ничего не возвращает. Если политика подлежит возврату, пропустите этот шаг и переходите к следующему, чтобы обновить существующую политику.

    Чтобы добавить HomeRealmDiscoveryPolicy в арендатора, используйте New-MgPolicyHomeRealmDiscoveryPolicy командлет и задайте для атрибута AlternateIdLogin значение "Включено": true, как показано в следующем примере:

    $AzureADPolicyDefinition = @(
      @{
         "HomeRealmDiscoveryPolicy" = @{
            "AlternateIdLogin" = @{
               "Enabled" = $true
            }
         }
      } | ConvertTo-JSON -Compress
    )
    
    $AzureADPolicyParameters = @{
      Definition            = $AzureADPolicyDefinition
      DisplayName           = "BasicAutoAccelerationPolicy"
      AdditionalProperties  = @{ IsOrganizationDefault = $true }
    }
    
    New-MgPolicyHomeRealmDiscoveryPolicy @AzureADPolicyParameters
    

    После успешного создания политики эта команда возвращает идентификатор политики, как показано в следующем примере выходных данных:

    Definition                                                           DeletedDateTime Description DisplayName                 Id            IsOrganizationDefault
    ----------                                                           --------------- ----------- -----------                 --            ---------------------
    {{"HomeRealmDiscoveryPolicy":{"AlternateIdLogin":{"Enabled":true}}}}                             BasicAutoAccelerationPolicy HRD_POLICY_ID True
    
  5. Если политика уже настроена, проверьте, включен ли атрибут AlternateIdLogin , как показано в следующем примере выходных данных политики:

    Definition                                                           DeletedDateTime Description DisplayName                 Id            IsOrganizationDefault
    ----------                                                           --------------- ----------- -----------                 --            ---------------------
    {{"HomeRealmDiscoveryPolicy":{"AlternateIdLogin":{"Enabled":true}}}}                             BasicAutoAccelerationPolicy HRD_POLICY_ID True
    

    Если политика существует, но атрибут AlternateIdLogin не присутствует или не включен, или если другие атрибуты, которые вы хотите сохранить, существуют в политике, обновите существующую политику с помощью командлета Update-MgPolicyHomeRealmDiscoveryPolicy.

    Внимание

    При обновлении политики убедитесь, что вы включаете все старые параметры и новый атрибут AlternateIdLogin .

    В следующем примере добавляется атрибут AlternateIdLogin и сохраняется атрибут AllowCloudPasswordValidation , который был задан ранее:

    $AzureADPolicyDefinition = @(
      @{
         "HomeRealmDiscoveryPolicy" = @{
            "AllowCloudPasswordValidation" = $true
            "AlternateIdLogin" = @{
               "Enabled" = $true
            }
         }
      } | ConvertTo-JSON -Compress
    )
    
    $AzureADPolicyParameters = @{
      HomeRealmDiscoveryPolicyId = "HRD_POLICY_ID"
      Definition                 = $AzureADPolicyDefinition
      DisplayName                = "BasicAutoAccelerationPolicy"
      AdditionalProperties       = @{ "IsOrganizationDefault" = $true }
    }
    
    Update-MgPolicyHomeRealmDiscoveryPolicy @AzureADPolicyParameters
    

    Убедитесь, что обновленная политика отображает изменения и теперь включен атрибут AlternateIdLogin :

    Get-MgPolicyHomeRealmDiscoveryPolicy
    

Примечание.

После применения политики может потребоваться до часа, чтобы распространить и предоставить пользователям возможность для входа с помощью электронной почты в качестве альтернативного идентификатора входа.

Удаление правил

Чтобы удалить политику HRD, используйте командлет Remove-MgPolicyHomeRealmDiscoveryPolicy:

Remove-MgPolicyHomeRealmDiscoveryPolicy -HomeRealmDiscoveryPolicyId "HRD_POLICY_ID"

Включение поэтапного развертывания для проверки входа пользователя с помощью адреса электронной почты

Примечание.

Этот параметр конфигурации использует политику поэтапного развертывания. Дополнительные сведения см. в разделе "Тип ресурса FeatureRolloutPolicy".

Политика поэтапного развертывания позволяет администраторам клиентов включать функции для определенных групп Microsoft Entra. Рекомендуем, чтобы администраторы клиента использовали поэтапное развертывание для проверки входа пользователя с помощью адреса электронной почты. Когда администраторы готовы развернуть эту функцию для всего тенанта, они должны использовать политику HRD.

  1. Откройте сеанс PowerShell от имени администратора, а затем установите модуль Microsoft.Graph.Beta с помощью командлета Install-Module :

    Install-Module Microsoft.Graph.Beta
    

    Если появится запрос, выберите Y , чтобы установить NuGet или установить из ненадежного репозитория.

  2. Войдите в клиент Microsoft Entra с помощью командлета Connect-MgGraph :

    Connect-MgGraph -Scopes "Directory.ReadWrite.All"
    

    Команда возвращает информацию о вашей учетной записи, среде и идентификаторе клиента.

  3. Перечислите все существующие политики поэтапного развертывания с помощью следующего командлета:

    Get-MgBetaPolicyFeatureRolloutPolicy
    
  4. Если для этой функции нет существующих политик поэтапного развертывания, создайте новую политику промежуточного развертывания и запишите идентификатор политики:

    $MgPolicyFeatureRolloutPolicy = @{
    Feature    = "EmailAsAlternateId"
    DisplayName = "EmailAsAlternateId Rollout Policy"
    IsEnabled   = $true
    }
    New-MgBetaPolicyFeatureRolloutPolicy @MgPolicyFeatureRolloutPolicy
    
  5. Найдите идентификатор directoryObject для группы, которая будет добавлена в политику поэтапного развертывания. Запомните значение, возвращаемое для параметра Id, поскольку оно понадобится на следующем шаге.

    Get-MgBetaGroup -Filter "DisplayName eq 'Name of group to be added to the staged rollout policy'"
    
  6. Добавьте группу в политику поэтапного развертывания, как показано в следующем примере. Замените значение в параметре -FeatureRolloutPolicyId значением, возвращаемым для идентификатора политики на шаге 4, и замените значение в параметре -OdataIdидентификатором , указанным на шаге 5. Может потребоваться до 1 часа, прежде чем пользователи в группе могут войти в Microsoft Entra ID с помощью электронной почты в качестве альтернативного идентификатора входа.

    New-MgBetaDirectoryFeatureRolloutPolicyApplyToByRef `
       -FeatureRolloutPolicyId "ROLLOUT_POLICY_ID" `
       -OdataId "https://graph.microsoft.com/v1.0/directoryObjects/{GROUP_OBJECT_ID}"
    

Для новых участников, добавленных в группу, может потребоваться до 24 часов, прежде чем они смогут войти в Microsoft Entra ID с помощью электронной почты в качестве альтернативного идентификатора входа.

Удаление групп

Чтобы удалить группу из политики поэтапного развертывания, выполните следующую команду:

Remove-MgBetaPolicyFeatureRolloutPolicyApplyToByRef -FeatureRolloutPolicyId "ROLLOUT_POLICY_ID" -DirectoryObjectId "GROUP_OBJECT_ID"

Удаление правил

Чтобы удалить политику поэтапного развертывания, сначала отключите ее, а затем удалите из системы:

Update-MgBetaPolicyFeatureRolloutPolicy -FeatureRolloutPolicyId "ROLLOUT_POLICY_ID" -IsEnabled:$false 
Remove-MgBetaPolicyFeatureRolloutPolicy -FeatureRolloutPolicyId "ROLLOUT_POLICY_ID"

Проверка входа пользователя с помощью адреса электронной почты

Чтобы протестировать вход с использованием электронной почты, перейдите на страницу https://myprofile.microsoft.com и войдите, используя email, не являющийся UPN, например balas@fabrikam.com. Процедура входа в систему должна выглядеть так же, как и вход с помощью UPN.

Устранение неполадок

Если у пользователей возникают проблемы со входом с помощью их адреса электронной почты, ознакомьтесь со следующими действиями по устранению неполадок:

  1. Убедитесь, что после включения электронной почты в качестве альтернативного имени для входа прошел по крайней мере один час. Если пользователя недавно добавили в группу для политики поэтапного развертывания, убедитесь, что после этого прошло не менее 24 часов.

  2. Если используется политика HRD, убедитесь, что свойство определения AlternateIdLogin установлено в "Включено": true, а свойство IsOrganizationDefault установлено в True:

    Get-MgBetaPolicyHomeRealmDiscoveryPolicy | Format-List *
    

    Если используется политика поэтапного развертывания, убедитесь, что компонент FeatureRolloutPolicy в Microsoft Entra ID имеет свойство IsEnabled с значением True:

    Get-MgBetaPolicyFeatureRolloutPolicy
    
  3. Убедитесь, что учетная запись пользователя имеет свой адрес электронной почты в атрибуте ProxyAddresses в идентификаторе Microsoft Entra.

Журналы входа

Снимок экрана журналов входа Microsoft Entra, показывающий использование электронного адреса в качестве альтернативного идентификатора входа.

Вы можете просмотреть журналы входа в систему в Microsoft Entra ID для получения дополнительной информации. Вход с помощью электронной почты в качестве альтернативного логина будет выдаваться proxyAddress в поле типа опознавателя входа и введенного имени пользователя в поле опознавателя входа.

Конфликтующие значения между пользователями только в облаке и синхронизированными пользователями

В пределах клиента UPN пользователя, существующего только в облаке, может совпадать со значением адреса прокси другого пользователя, синхронизированного из локального каталога. В этом сценарии, если функция включена, пользователь, работающий только в облаке, не сможет войти в систему, используя основное имя пользователя (UPN). Ниже приведены шаги по обнаружению случаев этой проблемы.

  1. Откройте сеанс PowerShell от имени администратора, а затем установите Microsoft Graph с помощью командлета Install-Module :

    Install-Module Microsoft.Graph.Authentication
    

    Если появится запрос, выберите Y , чтобы установить NuGet или установить из ненадежного репозитория.

  2. Подключение к Microsoft Graph:

    Connect-MgGraph -Scopes "User.Read.All"
    
  3. Получить затронутых пользователей.

    # Get all users
    $allUsers = Get-MgUser -All
    
    # Get list of proxy addresses from all synced users
    $syncedProxyAddresses = $allUsers |
        Where-Object {$_.ImmutableId} |
        Select-Object -ExpandProperty ProxyAddresses |
        ForEach-Object {$_ -Replace "smtp:", ""}
    
    # Get list of user principal names from all cloud-only users
    $cloudOnlyUserPrincipalNames = $allUsers |
        Where-Object {!$_.ImmutableId} |
        Select-Object -ExpandProperty UserPrincipalName
    
    # Get intersection of two lists
    $duplicateValues = $syncedProxyAddresses |
        Where-Object {$cloudOnlyUserPrincipalNames -Contains $_}
    
  4. Для вывода затронутых пользователей:

    # Output affected synced users
    $allUsers |
        Where-Object {$_.ImmutableId -And ($_.ProxyAddresses | Where-Object {($duplicateValues | ForEach-Object {"smtp:$_"}) -Contains $_}).Length -GT 0} |
        Select-Object ObjectId, DisplayName, UserPrincipalName, ProxyAddresses, ImmutableId, UserType
    
    # Output affected cloud-only users
    $allUsers |
        Where-Object {!$_.ImmutableId -And $duplicateValues -Contains $_.UserPrincipalName} |
        Select-Object ObjectId, DisplayName, UserPrincipalName, ProxyAddresses, ImmutableId, UserType
    
  5. Для вывода затронутых пользователей в CSV-файл:

    # Output affected users to CSV
    $allUsers |
        Where-Object {
            ($_.ImmutableId -And ($_.ProxyAddresses | Where-Object {($duplicateValues | ForEach-Object {"smtp:$_"}) -Contains $_}).Length -GT 0) -Or
            (!$_.ImmutableId -And $duplicateValues -Contains $_.UserPrincipalName)
        } |
        Select-Object ObjectId, DisplayName, UserPrincipalName, @{n="ProxyAddresses"; e={$_.ProxyAddresses -Join ','}}, @{n="IsSyncedUser"; e={$_.ImmutableId.Length -GT 0}}, UserType |
        Export-Csv -Path .\AffectedUsers.csv -NoTypeInformation
    

Следующие шаги

Дополнительные сведения о гибридной идентичности, например прокси приложения Microsoft Entra или доменных службах Microsoft Entra, см. в статье Гибридная идентичность Microsoft Entra для доступа и управления локальными рабочими нагрузками.

Дополнительные сведения об операциях гибридного удостоверения см. раздел о синхронизации хэша паролей или сквозной проверке подлинности .