Planera och felsöka ändringar av användarens huvudnamn i Microsoft Entra-ID

  • Artikel

UPN-attributet (User Principal Name) är en internetkommunikationsstandard för användarkonton. Ett UPN består av:

  • Prefix: Användarnamn
  • Suffix: Dns-domännamn (Domain Name Server)

Prefixet ansluter suffixet med hjälp av "@"-symbolen. Exempel: someone@example.com Under planeringen kontrollerar du att UPN är unikt bland säkerhetsobjekt i en katalogskog.

Kommentar

Den här artikeln förutsätter att UPN är användaridentifieraren. Artikeln behandlar UPN-ändringsplanering och återställning från problem som kan uppstå till följd av ändringar. Vi rekommenderar att utvecklare använder användarens objectID som oföränderlig identifierare i stället för UPN- eller e-postadresser.

Orsaker till UPN-ändringar

När värdet är användarens UPN uppmanar inloggningssidor ofta användarna att ange en e-postadress. När användarens primära e-postadress ändras ändrar du därför användarens UPN. I allmänhet ändras en användares primära e-postadress av följande skäl:

  • Ändring av medarbetarens namn
  • Flytta medarbetare
  • Omstruktureringsändringar som påverkar suffixet
  • Fusions- och/eller förvärvsändringar

UPN-prefix och suffixändringar

Vi rekommenderar att du ändrar användarens UPN när deras primära e-postadress ändras. Under den inledande synkroniseringen från Active Directory till Microsoft Entra-ID kontrollerar du att användarens e-postmeddelanden och UPN är identiska. Se följande exempelprefix och suffixändringar.

Exempel på prefixändring:

  • Från BSimon@contoso.com till BJohnson@contoso.com
  • Från Bsimon@contoso.com till Britta.Simon@contoso.com

Exempel på suffixändring:

  • Från Britta.Simon@contoso.com till Britta.Simon@contosolabs.com
  • Från Britta.Simon@corp. contoso.com Britta.Simon@labs.contoso.com

UPN:er i Active Directory

I Active Directory är UPN-standardsuffixet DNS där du skapade användarkontot. I de flesta fall registrerar du det här domännamnet som företagsdomän. Om du skapar användarkontot i domänen contoso.com är standard-UPN: username@contoso.com. Lägg till fler UPN-suffix med Active Directory-domäner och förtroenden. Om du till exempel lägger till labs.contoso.com och ändrar användarens UPN och e-post för att återspegla det, blir resultatet: username@labs.contoso.com.

Du kan lägga till ditt anpassade domännamn i klientorganisationen.

Viktigt!

Om du ändrar suffixet i Active Directory lägger du till och verifierar ett matchande anpassat domännamn i Microsoft Entra-ID.

Skärmbild av alternativet Lägg till kunddomän under Anpassade domännamn.

UPN:er i Microsoft Entra-ID

Användare loggar in på Microsoft Entra-ID med attributet userPrincipalName.

När du använder Microsoft Entra-ID med lokal Active Directory synkroniseras användarkonton med Tjänsten Microsoft Entra Anslut. Microsoft Entra Anslut-guiden använder attributet userPrincipalName från lokal Active Directory som UPN i Microsoft Entra-ID. Du kan ändra det till ett annat attribut i en anpassad installation.

Kommentar

Definiera en process för att uppdatera ett UPN (User Principal Name) för användare och din organisation.

När du synkroniserar användarkonton från Active Directory till Microsoft Entra-ID kontrollerar du att UPN:erna i Active Directory mappar till verifierade domäner i Microsoft Entra-ID. Om attributet userPrincipalName inte motsvarar en verifierad domän i Microsoft Entra-ID ersätter synkronisering suffixet med .onmicrosoft.com.

Massdistribution av UPN-ändringar

Om du vill testa massändringar i UPN skapar du en testad återställningsplan för att återställa UPN. För piloten ska du rikta in dig på små användaruppsättningar med organisationsroller och uppsättningar med appar eller enheter. Den här processen hjälper dig att förstå användarupplevelsen. Inkludera den här informationen i ändringskommunikation till intressenter och användare.

Läs mer om Distributionsplaner för Microsoft Entra.

Vi rekommenderar att du skapar en procedur för att ändra UPN för enskilda användare. Inkludera dokumentation om kända problem och lösningar. Mer information finns i följande avsnitt.

Problem med SaaS- och LoB-appar

Program som en tjänst (SaaS) och verksamhetsspecifika program (LoB) förlitar sig ofta på UPN för att hitta användare och lagra användarprofilinformation, inklusive roller. Program som kan påverkas av UPN-ändringar använder jit-etablering (just-in-time) för att skapa en användarprofil när användarna först loggar in på appen.

Läs mer:

Kända problem: Bruten relation, ny profil

UPN-ändringar för användare kan bryta relationen mellan Microsoft Entra-användaren och användarprofilen i programmet. Om programmet använder JIT-etablering kan det skapa en ny användarprofil. Sedan gör programadministratören manuella ändringar för att åtgärda relationen.

Lösningar: Automatiserad etablering

Använd automatiserad appetablering i Microsoft Entra-ID för att skapa, underhålla och ta bort användaridentiteter i molnprogram som stöds. Om du vill uppdatera UPN i programmet konfigurerar du automatisk användaretablering i dina program. Testa program för att verifiera lyckade UPN-ändringar. För att aktivera automatisk användaretablering kan utvecklare lägga till STÖD för System for Cross-domain Identity Management (SCIM) i program.

Läs mer:

Problem med hanterade enheter

Om du vill maximera användarproduktiviteten med enkel inloggning (SSO) över molnresurser och lokala resurser kan du använda Microsoft Entra-ID för enheter.

Läs mer om vad som är en enhetsidentitet?

Microsoft Entra-anslutna enheter

Oavsett storlek eller bransch kan organisationer distribuera Microsoft Entra-anslutna enheter. Microsoft Entra Join fungerar i hybridmiljöer och ger åtkomst till molnbaserade och lokala appar och resurser. Microsoft Entra-anslutna enheter är anslutna till Microsoft Entra-ID. Användare loggar in på enheten med hjälp av sin organisationsidentitet.

Läs mer om Microsoft Entra-anslutna enheter.

Kända problem: enkel inloggning

Användare kan få problem med enkel inloggning med program som är beroende av Microsoft Entra-ID för autentisering. Det här problemet har åtgärdats i Windows 10 maj-2020-uppdateringen.

Lösning

  1. Tillåt att UPN-ändringen synkroniseras med Microsoft Entra-ID.

  2. Kontrollera att det nya UPN:t visas i administrationscentret för Microsoft Entra.

  3. Be användarna att välja Annan användare för att logga in med ett nytt UPN.

  4. Verifiera med Get-MgUser i Microsoft Graph PowerShell.

    Kommentar

    När användarna har loggat in med ett nytt UPN kan referenser till det tidigare UPN visas i Windows-inställningen Åtkomst till arbete eller skola .

    Skärmbild av användar-1- och andra användardomäner på inloggningsskärmen.

Problem med Hybrid-anslutna Microsoft Entra-enheter

Microsoft Entra Hybrid-anslutna enheter är anslutna till Active Directory och Microsoft Entra ID. Implementera Microsoft Entra-hybridanslutning om din miljö har ett lokal Active Directory fotavtryck.

Läs mer om Hybrid-anslutna Microsoft Entra-enheter.

Kända problem: Windows 10 Microsoft Entra Hybrid-anslutna enheter

Windows 10 Microsoft Entra Hybrid-anslutna enheter får oväntade omstarter och åtkomstproblem. Om användarna loggar in på Windows innan det nya UPN synkroniseras med Microsoft Entra-ID kan det uppstå problem med enkel inloggning med appar som använder Microsoft Entra-ID för autentisering. Det här scenariot kan inträffa om användarna är i en Windows-session. Den här situationen inträffar om villkorlig åtkomst är konfigurerad för att framtvinga användning av hybrid-anslutna enheter för att få åtkomst till resurser. Dessutom kan följande meddelande tvinga fram en omstart efter en minut:

Datorn startas om automatiskt om en minut. Windows stötte på ett problem och måste startas om. Du bör stänga det här meddelandet nu och spara ditt arbete.

Det här problemet har åtgärdats i Windows 10 maj-2020-uppdateringen.

Lösning

  1. Koppla bort enheten från Microsoft Entra-ID.
  2. Starta om.
  3. Enheten ansluter till Microsoft Entra-ID.
  4. För att logga in väljer användaren Annan användare.

Om du vill koppla från en enhet från Microsoft Entra-ID kör du följande kommando i en kommandotolk: dsregcmd/leave

Kommentar

Om du använder Windows Hello för företag registreras användarna igen för Windows Hello för företag.

Dricks

Windows 7- och 8.1-enheter påverkas inte av det här problemet.

Appskyddsprinciper för mobilapphantering

Kända problem: Brutna anslutningar

Om din organisation använder Hantering av mobilprogram (MAM) för att skydda företagsdata är MAM-appskyddsprinciperna inte motståndskraftiga vid UPN-ändringar. Det här problemet kan bryta anslutningen mellan MAM-registreringar och aktiva användare i MAM-integrerade program. Det här scenariot kan lämna data oskyddade.

Läs mer:

Lösning

När UPN har ändrats rensar administratören data från berörda enheter för att tvinga användare att autentisera om och återregistrera med nya UPN.

Lär dig hur du endast rensar företagsdata från Intune-hanterade appar.

Microsoft Authenticator-problem

Om din organisation kräver att Authenticator loggar in och får åtkomst till program och data kan ett användarnamn visas i appen. Kontot är dock inte en verifieringsmetod förrän användarna har slutfört registreringen.

Lär dig hur du använder Authenticator.

Authenticator-appen har fyra huvudfunktioner:

Multifaktorautentisering med Android-enheter

Använd Authenticator för out-of-band-verifiering. Multifaktorautentisering skickar ett meddelande till Authenticator på användarenheten, i stället för ett automatiskt samtal eller en sms-tjänst (short-message service) till användaren.

  1. Användaren väljer Godkänn, anger en PIN-kod eller anger en biometrisk kod.
  2. Användaren väljer Autentisera.

Lär dig hur det fungerar: Microsoft Entra multifaktorautentisering.

Kända problem: Meddelandet har inte tagits emot

När du ändrar UPN för användare visas det tidigare UPN på användarkontot. Meddelandet kanske inte tas emot. Använd i stället verifieringskoder.

Se en lista med vanliga frågor om Authenticator.

Lösning

  1. Om meddelandet visas instruerar du användaren att stänga det.
  2. Öppna Authenticator.
  3. Välj Sök efter meddelanden.
  4. Godkänn MFA-prompten.
  5. UPN på kontot uppdateras.

Kommentar

Det uppdaterade UPN kan visas som ett nytt konto. Den här ändringen beror på andra Authenticator-funktioner.

Asynkron autentisering

På Android och iOS aktiverar koordinatorer som Authenticator:

  • Enkel inloggning: Användare loggar inte in på varje program
  • Enhetsidentifiering: Koordinatorn får åtkomst till enhetscertifikatet som skapades på enheten när det var arbetsplatsanslutning
  • Verifiering av programidentifiering: När ett program anropar asynkron meddelandekö skickas dess omdirigerings-URL och mäklaren verifierar den

Läs mer:

Kända problem: användarfrågor

På grund av ett matchningsfel mellan det login_hint som skickats av programmet och UPN på asynkron meddelandekö får användaren fler autentiseringsanvisningarna med asynkron inloggning.

Lösning

Användaren tar bort kontot manuellt från Authenticator och startar en ny inloggning från ett broker-assisted-program. Efter den första autentiseringen läggs kontot till.

Enhetsregistrering

Authenticator registrerar enheten i Microsoft Entra-ID, vilket gör att enheten kan autentisera till Microsoft Entra-ID. Den här registreringen är ett krav för:

  • Intune-appskydd
  • Registrering av Intune-enheter
  • Telefon inloggning

Kända problem: Nytt konto visas

Om du ändrar UPN visas ett nytt konto med det nya UPN i Authenticator. Kontot med föregående UPN finns kvar. Dessutom visas det tidigare UPN i Enhetsregistrering i appinställningar. Funktionen för enhetsregistrering eller beroende scenarier ändras inte.

Lösning

Om du vill ta bort referenser till det tidigare UPN på Authenticator tar användaren bort de tidigare och nya kontona från Authenticator. Användaren registrerar om för MFA och ansluter till enheten igen.

Telefon inloggning

Använd telefoninloggning för att logga in på Microsoft Entra-ID utan lösenord. Med Authenticator registrerar sig användaren för MFA och aktiverar sedan telefoninloggning. Enheten registreras med Microsoft Entra-ID.

Kända problem: Inget meddelande

Användare kan inte använda telefoninloggning eftersom de inte fick något meddelande. Om användaren väljer Sök efter meddelanden visas ett fel.

Lösning

På det konto som är aktiverat för telefoninloggning går du till den nedrullningsbara menyn och väljer Inaktivera telefoninloggning.

Problem med säkerhetsnyckel (FIDO2)

Kända problem: Val av konto

När flera användare är registrerade på samma nyckel visas kontoval där det tidigare UPN visas. UPN-ändringar påverkar inte inloggning med säkerhetsnycklar.

Lösning

Om du vill ta bort referenser till tidigare UPN återställer användarna säkerhetsnyckeln och registrerar den igen.

Du kan aktivera inloggning med lösenordslös säkerhetsnyckel, kända problem, UPN-ändringar.

Problem med OneDrive

OneDrive-användare kan få problem när UPN har ändrats.

Lär dig hur UPN-ändringar påverkar Funktionerna för OneDrive-URL och OneDrive.

Problem med Mötesanteckningar för Teams

Använd Mötesanteckningar för Teams för att ta och dela anteckningar.

Kända problem: Otillgängliga anteckningar

När ett användar-UPN ändras är mötesanteckningar som skapats med föregående UPN inte tillgängliga med Microsoft Teams eller URL:en för mötesanteckningar.

Lösning

När UPN-ändringen har ändrats kan användarna ladda ned anteckningar från OneDrive.

  1. Gå till Mina filer.
  2. Välj Microsoft Teams-data.
  3. Välj Wiki.

Nya mötesanteckningar som skapats efter UPN-ändringen påverkas inte.

Nästa steg