我们正在更改 Microsoft Entra ID(Microsoft Entra 的一部分)中的登录行为,为新的身份验证方法腾出空间并提高可用性。 在登录期间,Microsoft Entra ID 确定用户需要进行身份验证的位置。 Microsoft Entra ID 根据登录页面上输入的用户名读取组织和用户设置来做出明智的决策。 此技术为将来支持 FIDO 2.0 等附加凭据的无密码登录进一步打下了基础。
主领域发现的行为
传统上,主领域发现依赖于在登录时提供的域名或针对传统应用程序的主领域发现策略。 例如,如果Microsoft Entra 用户输入用户名不正确,但包含其组织的域名(如“contoso.com”),则仍会定向到组织的凭据收集屏幕。 此方法不允许在单个用户级别上自定义体验。
为了增强可用性并支持更广泛的凭据,Microsoft Entra ID 使用不同的过程。 在登录期间,Microsoft Entra ID 的用户名查找行为智能地根据输入的用户名评估组织级别和用户级设置。 如果在指定域中找到用户名,则会相应地定向用户;否则,将重定向用户以提供其凭据。
此项工作的另一个好处是改进了错误消息。 下面是登录到仅支持 Microsoft Entra 用户的应用程序时,显示的一些已改进的错误消息示例。
用户名输入有误或尚未同步到 Microsoft Entra ID。
域名输入错误。
用户尝试使用已知的使用者域登录:
密码输入错误,但用户名准确。
重要
此功能可能对依赖于使用旧式域级别主领域发现来强制联合的联合域造成影响。 目前不提供对此新行为的联合域支持。 与此同时,某些组织已培训其员工使用Microsoft Entra ID 中不存在的用户名登录,但包含正确的域名,因为域名将用户当前路由到其组织的域终结点。 新的登录行为不允许这样做。 系统会通知用户更正用户名,并且不允许用户使用Microsoft Entra ID 中不存在的用户名登录。 如果你或你的组织有依赖于旧行为的做法,组织管理员必须更新员工登录和身份验证文档,并培训员工使用其Microsoft Entra 用户名登录。 如果对新行为有疑问,请在本文 反馈 部分中留下备注。