Planung und Problembehandlung von Änderungen des Benutzerprinzipalnamens in Microsoft Entra ID
Das Attribut „Benutzerprinzipalname (UPN)“ ist ein Internetkommunikationsstandard für Benutzerkonten. Ein UPN besteht aus:
- Präfix: Name des Benutzerkontos
- Suffix: DNS-Domänenname
Das Präfix wird über das „@“-Symbol mit dem Suffix verknüpft. Beispiel: someone@example.com. Stellen Sie während der Planung sicher, dass der UPN unter den Sicherheitsprinzipalobjekten in einer Verzeichnisgesamtstruktur eindeutig ist.
Hinweis
In diesem Artikel wird davon ausgegangen, dass der UPN als Benutzerbezeichner verwendet wird. Dieser Artikel behandelt die Planung von UPN-Änderungen sowie die Behebung von Problemen, die sich aus den Änderungen ergeben können. Für Entwickler empfiehlt es sich, anstelle des UPN oder anstelle von E-Mail-Adressen die Objekt-ID (objectID) des Benutzers als unveränderlichen Bezeichner zu verwenden.
Gründe für UPN-Änderungen
Auf Anmeldeseiten werden Benutzer häufig dazu aufgefordert, eine E-Mail-Adresse einzugeben, wenn der Wert dem Benutzer-UPN entspricht. Ändern Sie daher den UPN des Benutzers, wenn sich die primäre E-Mail-Adresse des Benutzers ändert. Im Allgemeinen ändert sich die primäre E-Mail-Adresse eines Benutzers aus folgenden Gründen:
- Änderung des Mitarbeiternamens
- Versetzung von Mitarbeitern
- Umstrukturierungsänderungen, die das Suffix betreffen
- Fusions- und/oder Akquisitionsänderungen
UPN-Präfix- und -Suffixänderungen
Wir empfehlen daher, den UPN des Benutzers zu ändern, wenn sich die primäre E-Mail-Adresse ändert. Stellen Sie bei der Erstsynchronisierung von Active Directory mit Microsoft Entra ID sicher, dass die E-Mail-Adressen und UPNs der Benutzer identisch sind. Sehen Sie sich die folgenden Beispiele für Präfix- und Suffixänderungen an.
Beispiele für Präfixänderungen:
- BSimon@contoso.com wird zu BJohnson@contoso.com
- Bsimon@contoso.com wird zu Britta.Simon@contoso.com
Beispiele für Suffixänderungen:
- Britta.Simon@contoso.com wird zu Britta.Simon@contosolabs.com
- Britta.Simon@corp.contoso.com wird zu Britta.Simon@labs.contoso.com
UPNs in Active Directory
In Active Directory ist das UPN-Standardsuffix der DNS-Name der Domäne, in der Sie das Benutzerkonto erstellt haben. In den meisten Fällen wird dieser Domänenname als Unternehmensdomäne registriert. Wenn Sie das Benutzerkonto in der Domäne „contoso.com“ erstellen, lautet der Standard-UPN wie folgt: username@contoso.com Fügen Sie weitere UPN-Suffixe mit Active Directory-Domänen und -Vertrauensstellungen hinzu. Wenn Sie beispielsweise „labs.contoso.com“ hinzufügen und die Benutzer-UPNs und E-Mail-Adressen entsprechend ändern, lautet das Ergebnis: username@labs.contoso.com.
Sie können Ihren benutzerdefinierten Domänennamen zu Ihrem Mandanten hinzufügen.
Wichtig
Wenn Sie das Suffix in Active Directory ändern, fügen Sie einen übereinstimmenden benutzerdefinierten Domänennamen in Microsoft Entra ID hinzu, und überprüfen Sie diesen.
UPNs in Microsoft Entra ID
Benutzer*innen melden sich bei Microsoft Entra ID mit dem Wert ihres userPrincipalName-Attributs an.
Wenn Sie Microsoft Entra ID zusammen mit Ihrer lokalen Active Directory-Instanz verwenden, werden Benutzerkonten mithilfe des Microsoft Entra Connect-Diensts synchronisiert. Der Microsoft Entra Connect-Assistent verwendet das Attribut „userPrincipalName“ aus der lokalen Active Directory-Instanz als UPN in Microsoft Entra ID. In einer benutzerdefinierten Installation können Sie dies in ein anderes Attribut ändern.
Hinweis
Definieren Sie einen Prozess zum Aktualisieren eines Benutzerprinzipalnamens (UPN) für Benutzer und Ihre Organisation.
Wenn Sie Benutzerkonten aus Active Directory mit Microsoft Entra ID synchronisieren, stellen Sie sicher, dass die UPNs in Active Directory überprüften Domänen in Microsoft Entra ID zugeordnet sind. Wenn der Wert des Attributs „userPrincipalName“ keiner verifizierten Domäne in Microsoft Entra ID entspricht, wird das Suffix bei der Synchronisierung durch „.onmicrosoft.com“ ersetzt.
Rollout von UPN-Massenänderungen
Um UPN-Massenänderungen zu testen, erstellen Sie einen getesteten Rollbackplan, um UPNs wiederherstellen zu können. Richten Sie für das Pilotprojekt kleine Benutzergruppen mit Organisationsrollen und Gruppen von Apps oder Geräten aus. Dieser Prozess hilft Ihnen, die Benutzerumgebung zu verstehen. Beziehen Sie diese Informationen in Ihre Kommunikation mit Beteiligten und Benutzern ein.
Weitere Informationen finden Sie unter Microsoft Entra-Bereitstellungspläne.
Es wird empfohlen, ein Verfahren zum Ändern von UPNs für einzelne Benutzer zu erstellen. Beziehen Sie Dokumentation zu bekannten Problemen und Problemumgehungen ein. Weitere Informationen finden Sie in den folgenden Abschnitten.
Probleme mit SaaS- und LoB-Apps
SaaS-Anwendungen (Software-as-a-Service) und Branchenanwendungen stützen sich häufig auf UPNs, um nach Benutzern zu suchen und Benutzerprofilinformationen, einschließlich Rollen, zu speichern. Anwendungen, die potenziell von UPN-Änderungen betroffen sind, verwenden die Just-in-Time-Bereitstellung (JIT), um ein Benutzerprofil zu erstellen, wenn sich Benutzer zum ersten Mal bei der App anmelden.
Weitere Informationen:
Bekannte Probleme: Unterbrochene Beziehung, neues Profil
Durch die UPN-Änderung kann die Beziehung zwischen Microsoft Entra-Benutzern und dem Benutzerprofil in der Anwendung unterbrochen werden. Wenn die Anwendung die Just-in-Time-Bereitstellung verwendet, kann ein neues Benutzerprofil erstellt werden. Anschließend nimmt der Anwendungsadministrator manuelle Änderungen vor, um die Beziehung zu reparieren.
Problemumgehungen: Automatische Bereitstellung
Verwenden Sie in unterstützten Cloudanwendungen die automatische App-Bereitstellung in Microsoft Entra ID, um Benutzeridentitäten zu erstellen, zu verwalten und zu entfernen. Um UPNs für die Anwendung zu aktualisieren, konfigurieren Sie die automatische Benutzerbereitstellung für Ihre Anwendungen. Testen Sie Anwendungen, um erfolgreiche UPN-Änderungen zu überprüfen. Um die automatische Benutzerbereitstellung zu aktivieren, können Entwickler SCIM-Unterstützung (System for Cross-Domain Identity Management) zu Anwendungen hinzufügen.
Weitere Informationen:
- Was ist die App-Bereitstellung in Microsoft Entra ID?
- Tutorial: Entwickeln eines SCIM-Endpunkts und Planen seiner Bereitstellung in Microsoft Entra ID
Probleme mit verwalteten Geräten
Um die Benutzerproduktivität über einmaliges Anmelden (SSO) für Ihre gesamten cloudbasierten und lokalen Ressourcen zu maximieren, stellen Sie Ihre Geräte in Microsoft Entra ID bereit.
Weitere Informationen finden Sie unter Was ist eine Geräteidentität?.
In Microsoft Entra eingebundene Geräte
Unabhängig von Größe oder Branche können Organisationen in Microsoft Entra eingebundene Geräte bereitstellen. Die Einbindung in Microsoft Entra funktioniert in Hybridumgebungen und ermöglicht den Zugriff auf cloudbasierte und lokale Anwendungen und Ressourcen. In Microsoft Entra eingebundene Geräte werden mit Microsoft Entra ID verknüpft. Benutzer melden sich mit ihrer Organisationsidentität beim Gerät an.
Weitere Informationen finden Sie unter In Microsoft Entra eingebundene Geräte.
Bekannte Probleme: Einmaliges Anmelden (SSO)
Bei Benutzern treten möglicherweise Probleme beim einmaligen Anmelden (SSO) bei Anwendungen auf, die für die Authentifizierung von Microsoft Entra ID abhängen. Dieses Problem wurde im Update von Windows 10 vom Mai 2020 behoben.
Problemumgehung
Planen Sie genügend Zeit ein, damit die UPN-Änderung mit Microsoft Entra ID synchronisiert werden kann.
Überprüfen Sie, ob der neue UPN im Microsoft Entra Admin Center angezeigt wird.
Bitten Sie Benutzer, die OptionAnderer Benutzer auszuwählen, um sich mit einem neuen UPN anzumelden.
Verwenden Sie Get-MgUser in Microsoft Graph PowerShell zur Überprüfung.
Hinweis
Nachdem sich Benutzer mit einem neuen UPN angemeldet haben, werden in der Windows-Einstellung Auf Arbeits- oder Schulkonto zugreifen möglicherweise weiterhin Verweise auf den alten UPN angezeigt.
Probleme mit in Microsoft Entra eingebundenen Hybridgeräten
In Microsoft Entra eingebundene Hybridgeräte werden mit Active Directory und Microsoft Entra ID verknüpft. Implementieren Sie die hybride Einbindung in Microsoft Entra, wenn Ihre Umgebung lokalen Active Directory-Speicherbedarf aufweist.
Weitere Informationen finden Sie unter In Microsoft Entra eingebundene Hybridgeräte.
Bekannte Probleme: In Microsoft Entra eingebundene Hybridgeräte unter Windows 10
Bei in Microsoft Entra eingebundenen Hybridgeräten unter Windows 10 können unerwartete Neustarts und Probleme mit dem Zugriff auftreten. Wenn sich Benutzer vor der Synchronisierung des neuen UPN mit Microsoft Entra ID bei Windows anmelden, kann es zu Problemen mit dem einmaligen Anmelden (SSO) bei Apps kommen, die Microsoft Entra ID für die Authentifizierung verwenden. Dieses Szenario kann eintreten, wenn Benutzer eine Windows-Sitzung geöffnet haben. Diese Situation tritt auf, wenn bedingter Zugriff konfiguriert ist, um die Verwendung eingebundener Hybridgeräte für den Zugriff auf Ressourcen zu erzwingen. Darüber hinaus kann die folgende Meldung angezeigt werden, die einen Neustart nach einer Minute erzwingt:
Ihr PC wird in einer Minute automatisch neu gestartet. Windows muss aufgrund eines Problems neu gestartet werden. Schließen Sie diese Meldung, und speichern Sie Ihre Daten.“
Dieses Problem wurde im Update von Windows 10 vom Mai 2020 behoben.
Problemumgehung
- Heben Sie die Einbindung des Geräts in Microsoft Entra ID auf.
- Neu starten:
- Das Gerät wird mit Microsoft Entra ID verknüpft.
- Bei der Anmeldung wählt der Benutzer die Option Anderer Benutzer aus.
Führen Sie an einer Eingabeaufforderung den folgenden Befehl aus, um die Einbindung eines Geräts in Microsoft Entra ID aufzuheben: dsregcmd/leave.
Hinweis
Wenn Sie Windows Hello for Business verwenden, registrieren sich Benutzer erneut für Windows Hello for Business.
Tipp
Geräte mit Windows 7 und Windows 8.1 sind von diesem Problem nicht betroffen.
App-Schutzrichtlinien für die Verwaltung mobiler Anwendungen
Bekannte Probleme: Unterbrochene Verbindungen
Wenn Ihre Organisation MAM (Mobile Application Management, Verwaltung mobiler Anwendungen) zum Schutz von Unternehmensdaten verwendet, sind MAM-App-Schutzrichtlinien während UPN-Änderungen nicht zu 100 % wirksam. Dieses Problem kann die Verbindung zwischen vorhandenen MAM-Registrierungen und aktiven Benutzern in Anwendungen mit MAM-Integration unterbrechen und dazu führen, dass Daten ungeschützt sind.
Weitere Informationen:
Problemumgehung
Nachdem der UPN geändert wurde, löscht der Administrator Daten von betroffenen Geräten, um zu erzwingen, dass Benutzer eine erneute Authentifizierung und Registrierung mit neuen UPNs durchführen müssen.
Weitere Informationen finden Sie unter Zurücksetzen nur von Unternehmensdaten aus einer von Intune verwalteten App.
Probleme mit Microsoft Authenticator
Wenn Ihre Organisation Microsoft Authenticator für die Anmeldung und den Zugriff auf Anwendungen und Daten benötigt, wird möglicherweise ein Benutzername in der App angezeigt. Das Konto kann jedoch erst dann zur Überprüfung verwendet werden, wenn der Benutzer die Registrierung abgeschlossen hat.
Weitere Informationen finden Sie unter Microsoft Authenticator-App verwenden.
Die Microsoft Authenticator-App hat vier Hauptfunktionen:
- Multi-Faktor-Authentifizierung mit Pushbenachrichtigung oder Prüfcode
- Authentifizierungsbroker auf iOS- und Android-Geräten für das einmalige Anmelden (SSO) für Anwendungen mit Brokerauthentifizierung
- Geräteregistrierung in Microsoft Entra ID (auch bekannt als „Arbeitsplatz beitreten“) als Voraussetzung für den Intune-App-Schutz und die Geräteregistrierung/-verwaltung
- Anmeldung per Telefon, die MFA und Geräteregistrierung voraussetzt
Multi-Faktor-Authentifizierung mit Android-Geräten
Verwenden Sie Microsoft Authenticator für die Out-of-Band-Überprüfung. Anstelle eines automatischen Anrufs oder einer SMS an den Benutzer wird bei der Multi-Faktor-Authentifizierung eine Push-Benachrichtigung an Microsoft Authenticator auf dem Benutzergerät gesendet.
- Der Benutzer wählt Genehmigen aus und gibt eine PIN oder biometrische Daten ein.
- Der Benutzer wählt Authentifizieren aus.
Weitere Informationen finden Sie unter Funktionsweise: Microsoft Entra-Multi-Faktor-Authentifizierung.
Bekannte Probleme: Keine Benachrichtigung erhalten
Wenn Sie den Benutzer-UPN ändern, wird der vorherige UPN im Benutzerkonto angezeigt. Möglicherweise wird keine Benachrichtigung angezeigt. Verwenden Sie stattdessen Prüfcodes.
Weitere Informationen finden Sie unter Häufig gestellte Fragen zu Microsoft Authenticator-App.
Problemumgehung
- Wenn die Benachrichtigung angezeigt wird, weisen Sie den Benutzer an, sie zu schließen.
- Öffnen Sie Authenticator.
- Wählen Sie Auf Benachrichtigungen prüfen aus.
- Genehmigen Sie die MFA-Eingabeaufforderung.
- Der UPN für das Konto wird aktualisiert.
Hinweis
Der aktualisierte UPN wird möglicherweise als neues Konto angezeigt. Diese Änderung ist auf andere Authenticator-Funktionen zurückzuführen.
Brokerauthentifizierung
Unter Android und iOS wird über Broker wie Microsoft Authenticator Folgendes aktiviert:
- Einmaliges Anmelden (SSO): Benutzer müssen sich nicht bei jeder Anwendung anmelden.
- Geräteidentifikation: Der Broker greift auf das Gerätezertifikat zu, das auf dem Gerät erstellt wurde, als es in den Arbeitsplatz eingebunden wurde.
- Überprüfung der Anwendungsidentifikation: Wenn eine Anwendung den Broker aufruft, übergibt sie die Umleitungs-URL, und der Broker überprüft sie.
Weitere Informationen:
- Dokumentation zum bedingten Zugriff in Microsoft Entra
- Verwenden von Microsoft Authenticator oder des Intune-Unternehmensportals für Xamarin-Anwendungen
Bekannte Probleme: Eingabeaufforderungen
Da der von der Anwendung übergebene Anmeldehinweis login_hint
und der im Broker gespeicherte UPN nicht übereinstimmen, erhält der Benutzer mehrere Authentifizierungsaufforderungen mit brokergestützter Anmeldung.
Problemumgehung
Der Benutzer entfernt das Konto manuell aus Microsoft Authenticator und startet eine neue Anmeldung in einer brokergestützten Anwendung. Das Konto wird nach der ersten Authentifizierung hinzugefügt.
Geräteregistrierung
Microsoft Authenticator registriert das Gerät in Microsoft Entra ID, sodass sich das Gerät bei Microsoft Entra ID authentifizieren kann. Diese Registrierung ist erforderlich für:
- Intune-App-Schutz
- Intune-Geräteregistrierung
- Anmeldung per Telefon
Bekannte Probleme: Neues Konto wird angezeigt
Wenn Sie den UPN ändern, wird in der Microsoft Authenticator-App ein neues Konto mit dem neuen UPN angezeigt. Das Konto mit dem alten UPN wird weiterhin aufgeführt. Ebenso wird der alte UPN in den App-Einstellungen im Bereich „Geräteregistrierung“ angezeigt. Die Funktionalität der Geräteregistrierung und der abhängigen Szenarien ändert sich nicht.
Problemumgehung
Um Verweise auf den alten UPN in Authenticator zu entfernen, entfernt der Benutzer die alten und neuen Konten aus Authenticator. Der Benutzer registriert sich erneut für MFA und bindet das Gerät neu ein.
Anmeldung per Telefon
Verwenden Sie die Anmeldung per Telefon, um sich bei Microsoft Entra ID ohne Kennwort anzumelden. Mit Authenticator registriert sich der Benutzer für MFA und aktiviert dann die Anmeldung per Telefon. Das Gerät wird bei Microsoft Entra ID registriert.
Bekannte Probleme: Keine Benachrichtigung
Benutzer können die Anmeldung per Telefon nicht verwenden, da sie keine Benachrichtigung erhalten haben. Wenn der Benutzer Nach Benachrichtigungen suchen auswählt, wird ein Fehler angezeigt.
Problemumgehung
Der Benutzer wählt im Dropdownmenü des Kontos, das für die Anmeldung per Telefon aktiviert ist, die Option Anmeldung per Telefon deaktivieren aus.
Probleme mit Sicherheitsschlüsseln (FIDO2)
Bekannte Probleme: Kontoauswahl
Wenn mehrere Benutzer für denselben Schlüssel registriert sind, wird eine Kontoauswahl angezeigt, in der der alte UPN angezeigt wird. Die Anmeldung mit Sicherheitsschlüsseln ist nicht von UPN-Änderungen betroffen.
Problemumgehung
Um Verweise auf alte UPNs zu entfernen, setzt der Benutzer den Sicherheitsschlüssel zurück und führt die Registrierung erneut aus.
Weitere Informationen finden Sie unter Aktivieren der kennwortlosen Anmeldung mit Sicherheitsschlüssel, Bekanntes Problem, UPN-Änderungen.
Probleme mit OneDrive
Bei Benutzern von OneDrive können nach UPN-Änderungen Probleme auftreten.
Weitere Informationen finden Sie unter Auswirkungen von UPN-Änderungen auf die OneDrive-URL und auf OneDrive-Features.
Probleme mit Teams-Besprechungsnotizen
Verwenden Sie Microsoft Teams-Besprechungsnotizen, um Notizen zu erstellen und zu teilen.
Bekannte Probleme: Nicht zugängliche Notizen
Wenn sich der UPN eines Benutzers ändert, sind die Besprechungsnotizen, die unter dem alten UPN erstellt wurden, nicht mehr über Microsoft Teams oder die URL der Besprechungsnotiz zugänglich.
Problemumgehung
Nach der UPN-Änderung können Benutzer Notizen von OneDrive herunterladen.
- Wechseln Sie zu Meine Dateien.
- Wählen Sie Microsoft Teams-Daten aus.
- Wählen Sie Wiki aus.
Neue Besprechungsnotizen, die nach der UPN-Änderung erstellt wurden, sind nicht betroffen.