Planeamiento y solución de problemas de los cambios de nombre principal de usuario en Microsoft Entra ID
El atributo nombre principal de usuario (UPN) es un estándar de comunicación de Internet para las cuentas de usuario. Un UPN consta de:
- Prefijo: nombre de cuenta de usuario
- Sufijo: nombre de dominio del servidor de nombres de dominio (DNS)
El prefijo se une al sufijo mediante el símbolo "\@". Por ejemplo, someone@example.com. Durante la planificación, asegúrese de que el UPN es único entre los objetos principales de seguridad de un bosque de directorios.
Nota:
En este artículo se presupone que el UPN será el identificador de usuario. Aquí se habla de la planificación de los cambios de UPN y de la recuperación a partir de los problemas que puedan aparecer debido a los cambios. Para los desarrolladores, se recomienda usar el objectID del usuario como identificador inmutable, en lugar del UPN o la dirección de correo electrónico.
Motivos para los cambios de UPN
Cuando el valor es el UPN del usuario, las páginas de inicio de sesión suelen pedir a los usuarios que introduzcan una dirección de correo electrónico. Por lo tanto, cuando cambie la dirección de correo electrónico principal del usuario, cambie el UPN del usuario. Por lo general, la dirección de correo electrónico principal de un usuario cambia por los siguientes motivos:
- Por cambio del nombre del empleado.
- Traslado de empleados
- Reestructuración de cambios que afectan al sufijo
- Cambios de fusión o adquisición
Cambios de prefijo y sufijo UPN
Se recomienda cambiar el UPN del usuario cuando cambie su dirección de correo electrónico principal. Durante la sincronización inicial desde Active Directory a Microsoft Entra ID, asegúrese de que los correos electrónicos de los usuarios sean idénticos a sus UPN. Consulte los siguientes cambios de prefijo y sufijo de ejemplo.
Ejemplos de cambios de prefijo:
- De BSimon@contoso.com a BJohnson@contoso.com
- De Bsimon@contoso.com a Britta.Simon@contoso.com
Ejemplos de cambio de sufijo:
- De Britta.Simon@contoso.com a Britta.Simon@contosolabs.com
- Desde Britta.Simon@corp.contoso.com para Britta.Simon@labs.contoso.com
UPN en Active Directory
En Active Directory, el sufijo UPN predeterminado es el nombre DNS del dominio en el que se creó la cuenta de usuario. En la mayoría de los casos, este nombre de dominio se registra como el dominio de empresa. Si crea la cuenta de usuario en el dominio contoso.com, el UPN predeterminado es: username@contoso.com. Agregue más sufijos UPN con dominios y confianzas de Active Directory. Por ejemplo, si agrega labs.contoso.com y cambia los UPN de usuario y los correos electrónicos para reflejarlo, el resultado es: username@labs.contoso.com.
Puede añadir su nombre de dominio personalizado a su arrendatario.
Importante
Si cambia el sufijo en Active Directory, agregue y compruebe el nombre de dominio personalizado coincidente en Microsoft Entra ID.
Los UPN en Microsoft Entra ID
Los usuarios inician sesión en Microsoft Entra ID con el valor del atributo userPrincipalName.
Cuando se usa Microsoft Entra ID junto con Active Directory local, las cuentas de usuario se sincronizan mediante el servicio de Microsoft Entra Connect. El asistente de Microsoft Entra Connect usa el atributo userPrincipalName de Active Directory local como el UPN en Microsoft Entra ID. Puede cambiarlo a un atributo distinto en una instalación personalizada.
Nota:
Defina un proceso para actualizar un nombre principal de usuario (UPN) para los usuarios y su organización.
Cuando sincronice las cuentas de usuario de Active Directory a Microsoft Entra ID, asegúrese de que los UPN de Active Directory se asignen a los dominios comprobados de Microsoft Entra ID. Si el atributo userPrincipalName no correspondiera a un dominio comprobado de Microsoft Entra ID, la sincronización reemplazará el sufijo con .onmicrosoft.com.
Implementación masiva de cambios de UPN
Para probar los cambios masivos de UPN, cree un plan de reversión probado para revertir los UPN. Para la prueba piloto, diríjase a pequeños conjuntos de usuarios con funciones organizativas, y a conjuntos de aplicaciones o dispositivos. Este proceso le ayuda a comprender la experiencia del usuario. Incluya esta información en sus comunicaciones a las partes interesadas y a los usuarios.
Más información: planes de implementación de Microsoft Entra.
Cree un procedimiento para cambiar los UPN para usuarios individuales. Incluya documentación sobre problemas conocidos y soluciones alternativas. Para más información, consulte las siguientes secciones:
Problemas de aplicaciones SaaS y LoB
Las aplicaciones de software como servicio (SaaS) y de línea de negocio (LoB) se suelen basar en los UPN para buscar usuarios y almacenan la información del perfil de usuario, incluidos los roles. Las aplicaciones que pueden resultar afectadas por los cambios UPN usan el aprovisionamiento Just-In-Time (JIT) para crear un perfil de usuario cuando los usuarios inician sesión inicialmente en la aplicación.
Más información:
Problemas conocidos: relación rota, nuevo perfil
Cambiar el UPN de un usuario podría interrumpir la relación entre el usuario de Microsoft Entra y el perfil de usuario de la aplicación. Si la aplicación usa el aprovisionamiento JIT, podría crear un perfil de usuario nuevo. A continuación, el administrador de la aplicación realiza cambios manuales para corregir la relación.
Soluciones alternativas: aprovisionamiento automatizado
Use el aprovisionamiento automatizado de aplicaciones en Microsoft Entra ID para crear, mantener y quitar identidades de usuario en aplicaciones en la nube compatibles. Configure el aprovisionamiento automático de usuarios en sus aplicaciones para actualizar automáticamente los UPN en las aplicaciones. Pruebe las aplicaciones para validar los cambios de UPN correctos. Para habilitar el aprovisionamiento automático de usuarios, los desarrolladores pueden agregar compatibilidad con System for Cross-domain Identity Management (SCIM) a las aplicaciones.
Más información:
- ¿Qué es el aprovisionamiento de aplicaciones en Microsoft Entra ID?
- Tutorial: aprovisionamiento del plan y desarrollo de un punto de conexión de SCIM en Microsoft Entra ID
Problemas de dispositivos administrados
Para maximizar la productividad de los usuarios con el inicio de sesión único (SSO) en la nube y en los recursos locales, incorpore los dispositivos a Microsoft Entra ID.
Más información: ¿Qué es una identidad de dispositivo?
Dispositivos unidos a Microsoft Entra
Independientemente del tamaño o del sector, las organizaciones pueden implementar dispositivos unidos a Microsoft Entra. La unión a Microsoft Entra funciona incluso en entornos híbridos y puede habilitar el acceso a aplicaciones y recursos de nube y locales. Los dispositivos unidos de Microsoft Entra se unen a Microsoft Entra ID. Los usuarios inician sesión en el dispositivo con su identidad de organización.
Más información sobre los dispositivos unidos a Microsoft Entra.
Problemas conocidos: SSO
Los usuarios podrían experimentar problemas con el inicio de sesión único en aplicaciones que dependan de Microsoft Entra ID para la autenticación. Este problema se corrigió en la actualización de mayo de 2020 de Windows 10 (2004).
Solución alternativa
Deje tiempo suficiente para que el cambio de UPN se sincronice con Microsoft Entra ID.
Compruebe que el nuevo UPN aparece en el Centro de administración de Microsoft Entra.
Indique a los usuarios que seleccionen Otro usuario para iniciar sesión con un nuevo UPN.
Compruebe con Get-MgUser en PowerShell de Microsoft Graph.
Nota:
Después de que los usuarios inicien sesión con el UPN nuevo, es posible que aparezcan referencias al UPN anterior en la opción de Windows Obtener acceso a trabajo o escuela.
Use los dispositivos híbridos unidos a Microsoft Entra si
Los dispositivos híbridos unidos a Microsoft Entra se unen a Active Directory y Microsoft Entra ID. Es posible implementar la unión a Microsoft Entra híbrido si el entorno tiene una superficie de Active Directory local.
Más información sobre los dispositivos unidos a Microsoft Entra híbrido.
Problemas conocidos: dispositivos unidos a windows 10 Microsoft Entra híbrido
Es probable que los dispositivos híbridos unidos a Microsoft Entra en Windows 10 experimenten problemas con el acceso y reinicios inesperados. Si los usuarios inician sesión en Windows antes de que el nuevo UPN se sincronice con el identificador de Entra de Microsoft, es posible que experimenten problemas de SSO con las aplicaciones que usan Microsoft Entra ID para la autenticación. Este escenario puede producirse si los usuarios están en una sesión de Windows. Esta situación se produce si el Acceso Condicional está configurado para imponer el uso de dispositivos híbridos unidos para acceder a los recursos. Además, el mensaje siguiente puede forzar un reinicio después de un minuto:
El equipo se reinicia automáticamente en un minuto. Se produjo un problema con Windows y se debe reiniciar. Cierre ahora este mensaje y guarde su trabajo.
Este problema se corrigió en la actualización de mayo de 2020 de Windows 10 (2004).
Solución alternativa
- Desenlazar el dispositivo desde Microsoft Entra ID.
- Reiniciar.
- El dispositivo se une a Microsoft Entra ID.
- Para iniciar sesión, el usuario selecciona Otro usuario.
Para separar un dispositivo de Microsoft Entra ID, ejecute el comando siguiente en un símbolo del sistema: dsregcmd/leave
Nota:
Si usa Windows Hello para empresas, los usuarios vuelven a inscribirse para Windows Hello para empresas.
Sugerencia
Los dispositivos con Windows 7 y 8.1 no se ven afectados por este problema.
Directivas de protección de aplicaciones para administración de aplicaciones móviles
Problemas conocidos: Conexiones interrumpidas
Si su organización usa administración de aplicaciones móviles (MAM) para proteger los datos corporativos, las directivas de protección de aplicaciones MAM no son resistentes durante los cambios de UPN. Este problema puede interrumpir la conexión entre las inscripciones mam y los usuarios activos en aplicaciones integradas de MAM. Este escenario puede dejar los datos desprotegidos.
Más información:
- Introducción general a las directivas de protección de aplicaciones
- Preguntas más frecuentes sobre MAM y protección de aplicaciones
Solución alternativa
Después de que el UPN cambie, el administrador borra los datos de los dispositivos afectados para obligar a los usuarios a volver a autenticarse y volver a inscribirlos con nuevos UPN.
Borrado solo de datos corporativos de aplicaciones administradas por Intune.
Problemas con Microsoft Authenticator
Si su organización requiere que Authenticator inicie sesión y acceda a aplicaciones y datos, es posible que aparezca un nombre de usuario en la aplicación. Sin embargo, la cuenta no es un método de verificación hasta que los usuarios completen el registro.
Aprenda a utilizar Authenticator.
La aplicación Microsoft Authenticator tiene cuatro funciones principales:
- Autenticación multifactor con notificación push o código de verificación
- Agente de autenticación en dispositivos iOS y Android SSO para aplicaciones que usan autenticación asincrónica
- Registrar dispositivos o unirse al área de trabajo en Microsoft Entra ID, que es requisito para Intune App Protection y la inscripción o administración de dispositivos
- Inicio de sesión en el teléfono, que requiere MFA y registro del dispositivo.
Autenticación multifactor con dispositivos Android
Use Authenticator para la comprobación fuera de banda. La autenticación multifactor inserta una notificación en Authenticator en el dispositivo de usuario, en lugar de una llamada automatizada o un servicio de mensajes cortos (SMS) al usuario.
- El usuario selecciona Aprobar, escribe un PIN o escribe una biométrica.
- El usuario selecciona Autenticar.
Cómo funciona: autenticación multifactor de Microsoft Entra.
Problemas conocidos: notificación no recibida
Al cambiar el UPN de usuario, el UPN anterior aparece en la cuenta de usuario. Es posible que no se reciba la notificación. En su lugar, use códigos de verificación.
Consulte una lista de preguntas comunes sobre Authenticator.
Solución alternativa
- Si aparece la notificación, indique al usuario que lo descarte.
- Abra Authenticator.
- Seleccione Buscar notificaciones.
- Apruebe el mensaje de MFA.
- El UPN de la cuenta se actualiza.
Nota:
Tenga en cuenta que el UPN actualizado puede aparecer como una cuenta nueva. Este cambio se debe a otras funcionalidades de Authenticator.
Autenticación asincrónica
En Android e iOS, los intermediarios como Authenticator permiten:
- SSO: los usuarios no inician sesión en cada aplicación
- Identificación de dispositivos: el agente accede al certificado del dispositivo que se creó en este al unirse al área de trabajo
- Comprobación de identificación de la aplicación: cuando una aplicación llama al agente, pasa su dirección URL de redireccionamiento y el agente la comprueba
Más información:
- Documentación sobre el acceso condicional de Microsoft Entra
- Uso de Microsoft Authenticator o el Portal de empresa de Intune en aplicaciones de Xamarin.
Problemas conocidos: avisos del usuario
Debido a una falta de coincidencia entre la login_hint
aplicación pasada y el UPN en el agente, el usuario experimenta más solicitudes de autenticación con el inicio de sesión asistido por broker.
Solución alternativa
El usuario quita manualmente la cuenta de Microsoft Authenticator y establece un inicio de sesión nuevo desde una aplicación asistida por agente. La cuenta se añade tras la autenticación inicial.
Registro de dispositivos
La aplicación Microsoft Authenticator registra el dispositivo en Microsoft Entra ID, lo que permite que el dispositivo se autentique en Microsoft Entra ID. Este registro es un requisito para:
- Intune App Protection
- Inscripción de dispositivo de Intune
- Inicio de sesión en el teléfono
Problemas conocidos: aparece una nueva cuenta
Si cambia de UPN, aparecerá una nueva cuenta con el UPN nuevo en la aplicación Microsoft Authenticator. La cuenta con el UPN anterior permanece. Además, el UPN anterior aparece en Registro de dispositivos en la configuración de la aplicación. No hay ningún cambio en la funcionalidad del Registro de dispositivos ni los escenarios dependientes.
Solución alternativa
Para quitar las referencias al UPN anterior en Authenticator, el usuario quita las cuentas anteriores y nuevas de Authenticator. El usuario vuelve a registrarse para MFA y vuelve a unir el dispositivo.
Inicio de sesión en el teléfono
Utilice el inicio de sesión telefónico para iniciar sesión en Microsoft Entra ID sin contraseña. Con Authenticator, el usuario se registra para MFA y, a continuación, habilita el inicio de sesión telefónico. El dispositivo se registra con Microsoft Entra ID.
Problemas conocidos: sin notificación
Los usuarios no pueden usar el inicio de sesión telefónico porque no reciben notificaciones. Si el usuario selecciona Buscar notificaciones, aparece un error.
Solución alternativa
En la cuenta habilitada para el inicio de sesión telefónico, en el menú desplegable, el usuario selecciona Deshabilitar inicio de sesión telefónico.
Problemas de clave de seguridad (FIDO2)
Problemas conocidos: selección de cuenta
Cuando se registran varios usuarios en la misma clave, aparece la selección de la cuenta donde aparece el UPN anterior. Los cambios de UPN no afectan al inicio de sesión con claves de seguridad.
Solución alternativa
Para quitar las referencias a los UPN anteriores, los usuarios restablecen la clave de seguridad y vuelven a registrarse.
Puede activar el inicio de sesión con clave de seguridad sin contraseña, problema conocido, cambios de UPN.
Problemas de OneDrive
Los usuarios de OneDrive pueden experimentar problemas después de los cambios de UPN.
Más información: Cómo afectan los cambios de UPN a la dirección URL y las características de OneDrive.
Problemas de notas de la reunión de Teams
Use las notas de reunión de Teams para tomar y compartir notas.
Problemas conocidos: Notas inaccesibles
Cuando cambia el UPN de un usuario, las notas de reunión creadas con el UPN anterior no son accesibles con Microsoft Teams ni con la URL de Notas de reunión.
Solución alternativa
Después del cambio del UPN, los usuarios pueden descargar notas de OneDrive.
- Vaya a Mis archivos.
- Seleccione Datos de Microsoft Teams.
- Seleccione Wiki.
Las nuevas notas de reunión creadas después del cambio de UPN no se ven afectadas.
Pasos siguientes
Comentarios
https://aka.ms/ContentUserFeedback.
Próximamente: A lo largo de 2024 iremos eliminando gradualmente GitHub Issues como mecanismo de comentarios sobre el contenido y lo sustituiremos por un nuevo sistema de comentarios. Para más información, vea:Enviar y ver comentarios de