Alternate Login ID für AD FS im Windows Server 2012 R2 Update

Wir haben die Rückmeldung von einigen Kunden erhalten, dass sie Office 365, Azure Active Directory und Windows Intune nicht verwenden können, weil der User Principle Name (UPN) der on-premises Benutzer nicht vollständig routbar und für unsere Cloud-Dienste damit nicht konsumierbar ist. Oder der Aufwand für die Umstellung bedeutet gewaltige Aufwände von mehreren Monaten.

Im Windows Server 2012 R2 Update haben wir das AD FS Feature Alternate Login ID eingeführt. Damit kann sich ein Benutzer mit einer alternativen Login ID zusätzlich zum UPN, der standardmäßig von AD FS verwendet wird, anmelden.

Der AD FS Administrator kann z.B. das “Mail” Attribut im Benutzerobjekt des AD DS als Alternative Login ID konfigurieren. Dadurch können sich Benutzer mit ihrere E-Mail Adresse im Azure AD und über AD FS anmelden und hybride Cloud-Dienste für folgende Szenarien verwenden:

• Benutzer müssen nur ihre E-Mail Adresse kennen und können sich an allen Diensten anmelden, wenn deren UPN ungleich der E-Mail Adresse ist
• Unternehmen können SaaS Dienste wie Office 365, Windows Intune und Azure Active Directory verwenden, wenn sie nicht routbare Domänen (z.B. contoso.local, fabrikam) verwenden, die als Login ID nicht überprüft werden können.

Mehr zu diesem Thema finden Sie im AD FS Operations Guide im Kapitel Configuring Alternate Login ID. Weitere Schritte für die Konfiguration im Azure AD sind im Beitrag Using Alternate Login IDs with Azure Active Directory dokumentiert.