Planera och felsöka ändringar av användarens huvudnamn i Microsoft Entra-ID
UPN-attributet (User Principal Name) är en internetkommunikationsstandard för användarkonton. Ett UPN består av:
- Prefix: Användarnamn
- Suffix: Dns-domännamn (Domain Name Server)
Prefixet ansluter suffixet med hjälp av "@"-symbolen. Exempel: someone@example.com Under planeringen kontrollerar du att UPN är unikt bland säkerhetsobjekt i en katalogskog.
Kommentar
Den här artikeln förutsätter att UPN är användaridentifieraren. Artikeln behandlar UPN-ändringsplanering och återställning från problem som kan uppstå till följd av ändringar. Vi rekommenderar att utvecklare använder användarens objectID som oföränderlig identifierare i stället för UPN- eller e-postadresser.
Orsaker till UPN-ändringar
När värdet är användarens UPN uppmanar inloggningssidor ofta användarna att ange en e-postadress. När användarens primära e-postadress ändras ändrar du därför användarens UPN. I allmänhet ändras en användares primära e-postadress av följande skäl:
- Ändring av medarbetarens namn
- Flytta medarbetare
- Omstruktureringsändringar som påverkar suffixet
- Fusions- och/eller förvärvsändringar
UPN-prefix och suffixändringar
Vi rekommenderar att du ändrar användarens UPN när deras primära e-postadress ändras. Under den inledande synkroniseringen från Active Directory till Microsoft Entra-ID kontrollerar du att användarens e-postmeddelanden och UPN är identiska. Se följande exempelprefix och suffixändringar.
Exempel på prefixändring:
- Från BSimon@contoso.com till BJohnson@contoso.com
- Från Bsimon@contoso.com till Britta.Simon@contoso.com
Exempel på suffixändring:
- Från Britta.Simon@contoso.com till Britta.Simon@contosolabs.com
- Från Britta.Simon@corp. contoso.com Britta.Simon@labs.contoso.com
UPN:er i Active Directory
I Active Directory är UPN-standardsuffixet DNS där du skapade användarkontot. I de flesta fall registrerar du det här domännamnet som företagsdomän. Om du skapar användarkontot i domänen contoso.com är standard-UPN: username@contoso.com. Lägg till fler UPN-suffix med Active Directory-domäner och förtroenden. Om du till exempel lägger till labs.contoso.com och ändrar användarens UPN och e-post för att återspegla det, blir resultatet: username@labs.contoso.com.
Du kan lägga till ditt anpassade domännamn i klientorganisationen.
Viktigt!
Om du ändrar suffixet i Active Directory lägger du till och verifierar ett matchande anpassat domännamn i Microsoft Entra-ID.
UPN:er i Microsoft Entra-ID
Användare loggar in på Microsoft Entra-ID med attributet userPrincipalName.
När du använder Microsoft Entra-ID med lokal Active Directory synkroniseras användarkonton med Tjänsten Microsoft Entra Anslut. Microsoft Entra Anslut-guiden använder attributet userPrincipalName från lokal Active Directory som UPN i Microsoft Entra-ID. Du kan ändra det till ett annat attribut i en anpassad installation.
Kommentar
Definiera en process för att uppdatera ett UPN (User Principal Name) för användare och din organisation.
När du synkroniserar användarkonton från Active Directory till Microsoft Entra-ID kontrollerar du att UPN:erna i Active Directory mappar till verifierade domäner i Microsoft Entra-ID. Om attributet userPrincipalName inte motsvarar en verifierad domän i Microsoft Entra-ID ersätter synkronisering suffixet med .onmicrosoft.com.
Massdistribution av UPN-ändringar
Om du vill testa massändringar i UPN skapar du en testad återställningsplan för att återställa UPN. För piloten ska du rikta in dig på små användaruppsättningar med organisationsroller och uppsättningar med appar eller enheter. Den här processen hjälper dig att förstå användarupplevelsen. Inkludera den här informationen i ändringskommunikation till intressenter och användare.
Läs mer om Distributionsplaner för Microsoft Entra.
Vi rekommenderar att du skapar en procedur för att ändra UPN för enskilda användare. Inkludera dokumentation om kända problem och lösningar. Mer information finns i följande avsnitt.
Problem med SaaS- och LoB-appar
Program som en tjänst (SaaS) och verksamhetsspecifika program (LoB) förlitar sig ofta på UPN för att hitta användare och lagra användarprofilinformation, inklusive roller. Program som kan påverkas av UPN-ändringar använder jit-etablering (just-in-time) för att skapa en användarprofil när användarna först loggar in på appen.
Läs mer:
Kända problem: Bruten relation, ny profil
UPN-ändringar för användare kan bryta relationen mellan Microsoft Entra-användaren och användarprofilen i programmet. Om programmet använder JIT-etablering kan det skapa en ny användarprofil. Sedan gör programadministratören manuella ändringar för att åtgärda relationen.
Lösningar: Automatiserad etablering
Använd automatiserad appetablering i Microsoft Entra-ID för att skapa, underhålla och ta bort användaridentiteter i molnprogram som stöds. Om du vill uppdatera UPN i programmet konfigurerar du automatisk användaretablering i dina program. Testa program för att verifiera lyckade UPN-ändringar. För att aktivera automatisk användaretablering kan utvecklare lägga till STÖD för System for Cross-domain Identity Management (SCIM) i program.
Läs mer:
- Vad är appetablering i Microsoft Entra-ID?
- Självstudie: Utveckla och planera etablering för en SCIM-slutpunkt i Microsoft Entra-ID
Problem med hanterade enheter
Om du vill maximera användarproduktiviteten med enkel inloggning (SSO) över molnresurser och lokala resurser kan du använda Microsoft Entra-ID för enheter.
Läs mer om vad som är en enhetsidentitet?
Microsoft Entra-anslutna enheter
Oavsett storlek eller bransch kan organisationer distribuera Microsoft Entra-anslutna enheter. Microsoft Entra Join fungerar i hybridmiljöer och ger åtkomst till molnbaserade och lokala appar och resurser. Microsoft Entra-anslutna enheter är anslutna till Microsoft Entra-ID. Användare loggar in på enheten med hjälp av sin organisationsidentitet.
Läs mer om Microsoft Entra-anslutna enheter.
Kända problem: enkel inloggning
Användare kan få problem med enkel inloggning med program som är beroende av Microsoft Entra-ID för autentisering. Det här problemet har åtgärdats i Windows 10 maj-2020-uppdateringen.
Lösning
Tillåt att UPN-ändringen synkroniseras med Microsoft Entra-ID.
Kontrollera att det nya UPN:t visas i administrationscentret för Microsoft Entra.
Be användarna att välja Annan användare för att logga in med ett nytt UPN.
Verifiera med Get-MgUser i Microsoft Graph PowerShell.
Kommentar
När användarna har loggat in med ett nytt UPN kan referenser till det tidigare UPN visas i Windows-inställningen Åtkomst till arbete eller skola .
Problem med Hybrid-anslutna Microsoft Entra-enheter
Microsoft Entra Hybrid-anslutna enheter är anslutna till Active Directory och Microsoft Entra ID. Implementera Microsoft Entra-hybridanslutning om din miljö har ett lokal Active Directory fotavtryck.
Läs mer om Hybrid-anslutna Microsoft Entra-enheter.
Kända problem: Windows 10 Microsoft Entra Hybrid-anslutna enheter
Windows 10 Microsoft Entra Hybrid-anslutna enheter får oväntade omstarter och åtkomstproblem. Om användarna loggar in på Windows innan det nya UPN synkroniseras med Microsoft Entra-ID kan det uppstå problem med enkel inloggning med appar som använder Microsoft Entra-ID för autentisering. Det här scenariot kan inträffa om användarna är i en Windows-session. Den här situationen inträffar om villkorlig åtkomst är konfigurerad för att framtvinga användning av hybrid-anslutna enheter för att få åtkomst till resurser. Dessutom kan följande meddelande tvinga fram en omstart efter en minut:
Datorn startas om automatiskt om en minut. Windows stötte på ett problem och måste startas om. Du bör stänga det här meddelandet nu och spara ditt arbete.
Det här problemet har åtgärdats i Windows 10 maj-2020-uppdateringen.
Lösning
- Koppla bort enheten från Microsoft Entra-ID.
- Starta om.
- Enheten ansluter till Microsoft Entra-ID.
- För att logga in väljer användaren Annan användare.
Om du vill koppla från en enhet från Microsoft Entra-ID kör du följande kommando i en kommandotolk: dsregcmd/leave
Kommentar
Om du använder Windows Hello för företag registreras användarna igen för Windows Hello för företag.
Dricks
Windows 7- och 8.1-enheter påverkas inte av det här problemet.
Appskyddsprinciper för mobilapphantering
Kända problem: Brutna anslutningar
Om din organisation använder Hantering av mobilprogram (MAM) för att skydda företagsdata är MAM-appskyddsprinciperna inte motståndskraftiga vid UPN-ändringar. Det här problemet kan bryta anslutningen mellan MAM-registreringar och aktiva användare i MAM-integrerade program. Det här scenariot kan lämna data oskyddade.
Läs mer:
Lösning
När UPN har ändrats rensar administratören data från berörda enheter för att tvinga användare att autentisera om och återregistrera med nya UPN.
Lär dig hur du endast rensar företagsdata från Intune-hanterade appar.
Microsoft Authenticator-problem
Om din organisation kräver att Authenticator loggar in och får åtkomst till program och data kan ett användarnamn visas i appen. Kontot är dock inte en verifieringsmetod förrän användarna har slutfört registreringen.
Lär dig hur du använder Authenticator.
Authenticator-appen har fyra huvudfunktioner:
- Multifaktorautentisering med push-meddelande eller verifieringskod
- Autentiseringskoordinator på iOS- och Android-enheter för enkel inloggning i program med asynkron autentisering
- Enhetsregistrering eller arbetsplatsanslutning till Microsoft Entra-ID, vilket är ett krav för Intune-appskydd och enhetsregistrering/hantering
- Telefon inloggning, vilket kräver MFA och enhetsregistrering
Multifaktorautentisering med Android-enheter
Använd Authenticator för out-of-band-verifiering. Multifaktorautentisering skickar ett meddelande till Authenticator på användarenheten, i stället för ett automatiskt samtal eller en sms-tjänst (short-message service) till användaren.
- Användaren väljer Godkänn, anger en PIN-kod eller anger en biometrisk kod.
- Användaren väljer Autentisera.
Lär dig hur det fungerar: Microsoft Entra multifaktorautentisering.
Kända problem: Meddelandet har inte tagits emot
När du ändrar UPN för användare visas det tidigare UPN på användarkontot. Meddelandet kanske inte tas emot. Använd i stället verifieringskoder.
Se en lista med vanliga frågor om Authenticator.
Lösning
- Om meddelandet visas instruerar du användaren att stänga det.
- Öppna Authenticator.
- Välj Sök efter meddelanden.
- Godkänn MFA-prompten.
- UPN på kontot uppdateras.
Kommentar
Det uppdaterade UPN kan visas som ett nytt konto. Den här ändringen beror på andra Authenticator-funktioner.
Asynkron autentisering
På Android och iOS aktiverar koordinatorer som Authenticator:
- Enkel inloggning: Användare loggar inte in på varje program
- Enhetsidentifiering: Koordinatorn får åtkomst till enhetscertifikatet som skapades på enheten när det var arbetsplatsanslutning
- Verifiering av programidentifiering: När ett program anropar asynkron meddelandekö skickas dess omdirigerings-URL och mäklaren verifierar den
Läs mer:
- Dokumentation om villkorsstyrd åtkomst i Microsoft Entra
- Använd Authenticator eller Intune-företagsportal i Xamarin-program.
Kända problem: användarfrågor
På grund av ett matchningsfel mellan det login_hint
som skickats av programmet och UPN på asynkron meddelandekö får användaren fler autentiseringsanvisningarna med asynkron inloggning.
Lösning
Användaren tar bort kontot manuellt från Authenticator och startar en ny inloggning från ett broker-assisted-program. Efter den första autentiseringen läggs kontot till.
Enhetsregistrering
Authenticator registrerar enheten i Microsoft Entra-ID, vilket gör att enheten kan autentisera till Microsoft Entra-ID. Den här registreringen är ett krav för:
- Intune-appskydd
- Registrering av Intune-enheter
- Telefon inloggning
Kända problem: Nytt konto visas
Om du ändrar UPN visas ett nytt konto med det nya UPN i Authenticator. Kontot med föregående UPN finns kvar. Dessutom visas det tidigare UPN i Enhetsregistrering i appinställningar. Funktionen för enhetsregistrering eller beroende scenarier ändras inte.
Lösning
Om du vill ta bort referenser till det tidigare UPN på Authenticator tar användaren bort de tidigare och nya kontona från Authenticator. Användaren registrerar om för MFA och ansluter till enheten igen.
Telefon inloggning
Använd telefoninloggning för att logga in på Microsoft Entra-ID utan lösenord. Med Authenticator registrerar sig användaren för MFA och aktiverar sedan telefoninloggning. Enheten registreras med Microsoft Entra-ID.
Kända problem: Inget meddelande
Användare kan inte använda telefoninloggning eftersom de inte fick något meddelande. Om användaren väljer Sök efter meddelanden visas ett fel.
Lösning
På det konto som är aktiverat för telefoninloggning går du till den nedrullningsbara menyn och väljer Inaktivera telefoninloggning.
Problem med säkerhetsnyckel (FIDO2)
Kända problem: Val av konto
När flera användare är registrerade på samma nyckel visas kontoval där det tidigare UPN visas. UPN-ändringar påverkar inte inloggning med säkerhetsnycklar.
Lösning
Om du vill ta bort referenser till tidigare UPN återställer användarna säkerhetsnyckeln och registrerar den igen.
Du kan aktivera inloggning med lösenordslös säkerhetsnyckel, kända problem, UPN-ändringar.
Problem med OneDrive
OneDrive-användare kan få problem när UPN har ändrats.
Lär dig hur UPN-ändringar påverkar Funktionerna för OneDrive-URL och OneDrive.
Problem med Mötesanteckningar för Teams
Använd Mötesanteckningar för Teams för att ta och dela anteckningar.
Kända problem: Otillgängliga anteckningar
När ett användar-UPN ändras är mötesanteckningar som skapats med föregående UPN inte tillgängliga med Microsoft Teams eller URL:en för mötesanteckningar.
Lösning
När UPN-ändringen har ändrats kan användarna ladda ned anteckningar från OneDrive.
- Gå till Mina filer.
- Välj Microsoft Teams-data.
- Välj Wiki.
Nya mötesanteckningar som skapats efter UPN-ändringen påverkas inte.