Uso de la coincidencia de UPN para la sincronización de identidades en Office 365, Azure o Intune

2025-06-05

Versión original del producto: Id. de Microsoft Entra, Cloud Services (roles web/roles de trabajo), Microsoft Intune
Número de KB original: 3164442

Introducción

A veces, es posible que tenga que transferir el origen de autoridad de una cuenta de usuario si esa cuenta se creó originalmente mediante herramientas de administración de servicios en la nube de Microsoft. Entre estas herramientas se incluyen las siguientes:

Portal de Office 365
Módulo microsoft Azure Active Directory para Windows PowerShell
Portal de administración de Azure
Portal de Intune

Puede transferir el origen de la autoridad, por lo que la cuenta se puede administrar a través del servicio de directorio local al usar la sincronización de identidades con el identificador de Microsoft Entra.

En este artículo se describe cómo realizar la transferencia mediante un proceso conocido como coincidencia de UPN. Este proceso usa el nombre principal de usuario (UPN) para que coincida con la cuenta de usuario local con una cuenta profesional o educativa en microsoft Entra ID.

Limitaciones de coincidencia de UPN

El proceso de coincidencia de UPN tiene las siguientes limitaciones técnicas:

La coincidencia de UPN solo se puede ejecutar cuando se produce un error en la coincidencia de SMTP. Para obtener más información sobre la coincidencia de SMTP, vea Cómo usar la coincidencia de SMTP para buscar coincidencias entre cuentas de usuario locales y cuentas de usuario de Office 365 para la sincronización de directorios. Para que la coincidencia de UPN funcione, asegúrese de que no haya coincidencias de direcciones SMTP principales entre las cuentas de usuario locales y las cuentas de usuario de Microsoft Entra ID.
La coincidencia de UPN solo se puede usar una vez para las cuentas de usuario creadas originalmente mediante herramientas de administración de Office 365. Después de eso, la cuenta profesional o educativa está enlazada al usuario local por un valor de identidad inmutable, no al UPN.
El UPN del usuario en la nube no se puede actualizar durante el proceso de coincidencia de UPN. Se debe a que el UPN es el valor que se usa para vincular el usuario local al usuario en la nube.
Los UPN se consideran valores únicos. Asegúrese de que ningún usuario tenga el mismo UPN. De lo contrario, se produce un error en el proceso de sincronización y puede recibir un mensaje de error similar al ejemplo siguiente:

No se puede actualizar este objeto en Microsoft Online Services porque el nombre principal de usuario asociado a este objeto en active Directory local ya está asociado a otro objeto. Para resolver este error, quite el objeto asociado en la instancia local de Active Directory.

Uso de la coincidencia de UPN para hacer coincidir un usuario local con una identidad en la nube

Para iniciar el proceso de coincidencia de UPN, siga estos pasos:

Si inició la sincronización con Microsoft Entra ID antes del 30 de marzo de 2016, ejecute el siguiente cmdlet Update-MgDirectoryOnPremiseSynchronization para habilitar la coincidencia flexible de UPN solo para su organización.

Para más información, consulte Introducción al SDK de PowerShell de Microsoft Graph.
```
Import-Module Microsoft.Graph.Identity.DirectoryManagement

# Replace with your actual Directory Sync ID
$onPremisesDirectorySynchronizationId = "<your-directory-sync-id>"

# Define the parameters to enable SoftMatchOnUpn
$params = @{
    features = @{
        SoftMatchOnUpnEnabled = $true
    }
}

# Run the update
Update-MgDirectoryOnPremiseSynchronization -OnPremisesDirectorySynchronizationId $onPremisesDirectorySynchronizationId -BodyParameter $params
```
Nota:

La coincidencia temporal de UPN se habilita automáticamente para las organizaciones que empezaron a sincronizarse con el identificador de Microsoft Entra el 30 de marzo de 2016 o después.
Obtenga el UPN de la cuenta de usuario en Microsoft Entra ID. Para ello, use uno de los siguientes métodos:
- Método 1: Usar el portal de Office 365.
  1. Inicie sesión en el portal de Office 365 como administrador global.
  2. Vaya a la página de administración de usuarios.
  3. Busque y, a continuación, seleccione el usuario.
  4. Anote el nombre de usuario, que es el UPN.
- Método 2: Use Azure Portal.
  1. Inicie sesión en Azure Portal como administrador global.
  2. Seleccione la extensión de Active Directory y, a continuación, seleccione el directorio.
  3. Vaya a la página de administración de usuarios.
  4. Busque y, a continuación, seleccione el usuario.
  5. Tenga en cuenta el nombre de usuario, que es el UPN.
En un controlador de dominio o en un equipo que tenga instaladas las herramientas de administración remota del servidor (RSAT), abra Usuarios y equipos de Active Directory. Cree una cuenta de usuario o actualice una cuenta de usuario existente mediante un nombre de usuario o UPN que coincida con la cuenta de usuario de destino en el identificador de Microsoft Entra. Para obtener más información, vea Crear una cuenta de usuario en Usuarios y equipos de Active Directory.
Forzar la sincronización de directorios. Para obtener más información, consulte Forzar la sincronización de directorios.

Más información

Para obtener más información sobre la coincidencia temporal de UPN, consulte Características del servicio De sincronización de Microsoft Entra Connect.

Ponte en contacto con nosotros para obtener ayuda

Si tiene preguntas o necesita ayuda, cree una solicitud de soporte o busque consejo en la comunidad de Azure. También puede enviar comentarios sobre el producto con los comentarios de la comunidad de Azure.