Megjegyzés
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhat bejelentkezni vagy módosítani a címtárat.
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhatja módosítani a címtárat.
A UserPrincipalName (UPN) attribútum a felhasználói fiókok internetes kommunikációs szabványa. Az UPN a következőkből áll:
- Előtag: Felhasználói fiók neve
- Utótag: Tartománynév-kiszolgáló (DNS) tartományneve
Az előtag a "@" szimbólummal csatlakozik az utótaghoz. Például: someone@example.com. A tervezés során győződjön meg arról, hogy az UPN egyedi a címtárerdőn belüli biztonsági azonosítók között.
Megjegyzés
Ez a cikk feltételezi, hogy az UPN a felhasználói azonosító. A cikk az UPN-változások tervezésével és a módosításokból eredő problémák utáni helyreállítással foglalkozik. Azt javasoljuk a fejlesztőknek, hogy a felhasználó objectID azonosítóját használják nem módosítható azonosítóként az UPN vagy az e-mail-címek helyett.
Az UPN-módosítások okai
Ha az érték a felhasználói UPN, a bejelentkezési oldalak gyakran kérik a felhasználókat, hogy adjanak meg egy e-mail-címet. Ezért amikor a felhasználó elsődleges e-mail-címe megváltozik, módosítsa a felhasználó upn-címét. A felhasználó elsődleges e-mail-címe általában a következő okok miatt változik:
- Alkalmazott nevének módosítása
- Alkalmazott áthelyezése
- Az utótagot érintő szerkezetátalakítási változások
- Egyesülési és/vagy felvásárlási változások
AZ UPN-előtag és az utótag változásai
Javasoljuk, hogy az elsődleges e-mail-cím módosításakor módosítsa a felhasználói UPN-t. Az Active Directory és a Microsoft Entra ID közötti kezdeti szinkronizálás során győződjön meg arról, hogy a felhasználói e-mailek és az UPN-ek azonosak. Tekintse meg a következő példaelőtag és utótag módosításait.
Példák az előtag módosítására:
- BSimon@contoso.com-tól BJohnson@contoso.com
- Bsimon@contoso.com-tól Britta.Simon@contoso.com
Utótagmódosítási példák:
- Britta.Simon@contoso.com tól Britta.Simon@contosolabs.com
- A Britta.Simon@corp.contoso.com címről a Britta.Simon@labs.contoso.com címre
UPN-k az Active Directoryban
Az Active Directoryban az alapértelmezett UPN-utótag az a DNS, ahol létrehozta a felhasználói fiókot. A legtöbb esetben ezt a tartománynevet regisztrálja vállalati tartományként. Ha a felhasználói fiókot a contoso.com tartományban hozza létre, az alapértelmezett UPN a következő: username@contoso.com. Adjon hozzá további UPN-utótagokat az Active Directory tartományokhoz és megbízhatóságokhoz. Ha például hozzáadja a labs.contoso.com domént, és módosítja a felhasználók UPN-jeit és e-mailjeit, akkor az eredmény a következő: username@labs.contoso.com.
Hozzáadhatja az egyéni tartománynevet a bérlőhöz.
Fontos
Ha módosítja az Active Directory utótagját, adja hozzá és ellenőrizze az ennek megfelelő egyéni tartománynevet a Microsoft Entra ID-ben.
UPN-k a Microsoft Entra-azonosítóban
A felhasználók a userPrincipalName attribútumértékükkel jelentkeznek be a Microsoft Entra-azonosítóba.
Ha a Microsoft Entra-azonosítót helyi Active Directory használja, a rendszer szinkronizálja a felhasználói fiókokat a Microsoft Entra Connect szolgáltatással. A Microsoft Entra Connect varázsló a helyi Active Directory userPrincipalName attribútumát használja UPN-ként a Microsoft Entra ID-ban. Az egyéni telepítésben módosíthatja egy másik attribútumra.
Megjegyzés
A UserPrincipalName frissítési folyamatának definiálása a felhasználók és a szervezet számára.
Amikor szinkronizálja a felhasználói fiókokat az Active Directoryról a Microsoft Entra ID-ra, győződjön meg arról, hogy az Active Directoryban lévő UPN-eket a Microsoft Entra ID-ban ellenőrzött tartományokra szinkronizálja. Ha a userPrincipalName attribútum értéke nem felel meg a Microsoft Entra ID ellenőrzött tartományának, a szinkronizálás az utótagot .onmicrosoft.com értékre cseréli.
Tömeges UPN-változás bevezetése
A tömeges UPN-módosítások teszteléséhez hozzon létre egy tesztelt visszaállítási tervet az UPN-k visszaállításához. A próbaüzemben a kis méretű felhasználói csoportokat célozhatja meg szervezeti szerepkörökkel, valamint alkalmazás- vagy eszközkészletekkel. Ez a folyamat segít megérteni a felhasználói élményt. Ezeket az információkat belefoglalhatja az érdekelt felek és felhasználók közötti változáskommunikációba.
További információ a Microsoft Entra üzembehelyezési terveiről.
Javasoljuk, hogy hozzon létre egy eljárást, amellyel módosíthatja az upn-eket az egyes felhasználók számára. Ismert problémák és átmeneti megoldások dokumentációja. További információt a következő szakaszokban talál.
SaaS- és LoB-alkalmazások problémái
A szolgáltatásként nyújtott szoftverek (SaaS) és az üzletági (LoB) alkalmazások gyakran támaszkodnak upN-ekre a felhasználók megkereséséhez és a felhasználói profil adatainak tárolásához, beleértve a szerepköröket is. Azok az alkalmazások, amelyeket potenciálisan érintenek az UPN-módosítások, igény szerinti (JIT) kiépítést alkalmaznak a felhasználói profil létrehozására, amikor a felhasználók először jelentkeznek be az alkalmazásba.
További információ:
Ismert problémák: Megszakadt kapcsolat, új profil
A felhasználói UPN-módosítások megszakíthatják a Microsoft Entra-felhasználó és az alkalmazás felhasználói profilja közötti kapcsolatot. Ha az alkalmazás JIT-kiépítést használ, létrehozhat egy új felhasználói profilt. Ezután az alkalmazásadminisztrátor manuális módosításokat hajt végre a kapcsolat javításához.
Alternatív megoldások: Automatikus ellátás
A támogatott felhőalapú alkalmazásokban a felhasználói identitások létrehozásához, karbantartásához és eltávolításához használja az automatikus alkalmazáskiépítést a Microsoft Entra ID-ban. Az alkalmazás UPN-jeinek frissítéséhez konfigurálja az automatikus felhasználó-hozzáadást az alkalmazásokban. Tesztelje az alkalmazásokat a sikeres UPN-módosítások ellenőrzéséhez. Az automatikus felhasználói kiépítés engedélyezéséhez a fejlesztők hozzáadhatnak system for Cross-domain Identity Management (SCIM) támogatást az alkalmazásokhoz.
További információ:
- Mi az alkalmazás-hozzáadás vagy -beállítás a Microsoft Entra ID rendszerben?
- Oktatóanyag: SCIM-végpont kiépítése és tervezése a Microsoft Entra ID-ban
Felügyelt eszközökkel kapcsolatos problémák
Ha az egyszeri bejelentkezéssel (SSO) szeretné maximalizálni a felhasználói hatékonyságot a felhőben és a helyszíni erőforrásokban, hozza be az eszközöket a Microsoft Entra-azonosítóba.
További információ az eszközidentitásról?
Microsoft Entra csatlakozott eszközök
Mérettől és iparágtól függetlenül a szervezetek üzembe helyezhetik a Microsoft Entra-hoz csatlakoztatott eszközöket. A Microsoft Entra join hibrid környezetekben működik, lehetővé téve a felhőbeli és helyszíni alkalmazásokhoz és erőforrásokhoz való hozzáférést. A Microsoft Entra-hoz csatlakoztatott eszközök a Microsoft Entra-azonosítóhoz csatlakoznak. A felhasználók szervezeti identitásukkal jelentkeznek be az eszközre.
További információ a Microsoft Entra-hoz csatlakoztatott eszközökről.
Ismert problémák: SSO
A felhasználók SSO-problémákat tapasztalhatnak az olyan alkalmazásokkal kapcsolatban, amelyek a Microsoft Entra-azonosítótól függenek a hitelesítéshez. Ezt a hibát a Windows 10 2020. május 10-i frissítésében javítottuk.
Megoldás
Hagyja, hogy az UPN-módosítás szinkronizálódjon a Microsoft Entra-azonosítóval.
Ellenőrizze, hogy az új UPN megjelenik-e a Microsoft Entra felügyeleti központban.
Kérje meg a felhasználókat, hogy válassza a Másik felhasználó lehetőséget az új UPN-be való bejelentkezéshez.
Ellenőrizze a Get-MgUser paranccsal a Microsoft Graph PowerShellben.
Megjegyzés
Miután a felhasználók új UPN-vel jelentkeznek be, az Access munkahelyi vagy iskolai Windows-beállításaiban megjelenhetnek az előző UPN-re mutató hivatkozások.
A Microsoft Entra hibrid csatlakoztatott eszközökkel kapcsolatos problémák
A Hibrid Microsoft Entra-eszközök csatlakoznak az Active Directoryhoz és a Microsoft Entra-azonosítóhoz. Implementálja a Microsoft Entra hibrid csatlakozást, ha a környezetében egy helyben telepített Active Directory található.
További információ a Microsoft Entra hibrid csatlakoztatott eszközeiről.
Ismert problémák: Windows 10 Microsoft Entra hibrid csatlakoztatott eszközök
A Windows 10 Microsoft Entra hibrid csatlakoztatott eszközei váratlan újraindításokat és hozzáférési problémákat tapasztalnak. Ha a felhasználók azelőtt jelentkeznek be a Windowsba, hogy az új UPN szinkronizálódik a Microsoft Entra-azonosítóval, SSO-problémákat tapasztalhatnak a Hitelesítéshez Microsoft Entra-azonosítót használó alkalmazásokkal kapcsolatban. Ez a forgatókönyv akkor fordulhat elő, ha a felhasználók Windows-munkamenetben vannak. Ez a helyzet akkor fordul elő, ha a feltételes hozzáférés úgy van konfigurálva, hogy kényszerítse a hibrid csatlakoztatott eszközök használatát az erőforrások eléréséhez. Emellett a következő üzenet egy perc után újraindulást kényszeríthet ki:
A számítógép egy percen belül automatikusan újraindul. A Windows hibát észlelt, ezért újra kell indítania. Most zárja be ezt az üzenetet, és mentse a munkáját.
Ezt a hibát a Windows 10 2020. május 10-i frissítésében javítottuk.
Megoldás
- Az eszköz lecsatlakoztatása a Microsoft Entra ID-ről.
- Újraindítás.
- Az eszköz csatlakozik a Microsoft Entra-azonosítóhoz.
- A bejelentkezéshez a felhasználó az Egyéb felhasználó lehetőséget választja.
Az eszköz Microsoft Entra-azonosítóból való csatlakoztatásának megszüntetéséhez futtassa a következő parancsot egy parancssorban: dsregcmd/leave
Megjegyzés
Ha a Windows Hello vállalati verziót használja, a felhasználóknak újra regisztrálniuk kell a Windows Hello vállalati verzióra.
Jótanács
A probléma nem érinti a Windows 7 és a 8.1 rendszerű eszközöket.
A Microsoft Authenticator problémái
Ha a szervezet megköveteli az Authenticatortól, hogy jelentkezzen be, és hozzáférjen az alkalmazásokhoz és az adatokhoz, előfordulhat, hogy egy felhasználónév jelenik meg az alkalmazásban. A fiók azonban nem ellenőrzési módszer, amíg a felhasználók be nem fejezik a regisztrációt.
Ismerje meg , hogyan használhatja az Authenticatort.
Az Authenticator alkalmazás négy fő funkcióval rendelkezik:
- Többtényezős hitelesítés leküldéses értesítéssel vagy ellenőrző kóddal
- Hitelesítési közvetítő iOS- és Android-eszközökön egyszeri bejelentkezéshez az alkalmazásokon közvetítőalapú hitelesítéssel
- Eszközregisztráció vagy munkahelyi csatlakozás a Microsoft Entra-azonosítóhoz, amely az Intune App Protection és az Eszközbeléptetés/-kezelés követelménye
- Telefonos bejelentkezés, amelyhez MFA és eszközregisztráció szükséges
Többtényezős hitelesítés Android-eszközökkel
Használja az Authenticatort sávon kívüli ellenőrzéshez. A többtényezős hitelesítés automatikus hívás vagy sms helyett egy értesítést küld az Authenticatornak a felhasználói eszközön.
- A felhasználó a Jóváhagyás lehetőséget választja, pin-kódot ad meg, vagy biometrikus értéket ad meg.
- A felhasználó a Hitelesítés lehetőséget választja.
Ismerje meg , hogyan működik: Microsoft Entra többtényezős hitelesítés.
Ismert problémák: Nem érkezett értesítés
A felhasználói UPN módosításakor az előző UPN megjelenik a felhasználói fiókban. Előfordulhat, hogy nem érkezik értesítés. Ehelyett használjon ellenőrzési kódokat.
Tekintse meg az Authenticator szolgáltatással kapcsolatos gyakori kérdések listáját.
Megoldás
- Ha megjelenik az értesítés, utasítsa a felhasználót, hogy távolítsa el azt.
- Nyissa meg az Authenticatort.
- Válassza az Értesítések keresése lehetőséget.
- Hagyja jóvá az MFA-kérést.
- A fiók upn-neve frissül.
Megjegyzés
A frissített UPN új fiókként jelenhet meg. Ez a változás az Authenticator egyéb funkcióinak köszönhető.
Közvetített hitelesítés
Android és iOS rendszeren az Authenticatorhoz hasonló közvetítők engedélyezik a következőket:
- Egyszeri bejelentkezés: A felhasználók nem jelentkeznek be az egyes alkalmazásokba
- Eszközazonosítás: A közvetítő hozzáfér az eszközön a munkahelyhez való csatlakozáskor létrehozott eszköztanúsítványhoz
- Alkalmazásazonosítás ellenőrzése: Amikor egy alkalmazás meghívja a közvetítőt, átadja az átirányítási URL-címét, és a közvetítő ellenőrzi azt
További információ:
Ismert problémák: felhasználói kérések
Az alkalmazás által átadott és a közvetítőn lévő UPN közötti login_hint
eltérés miatt a felhasználó több hitelesítési kérést kap a közvetítő által támogatott bejelentkezéssel.
Megoldás
A felhasználó manuálisan eltávolítja a fiókot az Authenticatorból, és új bejelentkezést indít egy közvetítő által támogatott alkalmazásból. A kezdeti hitelesítés után a fiók hozzáadódik.
Eszköz regisztrálása
Az Authenticator regisztrálja az eszközt a Microsoft Entra-azonosítóban, így az eszköz hitelesíthető a Microsoft Entra-azonosítóval. Ez a regisztráció a következő követelményeknek felel meg:
- Intune alkalmazásvédelem
- Intune-eszközregisztráció
- Telefonos bejelentkezés
Ismert problémák: Új fiók jelenik meg
Ha módosítja az UPN-t, megjelenik egy új fiók az új UPN-sel az Authenticatorban. Az előző UPN-et tartalmazó fiók megmarad. Az előző UPN is megjelenik az eszközregisztrációban az alkalmazásbeállításokban. Az eszközregisztráció és a függő forgatókönyvek működése nem változik.
Megoldás
Az Authenticator előző UPN-ére mutató hivatkozások eltávolításához a felhasználó eltávolítja az előző és az új fiókokat az Authenticatorból. A felhasználó újra regisztrál az MFA-ra, és újracsatlakoztatja az eszközt.
Telefonos bejelentkezés
A telefonos bejelentkezéssel jelszó nélkül jelentkezhet be a Microsoft Entra-azonosítóba. Az Authenticator használatával a felhasználó regisztrál az MFA-ra, majd engedélyezi a telefonos bejelentkezést. Az eszköz regisztrál a Microsoft Entra-azonosítóval.
Ismert problémák: Nincs értesítés
A felhasználók nem használhatják a telefonos bejelentkezést, mert nem kaptak értesítést. Ha a felhasználó az Értesítések keresése lehetőséget választja, hibaüzenet jelenik meg.
Megoldás
A telefonos bejelentkezéshez engedélyezett fiók legördülő menüjében a felhasználó a Telefonos bejelentkezés letiltása lehetőséget választja.
Mobileszköz-kezelés
Ismert problémák: Újra kell regisztrálni az eszközt
Ha a szervezet mobileszköz-kezeléssel, az Intune-alkalmazással vagy a Céges portál alkalmazással kezeli az eszközöket, az eszközregisztráció nem lesz rugalmas az UPN-módosítások során. Az UPN módosításakor az eszköz regisztrálatlanként jelenik meg az Entra szolgáltatásban, és a felhasználóknak be kell jelentkezniük, és újra regisztrálniuk kell az eszközt a felügyelethez és a feltételes hozzáféréshez, hogy továbbra is működjenek. A regisztráció befejezéséig előfordulhat, hogy a felhasználó nem tud hozzáférni az eszközön található vállalati erőforrásokhoz.
További információ:
- Eszközregisztrációs útmutató a Microsoft Intune-hoz
- Feltételes hozzáférés használata a Microsoft Intune megfelelőségi szabályzataival
Megoldás
Az UPN módosítása után a végfelhasználóknak be kell jelentkezniük, és az alkalmazáson belüli utasításokat követve újra regisztrálniuk kell.
Biztonsági kulcsokkal (FIDO2) kapcsolatos problémák
Ismert problémák: Fiókválasztás
Ha több felhasználó regisztrálva van ugyanazon a kulcson, a fiókválasztás ott jelenik meg, ahol az előző UPN jelenik meg. Az UPN-módosítások nem befolyásolják a biztonsági kulcsokkal való bejelentkezést.
Megoldás
A korábbi UPN-ekre mutató hivatkozások eltávolításához a felhasználók alaphelyzetbe állíthatják a biztonsági kulcsot, és újra regisztrálhatnak.
Engedélyezheti a jelszó nélküli biztonsági kulcsok bejelentkezését, ismert problémákat és UPN-módosításokat.
OneDrive-problémák
A OneDrive felhasználói problémákat tapasztalhatnak az UPN-módosítások után.
Megtudhatja , hogyan befolyásolják az UPN-módosítások a OneDrive URL-címét és a OneDrive funkcióit.
Teams-értekezletjegyzetekkel kapcsolatos problémák
Jegyzeteket készíthet és oszthat meg a Teams értekezleti jegyzeteivel.
Ismert problémák: Elérhetetlen jegyzetek
Ha egy felhasználó UPN-je megváltozik, az előző UPN-nel létrehozott értekezletjegyzetek nem érhetők el a Microsoft Teams vagy az Értekezletjegyzetek URL-címével.
Megoldás
Az UPN módosítása után a felhasználók jegyzeteket tölthetnek le a OneDrive-ról.
- Nyissa meg a Saját fájlok parancsot.
- Válassza a Microsoft Teams-adatok lehetőséget.
- Válassza a Wiki lehetőséget.
Az UPN-módosítás után létrehozott új értekezletjegyzetek nem lesznek hatással.