Configurar a ID de logon alternativa
O que é ID de Logon Alternativa?
Na maioria dos cenários, os usuários usam o nome UPN para fazer logon em suas respectivas contas. No entanto, em alguns ambientes, devido a políticas corporativas ou dependências de aplicativos de linha de negócios locais, os usuários podem usar alguma outra forma de entrada.
Observação
As melhores práticas da Microsoft recomendam fazer a correspondência entre o nome UPN e o endereço SMTP primário. Este artigo aborda a pequena porcentagem de clientes que não podem corrigir os nomes UPN para corresponder.
Por exemplo, eles podem usar sua ID de email para entrar e ela pode ser diferente do UPN. Isso é especialmente comum nos cenários em que o UPN não é roteável. Considere o usuário Jane Doe com o UPN jdoe@contoso.local
e endereço de email jdoe@contoso.com
. Talvez Jane nem saiba o nome UPN, pois sempre usou a ID de email para entrar. O uso de qualquer outro método de entrada, em vez do nome UPN, constitui uma ID alternativa. Para obter mais informações sobre como o nome UPN é criado, confira População de UserPrincipalName do Microsoft Entra.
Os Serviços de Federação do Active Directory (AD FS) permitem que aplicativos federados que usam o AD FS entrem usando a ID alternativa. Isso permite que os administradores especifiquem uma alternativa ao UPN padrão a ser usada para entrada. O AD FS já dá suporte ao uso de qualquer forma de identificador de usuário aceita pelo Serviços de Federação do Active Directory (AD FS). Quando configurado para a ID alternativa, o AD FS permite que os usuários entrem usando o valor de ID alternativa configurado, como a ID de email. O uso da ID alternativa permite que você adote provedores de SaaS, como Office 365, sem modificar os UPNs locais. Ele também permite que você dê suporte a aplicativos de serviço de linha de negócios com identidades provisionadas pelo consumidor.
ID Alternativa no Microsoft Entra ID
Uma organização pode ter que usar a ID alternativa nos seguintes cenários:
- O nome de domínio local não é roteável, como
contoso.local
, e como resultado, o nome UPN não é roteável (jdoe@contoso.local
). O nome UPN existente não pode ser alterado devido a dependências de aplicativo local ou políticas da empresa. O Microsoft Entra ID e o Office 365 exigem que todos os sufixos de domínio associados ao diretório do Microsoft Entra sejam totalmente roteáveis pela Internet. - O UPN local não é o mesmo que o endereço de email do usuário e, para entrar no Office 365, os usuários usam o endereço de email e o UPN não pode ser usado devido a restrições organizacionais. Nos cenários mencionados acima, a ID alternativa com o AD FS permite que os usuários entrem no Microsoft Entra ID, sem modificar os UPNs locais.
Configurar ID de logon alternativa
Usar o Microsoft Entra Connect Recomendamos usar o Microsoft Entra Connect para configurar a ID de logon alternativa para seu ambiente.
- Para obter uma nova configuração do Microsoft Entra Connect, confira Conectar-se ao Microsoft Entra ID para obter instruções detalhadas sobre como configurar a ID alternativa e o farm do AD FS.
- Para instalações existentes do Microsoft Entra Connect, confira Como alterar o método de entrada do usuário para obter instruções sobre como alterar o método de entrada do AD FS
Quando o Microsoft Entra Connect recebe os detalhes sobre o ambiente do AD FS, ele verifica automaticamente a presença do KB certo no seu AD FS e configura o AD FS para ID alternativa, incluindo todas as regras de declaração corretas necessárias para confiança de federação do Microsoft Entra. Não são necessárias etapas adicionais fora do assistente para configurar a ID alternativa.
Observação
A Microsoft recomenda usar o Microsoft Entra Connect para configurar a ID de logon alternativa.
Configurar ID alternativa manualmente
Para configurar a ID de logon alternativa, você deve executar as seguintes tarefas:
Configurar as relações de confiança do provedor de declarações do AD FS para habilitar a ID de logon alternativa
Se você tiver o Windows Server 2012 R2, verifique se o KB2919355 está instalado em todos os servidores do AD FS. Você pode obtê-lo por meio do Windows Update Services ou baixá-lo diretamente.
Atualize a configuração do AD FS, executando o seguinte cmdlet do PowerShell em qualquer um dos servidores de federação no seu farm (se você tiver um farm WID, deve executar esse comando no servidor primário do AD FS no seu farm):
Set-AdfsClaimsProviderTrust -TargetIdentifier "AD AUTHORITY" -AlternateLoginID <attribute> -LookupForests <forest domain>
AlternateLoginID é o nome LDAP do atributo que você deseja usar para logon.
LookupForests é a lista de DNS da floresta à qual os usuários pertencem.
Para habilitar o recurso de ID de logon alternativa, você deve configurar os parâmetros -AlternateLoginID e -LookupForests com um valor válido não nulo.
No exemplo a seguir, você habilitará a funcionalidade de ID de logon alternativa de modo que os usuários com contas nas florestas contoso.com e fabrikam.com possam fazer logon nos aplicativos habilitados para AD FS com o atributo "email".
Set-AdfsClaimsProviderTrust -TargetIdentifier "AD AUTHORITY" -AlternateLoginID mail -LookupForests contoso.com,fabrikam.com
- Para desabilitar esse recurso, defina o valor para ambos os parâmetros como nulo.
Set-AdfsClaimsProviderTrust -TargetIdentifier "AD AUTHORITY" -AlternateLoginID $NULL -LookupForests $NULL
Autenticação Moderna Híbrida com ID Alternativa
Importante
O seguinte procedimento foi testado somente em relação ao AD FS e não a provedores de identidade de terceiros.
Exchange e Skype for Business
Se você estiver usando uma ID de logon alternativa com o Exchange e o Skype for Business, a experiência do usuário variará dependendo de se você está usando a HMA.
Observação
Para obter a melhor experiência do usuário final, a Microsoft recomenda o uso da Autenticação Moderna Híbrida.
ou para obter mais informações, confira Visão Geral da Autenticação Moderna Híbrida
Pré-Requisitos do Exchange e do Skype for Business
Veja a seguir os pré-requisitos para obter o SSO com a ID alternativa.
- O Exchange Online deve ter a Autenticação Moderna ATIVADA.
- O Skype for Business (SFB) Online deve ter a Autenticação Moderna ATIVADA.
- O Exchange local deve ter a Autenticação Moderna ATIVADA. O Exchange 2013 CU19 ou o Exchange 2016 CU18 e posteriores são necessários em todos os servidores Exchange. Nenhum Exchange 2010 no ambiente.
- O Skype for Business local deve ter a Autenticação Moderna ATIVADA.
- Você deve usar os clientes do Exchange e do Skype que tenham a Autenticação Moderna habilitada. Todos os servidores devem estar executando o SFB Server 2015 CU5.
- Clientes do Skype for Business compatíveis com a Autenticação Moderna
- iOS, Android, Windows Phone
- SFB 2016 (a MA é ATIVADA por padrão, mas verifique se ela não foi desabilitada.)
- SFB 2013 (a MA é DESATIVADA por padrão, portanto, verifique se a MA foi ATIVADA.)
- SFB Mac desktop
- Clientes do Exchange compatíveis com Autenticação Moderna e compatíveis com regkeys AltID
- Somente Office Pro Plus 2016
Versão do Office com suporte
Como configurar seu diretório para SSO com a ID alternativa
O uso da ID alternativa pode gerar outros prompts de autenticação, se essas configurações adicionais não forem concluídas. Veja o artigo para saber sobre um possível impacto na experiência do usuário com a ID alternativa.
Com a configuração adicional a seguir, a experiência do usuário é aprimorada significativamente e você pode obter quase nenhum prompt de autenticação para usuários de ID alternativa na sua organização.
Etapa 1: atualizar para a versão necessária do Office
O Office versão 1712 (build nº 8827.2148) e posteriores atualizaram a lógica de autenticação para lidar com o cenário de ID alternativa. Para utilizar a nova lógica, os computadores cliente precisam ser atualizados para o Office versão 1712 (build nº 8827.2148) e posteriores.
Etapa 2: atualizar para a versão necessária do Windows
O Windows versão 1709 e posteriores atualizaram a lógica de autenticação para lidar com o cenário de ID alternativa. Para utilizar a nova lógica, os computadores cliente precisam ser atualizados para o Windows versão 1709 e posteriores.
Etapa 3: configurar o registro para usuários afetados usando a política de grupo
Os aplicativos do Office dependem de informações enviadas por push pelo administrador do diretório, para identificar o ambiente de ID alternativa. As chaves do registro a seguir precisam ser configuradas para ajudar os aplicativos do Office a autenticar o usuário com ID Alternativa, sem mostrar prompts adicionais.
Regkey a ser adicionada | Nome, tipo e valor de dados de regkey | Windows 7/8 | Windows 10 | Descrição |
---|---|---|---|---|
HKEY_CURRENT_USER\Software\Microsoft\AuthN | DomainHint REG_SZ contoso.com |
Obrigatório | Obrigatório | O valor dessa chave de registro é um nome de domínio personalizado verificado no locatário da organização. Por exemplo, a Contoso Corp pode fornecer um valor de Contoso.com nessa chave de registro, se Contoso.com for um dos nomes de domínio personalizados verificados no Contoso.onmicrosoft.com do locatário. |
HKEY_CURRENT_USER\Software\Microsoft\Office\16.0\Common\Identity | EnableAlternateIdSupport REG_DWORD 1 |
Necessário para Outlook 2016 ProPlus | Necessário para Outlook 2016 ProPlus | O valor dessa regkey pode ser 1/0 para indicar para o aplicativo Outlook se ele deve ativar a lógica de autenticação de ID Alternativa aprimorada. |
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\contoso.com\sts | * REG_DWORD 1 |
Obrigatório | Obrigatório | Essa chave de registro pode ser usada para definir o STS como Zona confiável nas configurações da Internet. A implantação padrão do AD FS recomenda adicionar o namespace do AD FS à Zona da Intranet Local para Internet Explorer. |
Novo fluxo de autenticação após a configuração adicional
- a: o usuário é provisionado no Microsoft Entra ID usando a ID Alternativa
b: o administrador do diretório envia as configurações de regkey necessárias para os computadores cliente afetados - O usuário se autentica no computador local e abre um aplicativo do Office
- O aplicativo do Office usa as credenciais de sessão local
- O aplicativo do Office é autenticado no Microsoft Entra ID usando a dica de domínio enviada pelo administrador e as credenciais locais
- O Microsoft Entra ID autentica o usuário direcionando para o realm de federação correto e emite um token
Aplicativos e experiência do usuário após a configuração adicional
Clientes que não são do Exchange nem do Skype for Business
Cliente | Declaração de suporte | Comentários |
---|---|---|
Microsoft Teams | Com suporte | |
OneDrive for Business | Com suporte – chave do registro do lado do cliente recomendada | Com a ID Alternativa configurada, você verá que o UPN local é preenchido previamente no campo de verificação. Isso precisa ser alterado para a identidade alternativa que está sendo usada. É recomendável usar a chave do registro do lado do cliente indicada neste artigo: o Office 2013 e o Lync 2013 solicitam as credenciais periodicamente para o SharePoint Online, o OneDrive e o Lync Online. |
OneDrive for Business Mobile Client | Com suporte | |
Página de ativação do Office 365 Pro Plus | Com suporte – chave do registro do lado do cliente recomendada | Com a ID Alternativa configurada, você verá que o UPN local é preenchido previamente no campo de verificação. Isso precisa ser alterado para a identidade alternativa que está sendo usada. É recomendável usar a chave do registro do lado do cliente indicada neste artigo: o Office 2013 e o Lync 2013 solicitam as credenciais periodicamente para o SharePoint Online, o OneDrive e o Lync Online. |
Clientes do Exchange e do Skype for Business
Cliente | Instrução de Suporte – com HMA | Instrução de Suporte – sem HMA |
---|---|---|
Outlook | Com suporte, sem prompts adicionais | Com suporte Com Autenticação Moderna para Exchange Online: com suporte Com autenticação regular para Exchange Online: com suporte com as seguintes advertências: |
Pastas Públicas Híbridas | Com suporte, sem prompts adicionais. | Com Autenticação Moderna para Exchange Online: com suporte Com autenticação regular para Exchange Online: sem suporte |
Delegação entre locais | Confira Configurar o Exchange para dar suporte a permissões de caixa de correio delegadas em uma implantação híbrida | Confira Configurar o Exchange para dar suporte a permissões de caixa de correio delegadas em uma implantação híbrida |
Acesso à caixa de correio de arquivo morto (caixa de correio local – arquivo morto na nuvem) | Com suporte, sem prompts adicionais | Com suporte – Os usuários recebem uma solicitação adicional de credenciais ao acessar o arquivo morto. Eles precisam fornecer a ID alternativa, quando solicitado. |
Outlook Web Access | Com suporte | Com suporte |
Aplicativos Móveis do Outlook para Android, IOS e Windows Phone | Com suporte | Com suporte |
Skype for Business/ Lync | Com suporte, sem prompts adicionais | Com suporte (exceto conforme observado), mas há um potencial de confusão do usuário. Em clientes móveis, a ID Alternativa só terá suporte se endereço SIP = endereço de email = ID Alternativa. Talvez os usuários precisem entrar duas vezes no cliente da área de trabalho do Skype for Business, primeiro usando o UPN local e depois usando a ID Alternativa. (Observe que o "Endereço de entrada" é, na verdade, o endereço SIP que pode não ser igual ao o "Nome de usuário", embora geralmente seja). Quando solicitado pela primeira vez a fornecer um Nome de usuário, o usuário deve inserir o UPN, mesmo que esteja preenchido incorretamente com a ID Alternativa ou o endereço SIP. Depois que o usuário clica em Entrar com o UPN, o prompt Nome de usuário será exibido novamente, desta vez preenchido previamente com o UPN. Desta vez, o usuário deve substituí-lo pela ID Alternativa e clicar em Entrar, para concluir o processo de entrada. Em clientes móveis, os usuários devem inserir a ID de usuário local na página avançada, usando o formato de estilo SAM (domínio\nome de usuário), não o formato UPN. Após a entrada bem-sucedida, se o Skype for Business ou o Lync indicar "O Exchange precisa das suas credenciais", você precisará fornecer as credenciais válidas para o local em que está a caixa de correio. Se a caixa de correio estiver na nuvem, você precisará fornecer a ID Alternativa. Se a Caixa de Correio for local, você precisará fornecer o UPN local. |
Detalhes e Considerações Adicionais
O Microsoft Entra ID oferece diferentes recursos relacionados à 'ID de logon alternativa'
- O recurso de configuração da ID de Logon Alternativa do AD FS para ambientes de infraestrutura de identidade Federados1 descrito neste artigo.
- A configuração do Microsoft Entra Connect Sync que define qual atributo local é usado como nome de usuário do Microsoft Entra (userPrincipalName) para ambientes de infraestrutura de identidade Federados1 OU Gerenciados2, o que é parcialmente abordado neste artigo.
- O recurso Entrada para o Microsoft Entra ID com o email como ID de logon alternativa para ambientes de infraestrutura de identidade Gerenciados2.
O recurso de ID de logon alternativa descrito neste artigo está disponível para ambientes de infraestrutura de identidade Federados1. Não há suporte nos seguintes cenários:
- Um atributo AlternateLoginID com domínios não roteáveis (por exemplo, Contoso.local) que não podem ser verificados pelo Microsoft Entra ID.
- Ambientes gerenciados que não têm o AD FS implantado. Veja a documentação do Microsoft Entra Connect Sync ou a documentação Entrar no Microsoft Entra ID com o email como ID de logon alternativa. Se você decidir ajustar a configuração do Microsoft Entra Connect Sync em ambientes de infraestrutura de identidade Gerenciados2, a seção Aplicativos e a experiência do usuário após a configuração adicional deste artigo ainda pode ser aplicável, embora a configuração específica do AD FS não seja mais aplicável, pois nenhum AD FS é implantado em ambientes de infraestrutura de identidade Gerenciados2.
Quando habilitado, o recurso de ID de logon alternativa só está disponível para autenticação de nome de usuário/senha em todos os protocolos de autenticação de nome de usuário/senha compatíveis com o AD FS (SAML-P, WS-Fed, WS-Trust e OAuth).
Quando a WIA (Autenticação Integrada do Windows) é executada (por exemplo, quando os usuários tentam acessar um aplicativo corporativo em um computador ingressado no domínio da intranet e o administrador do AD FS configurou a política de autenticação para usar o WIA para intranet), o UPN é usado para autenticação. Se você tiver configurado regras de declaração para as partes confiáveis para o recurso de ID de logon alternativa, verifique se essas regras ainda são válidas no caso do WIA.
Quando habilitado, o recurso de ID de logon alternativa exige que pelo menos um servidor de catálogo global seja acessível no servidor do AD FS para cada floresta de conta de usuário compatível com o AD FS. Quando um servidor de catálogo global na floresta da conta de usuário não é acessado, ocorre um fallback do AD FS para usar o UPN. Por padrão, todos os controladores de domínio são servidores de catálogo globais.
Quando habilitado, se o servidor do AD FS encontrar mais de um objeto de usuário com o mesmo valor de ID de logon alternativa especificado em todas as florestas de conta de usuário configuradas, ocorrerá falha no logon.
Quando o recurso de ID de logon alternativa está habilitado, o AD FS tenta autenticar o usuário final com a ID de logon alternativa primeiro e depois faz fallback para usar o UPN, se ele não conseguir encontrar uma conta que possa ser identificada pela ID de logon alternativa. Verifique se não há conflitos entre a ID de logon alternativa e o UPN, se ainda quiser dar suporte ao logon de UPN. Por exemplo, definir um atributo de email com o UPN do outro impede que o outro usuário entre com o UPN dele.
Se uma das florestas configuradas pelo administrador estiver inoperante, o AD FS continuará pesquisando a conta de usuário com a ID de logon alternativa nas outras florestas configuradas. Se o servidor do AD FS encontrar objetos de usuário exclusivos nas florestas pesquisadas, um usuário conseguirá fazer logon.
Além disso, convém personalizar a página de entrada do AD FS para dar aos usuários finais algumas dicas sobre a ID de logon alternativa. Você pode fazer isso adicionando a descrição da página de entrada personalizada (para obter mais informações, confira Como personalizar as páginas de entrada do AD FS ou personalizando a cadeia de caracteres "Entrar com a conta organizacional" acima do campo de nome de usuário (para obter mais informações, confira Personalização avançada das páginas de entrada do AD FS.
O novo tipo de declaração que contém o valor de ID de logon alternativa é http:schemas.microsoft.com/ws/2013/11/alternateloginid
1 Um ambiente de infraestrutura de identidade Federado representa um ambiente com um provedor de identidade, como o AD FS ou outro IDP de terceiros.
2 Um ambiente de infraestrutura de identidade Gerenciado representa um ambiente com o Microsoft Entra ID como o provedor de identidade implantado com a PHS (sincronização de hash de senha) ou a PTA (autenticação de passagem).
Eventos e contadores de desempenho
Os seguintes contadores de desempenho foram adicionados para medir o desempenho dos servidores AD FS, quando a ID de logon alternativa está habilitada:
Autenticações de ID de logon alternativa: número de autenticações executadas usando a ID de logon alternativa
Autenticações de ID de logon alternativa/segundo: número de autenticações executadas usando a ID de logon alternativa por segundo
Latência média de pesquisa para ID de logon alternativa: latência média de pesquisa entre as florestas que um administrador configurou para a ID de logon alternativa
Veja a seguir vários casos de erro e o impacto correspondente na experiência de entrada de um usuário com os eventos registrados pelo AD FS:
Casos de Erro | Impacto na Experiência de Entrada | Evento |
---|---|---|
Não é possível obter um valor para SAMAccountName para o objeto de usuário | Falha de logon | ID do evento 364 com mensagem de exceção MSIS8012: não é possível encontrar samAccountName para o usuário: '{0}'. |
O atributo CanonicalName não está acessível | Falha de logon | ID do evento 364 com mensagem de exceção MSIS8013: CanonicalName: '{0}' do usuário:'{1}' está em formato inválido. |
Vários objetos de usuário são encontrados em uma floresta | Falha de logon | ID do evento 364 com mensagem de exceção MSIS8015: foram encontradas várias contas de usuário com a identidade '{0}' na floresta '{1}' com identidades: {2} |
Vários objetos de usuário são encontrados em várias florestas | Falha de logon | ID do evento 364 com mensagem de exceção MSIS8014: foram encontradas várias contas de usuário com a identidade '{0}' nas florestas: {1} |