Compartir a través de

Planeamiento y solución de problemas de los cambios de nombre principal de usuario en Microsoft Entra ID

  • Artículo

El atributo nombre principal de usuario (UPN) es un estándar de comunicación de Internet para las cuentas de usuario. Un UPN consta de:

  • Prefijo: nombre de cuenta de usuario
  • Sufijo: nombre de dominio del servidor de nombres de dominio (DNS)

El prefijo se une al sufijo mediante el símbolo "\@". Por ejemplo, someone@example.com. Durante la planificación, asegúrese de que el UPN es único entre los objetos principales de seguridad de un bosque de directorios.

Nota:

En este artículo se presupone que el UPN será el identificador de usuario. Aquí se habla de la planificación de los cambios de UPN y de la recuperación a partir de los problemas que puedan aparecer debido a los cambios. Para los desarrolladores, se recomienda usar el objectID del usuario como identificador inmutable, en lugar del UPN o la dirección de correo electrónico.

Motivos para los cambios de UPN

Cuando el valor es el UPN del usuario, las páginas de inicio de sesión suelen pedir a los usuarios que introduzcan una dirección de correo electrónico. Por lo tanto, cuando cambie la dirección de correo electrónico principal del usuario, cambie el UPN del usuario. Por lo general, la dirección de correo electrónico principal de un usuario cambia por los siguientes motivos:

  • Por cambio del nombre del empleado.
  • Traslado de empleados
  • Reestructuración de cambios que afectan al sufijo
  • Cambios de fusión o adquisición

Cambios de prefijo y sufijo UPN

Se recomienda cambiar el UPN del usuario cuando cambie su dirección de correo electrónico principal. Durante la sincronización inicial desde Active Directory a Microsoft Entra ID, asegúrese de que los correos electrónicos de los usuarios sean idénticos a sus UPN. Consulte los siguientes cambios de prefijo y sufijo de ejemplo.

Ejemplos de cambios de prefijo:

  • De BSimon@contoso.com a BJohnson@contoso.com
  • De Bsimon@contoso.com a Britta.Simon@contoso.com

Ejemplos de cambio de sufijo:

  • De Britta.Simon@contoso.com a Britta.Simon@contosolabs.com
  • Desde Britta.Simon@corp.contoso.com para Britta.Simon@labs.contoso.com

UPN en Active Directory

En Active Directory, el sufijo UPN predeterminado es el nombre DNS del dominio en el que se creó la cuenta de usuario. En la mayoría de los casos, este nombre de dominio se registra como el dominio de empresa. Si crea la cuenta de usuario en el dominio contoso.com, el UPN predeterminado es: username@contoso.com. Agregue más sufijos UPN con dominios y confianzas de Active Directory. Por ejemplo, si agrega labs.contoso.com y cambia los UPN de usuario y los correos electrónicos para reflejarlo, el resultado es: username@labs.contoso.com.

Puede añadir su nombre de dominio personalizado a su arrendatario.

Importante

Si cambia el sufijo en Active Directory, agregue y compruebe el nombre de dominio personalizado coincidente en Microsoft Entra ID.

Captura de pantalla de la opción Agregar dominio de cliente, en Nombres de dominio personalizados.

Los UPN en Microsoft Entra ID

Los usuarios inician sesión en Microsoft Entra ID con el valor del atributo userPrincipalName.

Cuando se usa Microsoft Entra ID junto con Active Directory local, las cuentas de usuario se sincronizan mediante el servicio de Microsoft Entra Connect. El asistente de Microsoft Entra Connect usa el atributo userPrincipalName de Active Directory local como el UPN en Microsoft Entra ID. Puede cambiarlo a un atributo distinto en una instalación personalizada.

Nota:

Defina un proceso para actualizar un nombre principal de usuario (UPN) para los usuarios y su organización.

Cuando sincronice las cuentas de usuario de Active Directory a Microsoft Entra ID, asegúrese de que los UPN de Active Directory se asignen a los dominios comprobados de Microsoft Entra ID. Si el atributo userPrincipalName no correspondiera a un dominio comprobado de Microsoft Entra ID, la sincronización reemplazará el sufijo con .onmicrosoft.com.

Implementación masiva de cambios de UPN

Para probar los cambios masivos de UPN, cree un plan de reversión probado para revertir los UPN. Para la prueba piloto, diríjase a pequeños conjuntos de usuarios con funciones organizativas, y a conjuntos de aplicaciones o dispositivos. Este proceso le ayuda a comprender la experiencia del usuario. Incluya esta información en sus comunicaciones a las partes interesadas y a los usuarios.

Más información: planes de implementación de Microsoft Entra.

Cree un procedimiento para cambiar los UPN para usuarios individuales. Incluya documentación sobre problemas conocidos y soluciones alternativas. Para más información, consulte las siguientes secciones:

Problemas de aplicaciones SaaS y LoB

Las aplicaciones de software como servicio (SaaS) y de línea de negocio (LoB) se suelen basar en los UPN para buscar usuarios y almacenan la información del perfil de usuario, incluidos los roles. Las aplicaciones que pueden resultar afectadas por los cambios UPN usan el aprovisionamiento Just-In-Time (JIT) para crear un perfil de usuario cuando los usuarios inician sesión inicialmente en la aplicación.

Más información:

Problemas conocidos: relación rota, nuevo perfil

Cambiar el UPN de un usuario podría interrumpir la relación entre el usuario de Microsoft Entra y el perfil de usuario de la aplicación. Si la aplicación usa el aprovisionamiento JIT, podría crear un perfil de usuario nuevo. A continuación, el administrador de la aplicación realiza cambios manuales para corregir la relación.

Soluciones alternativas: aprovisionamiento automatizado

Use el aprovisionamiento automatizado de aplicaciones en Microsoft Entra ID para crear, mantener y quitar identidades de usuario en aplicaciones en la nube compatibles. Configure el aprovisionamiento automático de usuarios en sus aplicaciones para actualizar automáticamente los UPN en las aplicaciones. Pruebe las aplicaciones para validar los cambios de UPN correctos. Para habilitar el aprovisionamiento automático de usuarios, los desarrolladores pueden agregar compatibilidad con System for Cross-domain Identity Management (SCIM) a las aplicaciones.

Más información:

Problemas de dispositivos administrados

Para maximizar la productividad de los usuarios con el inicio de sesión único (SSO) en la nube y en los recursos locales, incorpore los dispositivos a Microsoft Entra ID.

Más información: ¿Qué es una identidad de dispositivo?

Dispositivos unidos a Microsoft Entra

Independientemente del tamaño o del sector, las organizaciones pueden implementar dispositivos unidos a Microsoft Entra. La unión a Microsoft Entra funciona incluso en entornos híbridos y puede habilitar el acceso a aplicaciones y recursos de nube y locales. Los dispositivos unidos de Microsoft Entra se unen a Microsoft Entra ID. Los usuarios inician sesión en el dispositivo con su identidad de organización.

Más información sobre los dispositivos unidos a Microsoft Entra.

Problemas conocidos: SSO

Los usuarios podrían experimentar problemas con el inicio de sesión único en aplicaciones que dependan de Microsoft Entra ID para la autenticación. Este problema se corrigió en la actualización de mayo de 2020 de Windows 10 (2004).

Solución alternativa

  1. Deje tiempo suficiente para que el cambio de UPN se sincronice con Microsoft Entra ID.

  2. Compruebe que el nuevo UPN aparece en el Centro de administración de Microsoft Entra.

  3. Indique a los usuarios que seleccionen Otro usuario para iniciar sesión con un nuevo UPN.

  4. Compruebe con Get-MgUser en PowerShell de Microsoft Graph.

    Nota:

    Después de que los usuarios inicien sesión con el UPN nuevo, es posible que aparezcan referencias al UPN anterior en la opción de Windows Obtener acceso a trabajo o escuela.

    Captura de pantalla de los dominios User-1 y Other-user en la pantalla de inicio de sesión.

Use los dispositivos híbridos unidos a Microsoft Entra si

Los dispositivos híbridos unidos a Microsoft Entra se unen a Active Directory y Microsoft Entra ID. Es posible implementar la unión a Microsoft Entra híbrido si el entorno tiene una superficie de Active Directory local.

Más información sobre los dispositivos unidos a Microsoft Entra híbrido.

Problemas conocidos: dispositivos unidos a windows 10 Microsoft Entra híbrido

Es probable que los dispositivos híbridos unidos a Microsoft Entra en Windows 10 experimenten problemas con el acceso y reinicios inesperados. Si los usuarios inician sesión en Windows antes de que el nuevo UPN se sincronice con el identificador de Entra de Microsoft, es posible que experimenten problemas de SSO con las aplicaciones que usan Microsoft Entra ID para la autenticación. Este escenario puede producirse si los usuarios están en una sesión de Windows. Esta situación se produce si el Acceso Condicional está configurado para imponer el uso de dispositivos híbridos unidos para acceder a los recursos. Además, el mensaje siguiente puede forzar un reinicio después de un minuto:

El equipo se reinicia automáticamente en un minuto. Se produjo un problema con Windows y se debe reiniciar. Cierre ahora este mensaje y guarde su trabajo.

Este problema se corrigió en la actualización de mayo de 2020 de Windows 10 (2004).

Solución alternativa

  1. Desenlazar el dispositivo desde Microsoft Entra ID.
  2. Reiniciar.
  3. El dispositivo se une a Microsoft Entra ID.
  4. Para iniciar sesión, el usuario selecciona Otro usuario.

Para separar un dispositivo de Microsoft Entra ID, ejecute el comando siguiente en un símbolo del sistema: dsregcmd/leave

Nota:

Si usa Windows Hello para empresas, los usuarios vuelven a inscribirse para Windows Hello para empresas.

Sugerencia

Los dispositivos con Windows 7 y 8.1 no se ven afectados por este problema.

Directivas de protección de aplicaciones para administración de aplicaciones móviles

Problemas conocidos: Conexiones interrumpidas

Si su organización usa administración de aplicaciones móviles (MAM) para proteger los datos corporativos, las directivas de protección de aplicaciones MAM no son resistentes durante los cambios de UPN. Este problema puede interrumpir la conexión entre las inscripciones mam y los usuarios activos en aplicaciones integradas de MAM. Este escenario puede dejar los datos desprotegidos.

Más información:

Solución alternativa

Después de que el UPN cambie, el administrador borra los datos de los dispositivos afectados para obligar a los usuarios a volver a autenticarse y volver a inscribirlos con nuevos UPN.

Borrado solo de datos corporativos de aplicaciones administradas por Intune.

Problemas con Microsoft Authenticator

Si su organización requiere que Authenticator inicie sesión y acceda a aplicaciones y datos, es posible que aparezca un nombre de usuario en la aplicación. Sin embargo, la cuenta no es un método de verificación hasta que los usuarios completen el registro.

Aprenda a utilizar Authenticator.

La aplicación Microsoft Authenticator tiene cuatro funciones principales:

Autenticación multifactor con dispositivos Android

Use Authenticator para la comprobación fuera de banda. La autenticación multifactor inserta una notificación en Authenticator en el dispositivo de usuario, en lugar de una llamada automatizada o un servicio de mensajes cortos (SMS) al usuario.

  1. El usuario selecciona Aprobar, escribe un PIN o escribe una biométrica.
  2. El usuario selecciona Autenticar.

Cómo funciona: autenticación multifactor de Microsoft Entra.

Problemas conocidos: notificación no recibida

Al cambiar el UPN de usuario, el UPN anterior aparece en la cuenta de usuario. Es posible que no se reciba la notificación. En su lugar, use códigos de verificación.

Consulte una lista de preguntas comunes sobre Authenticator.

Solución alternativa

  1. Si aparece la notificación, indique al usuario que lo descarte.
  2. Abra Authenticator.
  3. Seleccione Buscar notificaciones.
  4. Apruebe el mensaje de MFA.
  5. El UPN de la cuenta se actualiza.

Nota:

Tenga en cuenta que el UPN actualizado puede aparecer como una cuenta nueva. Este cambio se debe a otras funcionalidades de Authenticator.

Autenticación asincrónica

En Android e iOS, los intermediarios como Authenticator permiten:

  • SSO: los usuarios no inician sesión en cada aplicación
  • Identificación de dispositivos: el agente accede al certificado del dispositivo que se creó en este al unirse al área de trabajo
  • Comprobación de identificación de la aplicación: cuando una aplicación llama al agente, pasa su dirección URL de redireccionamiento y el agente la comprueba

Más información:

Problemas conocidos: avisos del usuario

Debido a una falta de coincidencia entre la login_hint aplicación pasada y el UPN en el agente, el usuario experimenta más solicitudes de autenticación con el inicio de sesión asistido por broker.

Solución alternativa

El usuario quita manualmente la cuenta de Microsoft Authenticator y establece un inicio de sesión nuevo desde una aplicación asistida por agente. La cuenta se añade tras la autenticación inicial.

Registro de dispositivos

La aplicación Microsoft Authenticator registra el dispositivo en Microsoft Entra ID, lo que permite que el dispositivo se autentique en Microsoft Entra ID. Este registro es un requisito para:

  • Intune App Protection
  • Inscripción de dispositivo de Intune
  • Inicio de sesión en el teléfono

Problemas conocidos: aparece una nueva cuenta

Si cambia de UPN, aparecerá una nueva cuenta con el UPN nuevo en la aplicación Microsoft Authenticator. La cuenta con el UPN anterior permanece. Además, el UPN anterior aparece en Registro de dispositivos en la configuración de la aplicación. No hay ningún cambio en la funcionalidad del Registro de dispositivos ni los escenarios dependientes.

Solución alternativa

Para quitar las referencias al UPN anterior en Authenticator, el usuario quita las cuentas anteriores y nuevas de Authenticator. El usuario vuelve a registrarse para MFA y vuelve a unir el dispositivo.

Inicio de sesión en el teléfono

Utilice el inicio de sesión telefónico para iniciar sesión en Microsoft Entra ID sin contraseña. Con Authenticator, el usuario se registra para MFA y, a continuación, habilita el inicio de sesión telefónico. El dispositivo se registra con Microsoft Entra ID.

Problemas conocidos: sin notificación

Los usuarios no pueden usar el inicio de sesión telefónico porque no reciben notificaciones. Si el usuario selecciona Buscar notificaciones, aparece un error.

Solución alternativa

En la cuenta habilitada para el inicio de sesión telefónico, en el menú desplegable, el usuario selecciona Deshabilitar inicio de sesión telefónico.

Problemas de clave de seguridad (FIDO2)

Problemas conocidos: selección de cuenta

Cuando se registran varios usuarios en la misma clave, aparece la selección de la cuenta donde aparece el UPN anterior. Los cambios de UPN no afectan al inicio de sesión con claves de seguridad.

Solución alternativa

Para quitar las referencias a los UPN anteriores, los usuarios restablecen la clave de seguridad y vuelven a registrarse.

Puede activar el inicio de sesión con clave de seguridad sin contraseña, problema conocido, cambios de UPN.

Problemas de OneDrive

Los usuarios de OneDrive pueden experimentar problemas después de los cambios de UPN.

Más información: Cómo afectan los cambios de UPN a la dirección URL y las características de OneDrive.

Problemas de notas de la reunión de Teams

Use las notas de reunión de Teams para tomar y compartir notas.

Problemas conocidos: Notas inaccesibles

Cuando cambia el UPN de un usuario, las notas de reunión creadas con el UPN anterior no son accesibles con Microsoft Teams ni con la URL de Notas de reunión.

Solución alternativa

Después del cambio del UPN, los usuarios pueden descargar notas de OneDrive.

  1. Vaya a Mis archivos.
  2. Seleccione Datos de Microsoft Teams.
  3. Seleccione Wiki.

Las nuevas notas de reunión creadas después del cambio de UPN no se ven afectadas.

Pasos siguientes