Plánování a řešení potíží se změnami hlavního názvu uživatele v ID Microsoft Entra

Atribut hlavního názvu uživatele (UPN) je standard internetové komunikace pro uživatelské účty. Hlavní název uživatele (UPN) se skládá z:

• Předpona: Uživatelské jméno účtu
• Přípona: Název domény dns (Domain Name Server)

Předpona spojí příponu pomocí symbolu @. Například someone@example.com. Během plánování se ujistěte, že hlavní název uživatele (UPN) je jedinečný mezi objekty zabezpečení v doménové struktuře adresáře.

Poznámka:

Tento článek předpokládá, že hlavní název uživatele je identifikátor uživatele. Článek se zabývá plánováním změn hlavního názvu uživatele (UPN) a obnovením z problémů, které můžou mít za následek změny. Doporučujeme vývojářům používat ID objektu uživatele jako neměnný identifikátor, nikoli hlavní název uživatele (UPN) nebo e-mailové adresy.

Důvody změn hlavního názvu uživatele (UPN)

Pokud se jedná o hlavní název uživatele (UPN) uživatele, přihlašovací stránky často vyzvou uživatele, aby zadali e-mailovou adresu. Proto když se změní primární e-mailová adresa uživatele, změňte hlavní název uživatele (UPN). Primární e-mailová adresa uživatele se obecně mění z následujících důvodů:

• Změna jména zaměstnance
• Přesunutí zaměstnance
• Restrukturalizace změn, které mají vliv na příponu
• Změny fúze a/nebo akvizice

Změny předpony hlavního názvu uživatele a přípony

Doporučujeme změnit hlavní název uživatele (UPN), když se změní jejich primární e-mailová adresa. Během počáteční synchronizace ze služby Active Directory do Microsoft Entra ID zajistěte, aby e-maily uživatelů a hlavní názvy uživatelů byly stejné. Podívejte se na následující příklad změny předpony a přípony.

Příklady změn předpon:

• Od BSimon@contoso.com do BJohnson@contoso.com
• Od Bsimon@contoso.com do Britta.Simon@contoso.com

Příklady změn přípon:

• Od Britta.Simon@contoso.com do Britta.Simon@contosolabs.com
• Z Britta.Simon@corp. contoso.com na Britta.Simon@labs.contoso.com

Hlavních názvů uživatele (UPN) ve službě Active Directory

Ve službě Active Directory je výchozí přípona hlavního názvu uživatele (UPN) DNS, ve které jste vytvořili uživatelský účet. Ve většině případů zaregistrujte tento název domény jako podnikovou doménu. Pokud vytvoříte uživatelský účet v contoso.com doméně, výchozí hlavní název uživatele je: username@contoso.com. Přidejte další přípony hlavního názvu uživatele (UPN) s doménami a vztahy důvěryhodnosti služby Active Directory. Pokud například přidáte labs.contoso.com a změníte hlavní názvy uživatelů a e-mail tak, aby to odrážely, výsledek je: username@labs.contoso.com.

Do tenanta můžete přidat vlastní název domény.

Důležité

Pokud změníte příponu ve službě Active Directory, přidejte a ověřte odpovídající název vlastní domény v MICROSOFT Entra ID.

Hlavní názvy uživatele (UPN) v Microsoft Entra ID

Uživatelé se přihlásí k Microsoft Entra ID pomocí hodnoty atributu userPrincipalName.

Pokud používáte Microsoft Entra ID s místní Active Directory, uživatelské účty se synchronizují se službou Microsoft Entra Připojení. Průvodce Microsoft Entra Připojení používá atribut userPrincipalName z místní Active Directory jako hlavní název uživatele (UPN) v Microsoft Entra ID. Můžete ho změnit na jiný atribut ve vlastní instalaci.

Poznámka:

Definujte proces aktualizace hlavního názvu uživatele (UPN) pro uživatele a vaši organizaci.

Při synchronizaci uživatelských účtů z Active Directory do Microsoft Entra ID se ujistěte, že hlavní názvy uživatelů ve službě Active Directory mapují na ověřené domény v Microsoft Entra ID.

Poznámka:

Pokud hodnota atributu userPrincipalName neodpovídá ověřené doméně v ID Microsoft Entra, synchronizace nahradí příponu příponou .onmicrosoft.com.

Hromadné zavedení změn hlavního názvu uživatele (UPN)

Pokud chcete otestovat hromadné změny hlavního názvu uživatele (UPN), vytvořte otestovaný plán vrácení zpět, který vrátí hlavní názvy uživatele (UPN). V případě pilotního nasazení zaměřte malé uživatelské sady s organizačními rolemi a sadami aplikací nebo zařízení. Tento proces vám pomůže pochopit uživatelské prostředí. Tyto informace zahrňte do komunikace se změnami pro zúčastněné strany a uživatele.

Přečtěte si další informace o plánech nasazení Microsoft Entra.

Doporučujeme vytvořit postup pro změnu hlavních názvů uživatelů pro jednotlivé uživatele. Uveďte dokumentaci ke známým problémům a alternativním řešením. Další informace najdete v následujících částech.

Problémy s aplikacemi SaaS a LoB

Aplikace SaaS (Software jako služba) a obchodní aplikace (LoB) se často spoléhají na upN, aby našli uživatele a ukládaly informace o profilu uživatele, včetně rolí. Aplikace potenciálně ovlivněné změnami hlavního názvu uživatele (UPN) používají zřizování JIT (just-in-time) k vytvoření profilu uživatele, když se uživatelé poprvé přihlásí k aplikaci.

Další informace:

• Co je SaaS?
• Co je zřizování aplikací v Microsoft Entra ID?

Známé problémy: Nefunkční relace, nový profil

Změny hlavního názvu uživatele (UPN) uživatele mohou přerušit vztah mezi uživatelem Microsoft Entra a profilem uživatele v aplikaci. Pokud aplikace používá zřizování JIT, může vytvořit nový profil uživatele. Potom aplikace Správa istrator provede ruční změny pro opravu relace.

Alternativní řešení: Automatizované zřizování

V podporovaných cloudových aplikacích můžete vytvářet, udržovat a odebírat identity uživatelů pomocí automatizovaného zřizování aplikací v Microsoft Entra ID. Pokud chcete aktualizovat hlavní názvy uživatelů v aplikaci, nakonfigurujte automatické zřizování uživatelů ve vašich aplikacích. Otestujte aplikace a ověřte úspěšné změny hlavního názvu uživatele (UPN). Aby bylo možné povolit automatické zřizování uživatelů, můžou vývojáři do aplikací přidat podporu SCIM (System for Cross-Domain Identity Management).

Další informace:

• Co je zřizování aplikací v Microsoft Entra ID?
• Kurz: Vývoj a plánování zřizování pro koncový bod SCIM v Microsoft Entra ID

Problémy se spravovanými zařízeními

Pokud chcete maximalizovat produktivitu uživatelů pomocí jednotného přihlašování (SSO) napříč cloudovými a místními prostředky, přineste zařízení do Microsoft Entra ID.

Přečtěte si další informace o identitě zařízení?

Zařízení připojená k Microsoft Entra

Bez ohledu na velikost nebo obor můžou organizace nasadit zařízení připojená k Microsoftu Entra. Připojení Microsoft Entra funguje v hybridních prostředích a umožňuje přístup ke cloudovým a místním aplikacím a prostředkům. Zařízení připojená k Microsoft Entra jsou připojená k Microsoft Entra ID. Uživatelé se k zařízení přihlašují pomocí identity organizace.

Přečtěte si další informace o zařízeních připojených k Microsoft Entra.

Známé problémy: Jednotné přihlašování

Uživatelé můžou mít problémy s jednotným přihlašováním s aplikacemi, které jsou závislé na ID Microsoft Entra pro ověřování. Tento problém byl opraven v aktualizaci Windows 10 z května 2020.

Alternativní řešení

1. Počkejte, než se hlavní název uživatele (UPN) synchronizuje s ID Microsoft Entra.

2. Ověřte, že se nový hlavní název uživatele (UPN) zobrazí v Centru pro správu Microsoft Entra.

3. Řekněte uživatelům, aby se přihlásili pomocí nového hlavního názvu uživatele (UPN).

4. Ověřte pomocí rutiny Get-MgUser v Microsoft Graph PowerShellu.

   Poznámka:

   Po přihlášení pomocí nového hlavního názvu uživatele (UPN) se můžou odkazy na předchozí hlavní název uživatele (UPN) zobrazit v nastavení Accessu v pracovním nebo školním systému Windows.

   

Problémy s hybridními zařízeními připojenými k Microsoft Entra

Zařízení připojená k hybridnímu připojení Microsoft Entra jsou připojená ke službě Active Directory a k ID Microsoft Entra. Implementujte hybridní připojení Microsoft Entra, pokud má vaše prostředí místní Active Directory nároky.

Přečtěte si další informace o hybridních zařízeních připojených k Microsoft Entra.

Známé problémy: Zařízení s Windows 10 Microsoft Entra připojená k hybridnímu připojení

U zařízení s Hybridním připojením k Windows 10 Microsoft Entra dochází k neočekávaným restartováním a problémům s přístupem. Pokud se uživatelé přihlásí k Windows před synchronizací nového hlavního názvu uživatele (UPN) s ID Microsoft Entra, můžou narazit na problémy s jednotným přihlašováním u aplikací, které k ověřování používají MICROSOFT Entra ID. K tomuto scénáři může dojít, pokud jsou uživatelé v relaci Windows. K této situaci dochází v případě, že je podmíněný přístup nakonfigurovaný tak, aby pro přístup k prostředkům vynucoval použití zařízení připojených k hybridnímu připojení. Kromě toho může následující zpráva vynutit restartování po jedné minutě:

Počítač se automaticky restartuje za jednu minutu. Systém Windows narazil na problém a musí se restartovat. Tuto zprávu byste teď měli zavřít a uložit práci.

Tento problém byl opraven v aktualizaci Windows 10 z května 2020.

Alternativní řešení

1. Odpojte zařízení od Microsoft Entra ID.
2. Restartovat.
3. Zařízení se připojí k Microsoft Entra ID.
4. Pokud se chcete přihlásit, uživatel vybere jiného uživatele.

Pokud chcete zrušit spojení zařízení s ID Microsoft Entra, spusťte na příkazovém řádku následující příkaz: dsregcmd/leave.

Poznámka:

Pokud používáte Windows Hello pro firmy, uživatelé se znovu zaregistrují pro Windows Hello pro firmy.

Tip

Tento problém nemá vliv na zařízení s Windows 7 a 8.1.

Zásady ochrany aplikací pro správu mobilních aplikací

Známé problémy: Přerušená připojení

Pokud vaše organizace používá správu mobilních aplikací (MAM) k ochraně podnikových dat, zásady ochrany aplikací MAM nejsou během změn hlavního názvu uživatele (UPN) odolné. Tento problém může přerušit připojení mezi registracemi MAM a aktivními uživateli v integrovaných aplikacích MAM. Tento scénář může ponechat data nechráněná.

Další informace:

• Přehled zásad Ochrana aplikací
• Nejčastější dotazy k MAM a ochraně aplikací

Alternativní řešení

Po změně hlavního názvu uživatele (UPN) Správa istrator vymaže data z ovlivněných zařízení, aby uživatelé znovu provedli ověření a znovu zaregistrovali nové hlavní názvy uživatelů ( UPN).

Zjistěte , jak vymazat jenom firemní data z aplikací spravovaných přes Intune.

Problémy s Microsoft Authenticatorem

Pokud vaše organizace vyžaduje, aby se aplikace Authenticator přihlásila a přistupovala k aplikacím a datům, může se v aplikaci zobrazit uživatelské jméno. Dokud ale uživatelé nedokončí registraci, účet není ověřovací metodou.

Naučte se používat Authenticator.

Aplikace Authenticator má čtyři hlavní funkce:

• Vícefaktorové ověřování s nabízeným oznámením nebo ověřovacím kódem
• Zprostředkovatel ověřování na zařízeních s iOSem a Androidem pro jednotné přihlašování v aplikacích pomocí zprostředkovaného ověřování
  • Povolení jednotného přihlašování mezi aplikacemi v Androidu pomocí knihovny Microsoft Authentication Library (MSAL)
• Registrace zařízení nebo připojení k pracovišti k ID Microsoft Entra, což je požadavek na registraci nebo správu zařízení v Intune App Protection a zařízení
• Telefon přihlášení, které vyžaduje vícefaktorové ověřování a registraci zařízení

Vícefaktorové ověřování pomocí zařízení s Androidem

K ověřování mimo pásmo použijte Authenticator. Vícefaktorové ověřování odešle oznámení službě Authenticator na uživatelském zařízení místo automatizovaného volání nebo služby krátkých zpráv (SMS) uživateli.

1. Uživatel vybere Možnost Schválit, zadá PIN kód nebo zadá biometrický kód.
2. Uživatel vybere možnost Ověřit.

Zjistěte , jak funguje: vícefaktorové ověřování Microsoft Entra.

Známé problémy: Oznámení se nepřijalo

Když změníte hlavní název uživatele (UPN), zobrazí se předchozí hlavní název uživatele (UPN) na uživatelském účtu. Oznámení nemusí být přijato. Místo toho použijte ověřovací kódy.

Podívejte se na seznam běžných dotazů k authenticatoru.

Alternativní řešení

1. Pokud se zobrazí oznámení, požádejte uživatele, aby ho zavřel.
2. Otevřete Authenticator.
3. Vyberte Zkontrolovat oznámení.
4. Schválit výzvu vícefaktorového ověřování
5. Hlavní název uživatele (UPN) účtu se aktualizuje.

Poznámka:

Aktualizovaný hlavní název uživatele (UPN) se může zobrazit jako nový účet. Tato změna je způsobená jinými funkcemi authenticatoru.

Zprostředkované ověřování

V Androidu a iOSu zprostředkovatelé, jako je Authenticator, povolují:

• Jednotné přihlašování: Uživatelé se nepřihlašují ke každé aplikaci
• Identifikace zařízení: Zprostředkovatel přistupuje k certifikátu zařízení vytvořenému na zařízení, když byl připojený k pracovišti.
• Ověření identifikace aplikace: Když aplikace zavolá zprostředkovatele, předá adresu URL pro přesměrování a zprostředkovatel ji ověří.

Další informace:

• Dokumentace k podmíněnému přístupu microsoftu Entra
• V aplikacích Xamarin použijte Authenticator nebo Portál společnosti Intune.

Známé problémy: výzvy uživatelů

Vzhledem k neshodě mezi login_hint předaným aplikací a hlavní název uživatele (UPN) na zprostředkovateli se uživateli zobrazí další výzvy k ověřování s přihlášením s asistencí zprostředkovatele.

Alternativní řešení

Uživatel ručně odebere účet z Authenticatoru a spustí nové přihlášení z aplikace s asistencí zprostředkovatele. Po počátečním ověření se účet přidá.

Registrace zařízení

Authenticator zaregistruje zařízení v Microsoft Entra ID, což umožňuje zařízení ověřit v Microsoft Entra ID. Tato registrace je předpokladem pro:

• Ochrana aplikací Intune
• Registrace zařízení v Intune
• přihlášení Telefon

Známé problémy: Zobrazí se nový účet

Pokud změníte hlavní název uživatele (UPN), zobrazí se v authenticatoru nový účet s novým upN. Účet s předchozím hlavního názvu uživatele (UPN) zůstane. V nastavení aplikace se také zobrazí předchozí hlavní název uživatele (UPN) v nastavení aplikace. Ve scénářích registrace zařízení ani závislých scénářů se nic nemění.

Alternativní řešení

Pokud chcete odebrat odkazy na předchozí hlavní název uživatele (UPN) v authenticatoru, odebere uživatel předchozí a nové účty z Authenticatoru. Uživatel se znovu zaregistruje pro vícefaktorové ověřování a znovu se připojí k zařízení.

přihlášení Telefon

Přihlaste se pomocí telefonního přihlášení k Microsoft Entra ID bez hesla. V authenticatoru se uživatel zaregistruje pro vícefaktorové ověřování a pak povolí přihlášení přes telefon. Zařízení se zaregistruje v Microsoft Entra ID.

Známé problémy: Žádné oznámení

Uživatelé nemůžou používat přihlášení přes telefon, protože neobdrželi oznámení. Pokud uživatel vybere Možnost Zkontrolovat oznámení, zobrazí se chyba.

Alternativní řešení

V účtu povoleném pro přihlášení k telefonu v rozevírací nabídce uživatel vybere Možnost Zakázat přihlášení telefonem.

Problémy s klíčem zabezpečení (FIDO2)

Známé problémy: Výběr účtu

Pokud je na stejném klíči zaregistrovaných více uživatelů, zobrazí se výběr účtu tam, kde se zobrazí předchozí hlavní název uživatele (UPN). Změny hlavního názvu uživatele (UPN) nemají vliv na přihlášení pomocí klíčů zabezpečení.

Alternativní řešení

Pokud chcete odebrat odkazy na předchozí hlavní názvy uživatelů (UPN), resetují klíč zabezpečení a znovu se zaregistrují.

Můžete povolit přihlášení bez hesla, známý problém, změny hlavního názvu uživatele (UPN).

Problémy s OneDrivem

Uživatelé OneDrivu můžou po změnách hlavního názvu uživatele (UPN) zaznamenat problémy.

Přečtěte si , jak změny hlavního názvu uživatele (UPN) ovlivňují funkce adresy URL OneDrivu a OneDrivu.

Problémy s poznámkami ze schůzek v Teams

Poznámky ze schůzky v Teams slouží k pořizování a sdílení poznámek.

Známé problémy: Nepřístupné poznámky

Když se hlavní název uživatele změní, nebudou poznámky ze schůzky vytvořené pomocí předchozího hlavního názvu uživatele (UPN) přístupné přes Microsoft Teams ani adresu URL poznámek ze schůzky.

Alternativní řešení

Po změně hlavního názvu uživatele můžou uživatelé stahovat poznámky z OneDrivu.

1. Přejděte na Moje soubory.
2. Vyberte data Microsoft Teams.
3. Vyberte wikiweb.

Nové poznámky ze schůzky vytvořené po změně hlavního názvu uživatele (UPN) nejsou ovlivněné.

Další kroky

• Microsoft Entra Connect: Koncepty návrhu
• Microsoft Entra UserPrincipalName population
• Tokeny Microsoft Identity Platform pro ID