Partager via

Planifier et résoudre les problèmes liés aux modifications de UserPrincipalName dans Microsoft Entra ID

L’attribut UserPrincipalName (UPN) est une norme de communication Internet pour les comptes d’utilisateur. Un UPN se compose des éléments suivants :

  • Préfixe : nom du compte d’utilisateur
  • Suffixe : nom de domaine DNS (Domain Name Server)

Le préfixe et le suffixe sont accolés par le symbole « @ ». Par exemple : someone@example.com. Pendant la planification, vérifiez que l’UPN est unique parmi les objets principaux de sécurité d’une forêt d’annuaires.

Note

Cet article suppose que l’UPN est l’identificateur d’utilisateur. L’article aborde la planification des changements d’UPN et la résolution de problèmes pouvant en découler. Nous recommandons aux développeurs d’utiliser l’ID d’objet (objectID) utilisateur comme identificateur immuable, plutôt que les UPN ou les adresses e-mail.

Causes des changements d’UPN

Lorsque la valeur est l’UPN de l’utilisateur, les pages de connexion invitent souvent les utilisateurs à entrer une adresse e-mail. Par conséquent, changez l’UPN de l’utilisateur lorsque son adresse e-mail principale change. En règle générale, l’adresse e-mail principale d’un utilisateur change pour les raisons suivantes :

  • Changement de nom d’employé
  • Mutation de l’employé
  • Restructuration qui affecte le suffixe
  • Modifications liées à la fusion et/ou l’acquisition

Modifications du préfixe et du suffixe UPN

Nous vous recommandons de changer l’UPN de l’utilisateur lorsque son adresse e-mail principale change. Pendant la synchronisation initiale entre Active Directory et Microsoft Entra D, assurez-vous que l’adresse e-mail des utilisateurs est identiques à leur UPN. Consultez les exemples de préfixe et de suffixe suivants.

Exemples de modification de préfixe :

  • De BSimon@contoso.com à BJohnson@contoso.com
  • De Bsimon@contoso.com à Britta.Simon@contoso.com

Exemples de modification de suffixe :

  • De Britta.Simon@contoso.com à Britta.Simon@contosolabs.com
  • De Britta.Simon@corp.contoso.com à Britta.Simon@labs.contoso.com

Les UPN dans Active Directory

Dans Active Directory, le suffixe UPN par défaut est le DNS dans lequel vous avez créé le compte d’utilisateur. Dans la plupart des cas, inscrivez ce nom de domaine en tant que domaine d’entreprise. Si vous créez le compte d’utilisateur dans le domaine contoso.com, l’UPN par défaut est : username@contoso.com. Ajoutez d’autres suffixes UPN avec des domaines et des approbations Active Directory. Par exemple, si vous ajoutez labs.contoso.com et que vous changez l’UPN et l’adresse e-mail des utilisateurs pour qu’ils reflètent cet ajout, le résultat est : username@labs.contoso.com.

Vous pouvez ajouter votre nom de domaine personnalisé à votre locataire.

Importante

Si vous changez le suffixe dans Active Directory, ajoutez et vérifiez un nom de domaine personnalisé correspondant dans Microsoft Entra ID.

Capture d’écran de l’option Ajouter un domaine client, sous Noms de domaine personnalisés.

UPN dans Microsoft Entra ID

Les utilisateurs se connectent à Microsoft Entra ID avec la valeur de leur attribut userPrincipalName.

Lorsque vous utilisez Microsoft Entra ID avec Active Directory local, les comptes d’utilisateur sont synchronisés avec le service Microsoft Entra Connect. L’assistant Microsoft Entra Connect utilise l’attribut userPrincipalName d’Active Directory sur site comme l’UPN dans Microsoft Entra ID. Vous pouvez le remplacer par un autre attribut dans une installation personnalisée.

Note

Définissez un processus de mise à jour d’un UserPrincipalName pour les utilisateurs et votre organisation.

Lorsque vous synchronisez des comptes d’utilisateurs d’Active Directory vers Microsoft Entra ID, assurez-vous que les UPN d’Active Directory correspondent aux domaines vérifiés dans Microsoft Entra ID. Si la valeur de l’attribut userPrincipalName ne correspond pas à un domaine vérifié dans Microsoft Entra ID, la synchronisation remplace le suffixe par .onmicrosoft.com.

Déploiement des changements d’UPN en bloc

Pour tester les changements d’UPN en bloc, créez un plan de restauration testé pour rétablir les UPN. Pour le pilote, ciblez de petits ensembles d’utilisateurs avec des rôles organisationnels, et des jeux d’applications ou d’appareils. Ce processus vous aide à comprendre l’expérience utilisateur. Incluez ces informations dans vos communications sur les changements avec les parties prenantes et les utilisateurs.

Apprenez-en davantage sur les plans de déploiement de Microsoft Entra.

Nous vous recommandons de créer une procédure pour changer les UPN d’utilisateurs individuels. Incluez une documentation sur les problèmes connus et les solutions de contournement. Pour plus d’informations, consultez les sections suivantes.

Problèmes liés aux applications SaaS et métier

Les applications SaaS (Software as a Service) et métier s’appuient souvent sur les UPN pour rechercher des utilisateurs et stocker des informations de profil utilisateur, dont les rôles. Les applications potentiellement affectées par les changements UNP utilisent le provisionnement juste-à-temps (JIT) pour créer un profil utilisateur lorsque les utilisateurs se connectent initialement à l’application.

En savoir plus :

Problèmes connus : relation rompue, nouveau profil

Les changements d’un UPN d’utilisateur peut rompre la relation entre l’utilisateur Microsoft Entra et le profil utilisateur défini sur l’application. Si l’application utilise le provisionnement JIT, elle peut créer un nouveau profil utilisateur. Ensuite, l’administrateur de l’application apporte des changements manuels pour corriger la relation.

Solutions de contournement : attribution automatisée

Utilisez le provisionnement automatisé d’applications dans Microsoft Entra ID pour créer des identités utilisateur, en assurer la maintenance et les supprimer dans les applications cloud prises en charge. Configurez l’attribution automatisée d’utilisateurs dans vos applications pour mettre à jour des UPN dans les applications. Testez les applications pour valider le succès des changements d’UPN. Pour activer l’attribution d’utilisateurs automatique, les développeurs peuvent ajouter la prise en charge de SCIM (System for Cross-domain Identity Management) aux applications.

En savoir plus :

Problèmes liés aux appareils gérés

Pour optimiser la productivité des utilisateurs avec l’authentification unique (SSO) parmi les ressources cloud et locales, intégrez les appareils à Microsoft Entra ID.

En savoir plus : Qu’est-ce qu’une identité d’appareil ?

Appareils joints à Microsoft Entra

Quelle que soit leur taille ou leur secteur d’activité, les organisations peuvent déployer des appareils joints Microsoft Entra. La jonction Microsoft Entra fonctionne dans les environnements hybrides, ce qui permet d’accéder aux applications et ressources cloud et locales. Les appareils joints Microsoft Entra sont joints à Microsoft Entra ID. Les utilisateurs se connectent à l’appareil à l’aide de leur identité d’organisation.

En savoir plus sur les Appareils joints à Microsoft Entra.

Problèmes connus : SSO

Les utilisateurs peuvent rencontrer des problèmes liés à SSO avec les applications qui dépendent de Microsoft Entra ID pour l’authentification. Ce problème a été résolu dans la mise à jour Windows 10 de mai 2020.

Solution de contournement

  1. Prévoyez du temps pour que le changement d’UPN se synchronise avec Microsoft Entra ID.

  2. Vérifiez que le nouvel UPN apparaît dans le Centre d’administration Microsoft Entra.

  3. Demandez aux utilisateurs de sélectionner Autre utilisateur pour se connecter avec un nouvel UPN.

  4. Vérifiez avec Get-MgUser dans Microsoft Graph PowerShell.

    Note

    Une fois que les utilisateurs sont connectés avec un nouvel UPN, des références à l’ancien UPN peuvent apparaître sur le paramètre Windows Accès professionnel ou scolaire.

    Capture d’écran des domaines User1 et Autre utilisateur sur l’écran de connexion.

Problèmes avec les appareils joints hybrides Microsoft Entra

Les appareils joints hybrides Microsoft Entra sont joints à Active Directory et à Microsoft Entra ID. Implémentez la jonction Microsoft Entra Hybride si votre environnement a une empreinte Active Directory locale.

En savoir plus sur les Appareils joints hybrides Microsoft Entra.

Problèmes connus : appareils Windows 10 joints hybrides Microsoft Entra

Les appareils Windows 10 joints hybrides Microsoft Entra rencontrent des redémarrages inattendus et des problèmes d’accès. Si les utilisateurs se connectent à Windows avant la synchronisation du nouvel UPN avec Microsoft Entra ID, ils peuvent rencontrer des problèmes d’authentification unique avec les applications qui utilisent Microsoft Entra ID à cette fin. Ce scénario peut se produire si les utilisateurs sont dans une session Windows. Cette situation se produit si l’accès conditionnel est configuré afin d’appliquer l’utilisation d’appareils joints hybrides pour accéder à des ressources. De plus, le message suivant peut imposer un redémarrage au bout d’une minute :

Votre PC redémarre automatiquement dans une minute. Windows a rencontré un problème et doit redémarrer. Fermez ce message maintenant et enregistrez votre travail.

Ce problème a été résolu dans la mise à jour Windows 10 de mai 2020.

Solution de contournement

  1. Dissocier l’appareil de Microsoft Entra.
  2. Redémarrer.
  3. L’appareil joint Microsoft Entra ID.
  4. Pour se connecter, l’utilisateur sélectionne Autre utilisateur.

Pour annuler la jonction d’un appareil à Microsoft Entra ID, exécutez la commande suivante à une invite de commandes : dsregcmd/leave

Note

Si vous utilisez Windows Hello Entreprise, les utilisateurs s’inscrivent à nouveau auprès de Windows Hello Entreprise.

Conseil

Les appareils Windows 7 et 8.1 ne sont pas affectés par ce problème.

Problèmes liés à Microsoft Authenticator

Si votre organisation exige Authenticator pour se connecter et accéder aux applications et aux données, un nom d’utilisateur peut apparaître dans l’application. Toutefois, le compte n’est pas une méthode de vérification tant que les utilisateurs n’ont pas terminé l’inscription.

Découvrez comment utiliser Authenticator.

L’application Authenticator comporte quatre fonctions principales :

Authentification multifacteur avec les appareils Android

Utilisez Authenticator pour la vérification hors bande. Au lieu de passer un appel automatisé ou d’envoyer un SMS à l’utilisateur,l’authentification multifacteur envoie une notification à Authenticator sur l’appareil de l’utilisateur.

  1. L’utilisateur sélectionne Approuver, entre un code confidentiel ou une biométrie.
  2. L’utilisateur sélectionne S’authentifier.

Découvrez comment fonctionne l’authentification multifacteur Microsoft Entra.

Problèmes connus : notification non reçue

Lorsque vous changez l’UPN d’un utilisateur, l’UPN précédent apparaît sur le compte d’utilisateur. La notification peut ne pas être reçue. Utilisez plutôt des codes de vérification.

Consultez la liste des questions courantes sur Authenticator.

Solution de contournement

  1. Si la notification s’affiche, demandez à l’utilisateur de l’ignorer.
  2. Ouvrez Authenticator.
  3. Sélectionnez Vérifier la présence de notifications.
  4. Approuvez l’invite MFA.
  5. L’UPN sur le compte est mis à jour.

Note

L’UPN mis à jour peut apparaître sous la forme d’un nouveau compte. Ce changement est dû à d’autres fonctionnalités d’Authenticator.

Authentification répartie

Sur Android et iOS, les répartiteurs comme Authenticator permettent les fonctionnalités suivantes :

  • Authentification unique (SSO) : les utilisateurs ne se connectent pas à chaque application
  • Identification des appareils : le répartiteur accède au certificat de l’appareil, créé sur cet appareil lors de son rattachement à un espace de travail.
  • Vérification de l’identification de l’application : lorsqu’une application appelle le répartiteur, elle transmet son URL de redirection et le répartiteur la vérifie

En savoir plus :

Problèmes connus : invites utilisateur

En raison d’une incompatibilité entre le login_hint transmis par l’application et l’UPN sur le répartiteur, l’utilisateur reçoit plus d’invites d’authentification avec la connexion assistée par répartiteur.

Solution de contournement

L’utilisateur supprime manuellement le compte à partir d’Authenticator, et démarre une nouvelle connexion à partir d’une application assistée avec répartiteur. Le compte est ajouté à l’issue de l’authentification initiale.

Inscription de l’appareil

Authenticator enregistre l’appareil dans Microsoft Entra ID, ce qui permet à l’appareil de s’authentifier auprès de Microsoft Entra ID. Cette inscription est obligatoire pour :

  • Intune App Protection
  • Inscription d’appareils Intune
  • Connexion par téléphone

Problèmes connus : un nouveau compte s’affiche

Si vous changez un UPN, un nouveau compte doté du nouvel UPN apparaît dans Authenticator. Le compte avec l’UPN précédent demeure. En outre, l’UPN précédent apparaît dans Inscription de l’appareil dans les paramètres de l’application. Il n’y a aucun changement dans le fonctionnement de l’option Inscription d’appareils ni dans les scénarios dépendants.

Solution de contournement

Pour supprimer les références à l’UPN précédent sur Authenticator, l’utilisateur supprime les comptes précédents et nouveaux d’Authenticator. L’utilisateur se réinscrit à l’authentification multifacteur et joint de nouveau l’appareil.

Connexion par téléphone

Utilisez la connexion par téléphone pour vous connecter à Microsoft Entra ID sans mot de passe. Avec Authenticator, l’utilisateur s’inscrit au MFA, puis active la connexion par téléphone. L’appareil s’enregistre avec Microsoft Entra ID.

Problèmes connus : aucune notification

Les utilisateurs ne peuvent pas utiliser la connexion par téléphone, car ils ne reçoivent pas de notification. Si l’utilisateur sélectionne Vérifier la présence de notifications, une erreur s’affiche.

Solution de contournement

Sur le compte activé pour la connexion par téléphone, dans le menu déroulant, l’utilisateur sélectionne Désactiver la connexion par téléphone.

Gestion des appareils mobiles

Problèmes connus : réinscription de l’appareil requise

Si votre organisation utilise la gestion des appareils mobiles et l’application Intune ou l’application Portail d’entreprise pour gérer vos appareils, l’inscription des appareils n’est pas résiliente pendant les modifications UPN. Lors de la modification de l’UPN, l’appareil est détecté comme non inscrit auprès d’Entra, et les utilisateurs doivent se connecter et réinscrire l’appareil pour que la gestion et l’accès conditionnel continuent de fonctionner. Tant que l’inscription n’est pas terminée, l’utilisateur ne peut pas accéder aux ressources d’entreprise sur cet appareil.

En savoir plus :

Solution de contournement

Une fois que l’UPN change, les utilisateurs finaux doivent se connecter et suivre les invites dans l’application pour s’inscrire à nouveau.

Problèmes liés à la clé de sécurité (FIDO2)

Problèmes connus : sélection du compte

Lorsque plusieurs utilisateurs sont inscrits sur la même clé, la sélection du compte s’affiche là où apparaît l’UPN précédent. La connexion avec des clés de sécurité n’est pas affectée par les changements d’UPN.

Solution de contournement

Pour supprimer les références à d’anciens UPN, les utilisateurs réinitialisent la clé de sécurité et se réinscrivent.

Vous pouvez activer la connexion par clé de sécurité sans mot de passe - Problème connu : changements d’UPN.

Problèmes liés à OneDrive

Les utilisateurs de OneDrive peuvent rencontrer des problèmes après les changements d’UPN.

En savoir plus : Comment les changements d’UPN affectent l’URL OneDrive et les fonctionnalités OneDrive.

Problèmes liés aux notes de réunion Teams

Utilisez les Notes de réunion Teams pour prendre et partager des notes.

Problèmes connus : notes inaccessibles

Lorsque l’UPN d’un utilisateur change, les notes de réunion créées sous l’ancien UPN ne sont pas accessibles avec Microsoft Teams ou l’URL Notes de réunion.

Solution de contournement

Une fois l’UPN changé, les utilisateurs peuvent télécharger des notes à partir de OneDrive.

  1. Accédez à Mes fichiers.
  2. Sélectionnez Données Microsoft Teams.
  3. Sélectionnez Wiki.

Les notes de réunion créées après le changement d’UPN ne sont pas affectées.

Étapes suivantes