Megosztás a következőn keresztül:


A UserPrincipalName módosításainak tervezése és hibaelhárítása a Microsoft Entra-azonosítóban

A UserPrincipalName (UPN) attribútum a felhasználói fiókok internetes kommunikációs szabványa. Az UPN a következőkből áll:

  • Előtag: Felhasználói fiók neve
  • Utótag: Tartománynév-kiszolgáló (DNS) tartományneve

Az előtag a "@" szimbólummal csatlakozik az utótaghoz. Például: someone@example.com. A tervezés során győződjön meg arról, hogy az UPN egyedi a címtárerdőn belüli biztonsági azonosítók között.

Megjegyzés

Ez a cikk feltételezi, hogy az UPN a felhasználói azonosító. A cikk az UPN-változások tervezésével és a módosításokból eredő problémák utáni helyreállítással foglalkozik. Azt javasoljuk a fejlesztőknek, hogy a felhasználó objectID azonosítóját használják nem módosítható azonosítóként az UPN vagy az e-mail-címek helyett.

Az UPN-módosítások okai

Ha az érték a felhasználói UPN, a bejelentkezési oldalak gyakran kérik a felhasználókat, hogy adjanak meg egy e-mail-címet. Ezért amikor a felhasználó elsődleges e-mail-címe megváltozik, módosítsa a felhasználó upn-címét. A felhasználó elsődleges e-mail-címe általában a következő okok miatt változik:

  • Alkalmazott nevének módosítása
  • Alkalmazott áthelyezése
  • Az utótagot érintő szerkezetátalakítási változások
  • Egyesülési és/vagy felvásárlási változások

AZ UPN-előtag és az utótag változásai

Javasoljuk, hogy az elsődleges e-mail-cím módosításakor módosítsa a felhasználói UPN-t. Az Active Directory és a Microsoft Entra ID közötti kezdeti szinkronizálás során győződjön meg arról, hogy a felhasználói e-mailek és az UPN-ek azonosak. Tekintse meg a következő példaelőtag és utótag módosításait.

Példák az előtag módosítására:

  • BSimon@contoso.com-tól BJohnson@contoso.com
  • Bsimon@contoso.com-tól Britta.Simon@contoso.com

Utótagmódosítási példák:

  • Britta.Simon@contoso.com tól Britta.Simon@contosolabs.com
  • A Britta.Simon@corp.contoso.com címről a Britta.Simon@labs.contoso.com címre

UPN-k az Active Directoryban

Az Active Directoryban az alapértelmezett UPN-utótag az a DNS, ahol létrehozta a felhasználói fiókot. A legtöbb esetben ezt a tartománynevet regisztrálja vállalati tartományként. Ha a felhasználói fiókot a contoso.com tartományban hozza létre, az alapértelmezett UPN a következő: username@contoso.com. Adjon hozzá további UPN-utótagokat az Active Directory tartományokhoz és megbízhatóságokhoz. Ha például hozzáadja a labs.contoso.com domént, és módosítja a felhasználók UPN-jeit és e-mailjeit, akkor az eredmény a következő: username@labs.contoso.com.

Hozzáadhatja az egyéni tartománynevet a bérlőhöz.

Fontos

Ha módosítja az Active Directory utótagját, adja hozzá és ellenőrizze az ennek megfelelő egyéni tartománynevet a Microsoft Entra ID-ben.

Képernyőkép az Ügyféltartomány hozzáadása lehetőségről az Egyéni tartománynevek területen.

UPN-k a Microsoft Entra-azonosítóban

A felhasználók a userPrincipalName attribútumértékükkel jelentkeznek be a Microsoft Entra-azonosítóba.

Ha a Microsoft Entra-azonosítót helyi Active Directory használja, a rendszer szinkronizálja a felhasználói fiókokat a Microsoft Entra Connect szolgáltatással. A Microsoft Entra Connect varázsló a helyi Active Directory userPrincipalName attribútumát használja UPN-ként a Microsoft Entra ID-ban. Az egyéni telepítésben módosíthatja egy másik attribútumra.

Megjegyzés

A UserPrincipalName frissítési folyamatának definiálása a felhasználók és a szervezet számára.

Amikor szinkronizálja a felhasználói fiókokat az Active Directoryról a Microsoft Entra ID-ra, győződjön meg arról, hogy az Active Directoryban lévő UPN-eket a Microsoft Entra ID-ban ellenőrzött tartományokra szinkronizálja. Ha a userPrincipalName attribútum értéke nem felel meg a Microsoft Entra ID ellenőrzött tartományának, a szinkronizálás az utótagot .onmicrosoft.com értékre cseréli.

Tömeges UPN-változás bevezetése

A tömeges UPN-módosítások teszteléséhez hozzon létre egy tesztelt visszaállítási tervet az UPN-k visszaállításához. A próbaüzemben a kis méretű felhasználói csoportokat célozhatja meg szervezeti szerepkörökkel, valamint alkalmazás- vagy eszközkészletekkel. Ez a folyamat segít megérteni a felhasználói élményt. Ezeket az információkat belefoglalhatja az érdekelt felek és felhasználók közötti változáskommunikációba.

További információ a Microsoft Entra üzembehelyezési terveiről.

Javasoljuk, hogy hozzon létre egy eljárást, amellyel módosíthatja az upn-eket az egyes felhasználók számára. Ismert problémák és átmeneti megoldások dokumentációja. További információt a következő szakaszokban talál.

SaaS- és LoB-alkalmazások problémái

A szolgáltatásként nyújtott szoftverek (SaaS) és az üzletági (LoB) alkalmazások gyakran támaszkodnak upN-ekre a felhasználók megkereséséhez és a felhasználói profil adatainak tárolásához, beleértve a szerepköröket is. Azok az alkalmazások, amelyeket potenciálisan érintenek az UPN-módosítások, igény szerinti (JIT) kiépítést alkalmaznak a felhasználói profil létrehozására, amikor a felhasználók először jelentkeznek be az alkalmazásba.

További információ:

Ismert problémák: Megszakadt kapcsolat, új profil

A felhasználói UPN-módosítások megszakíthatják a Microsoft Entra-felhasználó és az alkalmazás felhasználói profilja közötti kapcsolatot. Ha az alkalmazás JIT-kiépítést használ, létrehozhat egy új felhasználói profilt. Ezután az alkalmazásadminisztrátor manuális módosításokat hajt végre a kapcsolat javításához.

Alternatív megoldások: Automatikus ellátás

A támogatott felhőalapú alkalmazásokban a felhasználói identitások létrehozásához, karbantartásához és eltávolításához használja az automatikus alkalmazáskiépítést a Microsoft Entra ID-ban. Az alkalmazás UPN-jeinek frissítéséhez konfigurálja az automatikus felhasználó-hozzáadást az alkalmazásokban. Tesztelje az alkalmazásokat a sikeres UPN-módosítások ellenőrzéséhez. Az automatikus felhasználói kiépítés engedélyezéséhez a fejlesztők hozzáadhatnak system for Cross-domain Identity Management (SCIM) támogatást az alkalmazásokhoz.

További információ:

Felügyelt eszközökkel kapcsolatos problémák

Ha az egyszeri bejelentkezéssel (SSO) szeretné maximalizálni a felhasználói hatékonyságot a felhőben és a helyszíni erőforrásokban, hozza be az eszközöket a Microsoft Entra-azonosítóba.

További információ az eszközidentitásról?

Microsoft Entra csatlakozott eszközök

Mérettől és iparágtól függetlenül a szervezetek üzembe helyezhetik a Microsoft Entra-hoz csatlakoztatott eszközöket. A Microsoft Entra join hibrid környezetekben működik, lehetővé téve a felhőbeli és helyszíni alkalmazásokhoz és erőforrásokhoz való hozzáférést. A Microsoft Entra-hoz csatlakoztatott eszközök a Microsoft Entra-azonosítóhoz csatlakoznak. A felhasználók szervezeti identitásukkal jelentkeznek be az eszközre.

További információ a Microsoft Entra-hoz csatlakoztatott eszközökről.

Ismert problémák: SSO

A felhasználók SSO-problémákat tapasztalhatnak az olyan alkalmazásokkal kapcsolatban, amelyek a Microsoft Entra-azonosítótól függenek a hitelesítéshez. Ezt a hibát a Windows 10 2020. május 10-i frissítésében javítottuk.

Megoldás

  1. Hagyja, hogy az UPN-módosítás szinkronizálódjon a Microsoft Entra-azonosítóval.

  2. Ellenőrizze, hogy az új UPN megjelenik-e a Microsoft Entra felügyeleti központban.

  3. Kérje meg a felhasználókat, hogy válassza a Másik felhasználó lehetőséget az új UPN-be való bejelentkezéshez.

  4. Ellenőrizze a Get-MgUser paranccsal a Microsoft Graph PowerShellben.

    Megjegyzés

    Miután a felhasználók új UPN-vel jelentkeznek be, az Access munkahelyi vagy iskolai Windows-beállításaiban megjelenhetnek az előző UPN-re mutató hivatkozások.

    Képernyőkép az 1. felhasználó és az Egyéb felhasználó tartományról a bejelentkezési képernyőn.

A Microsoft Entra hibrid csatlakoztatott eszközökkel kapcsolatos problémák

A Hibrid Microsoft Entra-eszközök csatlakoznak az Active Directoryhoz és a Microsoft Entra-azonosítóhoz. Implementálja a Microsoft Entra hibrid csatlakozást, ha a környezetében egy helyben telepített Active Directory található.

További információ a Microsoft Entra hibrid csatlakoztatott eszközeiről.

Ismert problémák: Windows 10 Microsoft Entra hibrid csatlakoztatott eszközök

A Windows 10 Microsoft Entra hibrid csatlakoztatott eszközei váratlan újraindításokat és hozzáférési problémákat tapasztalnak. Ha a felhasználók azelőtt jelentkeznek be a Windowsba, hogy az új UPN szinkronizálódik a Microsoft Entra-azonosítóval, SSO-problémákat tapasztalhatnak a Hitelesítéshez Microsoft Entra-azonosítót használó alkalmazásokkal kapcsolatban. Ez a forgatókönyv akkor fordulhat elő, ha a felhasználók Windows-munkamenetben vannak. Ez a helyzet akkor fordul elő, ha a feltételes hozzáférés úgy van konfigurálva, hogy kényszerítse a hibrid csatlakoztatott eszközök használatát az erőforrások eléréséhez. Emellett a következő üzenet egy perc után újraindulást kényszeríthet ki:

A számítógép egy percen belül automatikusan újraindul. A Windows hibát észlelt, ezért újra kell indítania. Most zárja be ezt az üzenetet, és mentse a munkáját.

Ezt a hibát a Windows 10 2020. május 10-i frissítésében javítottuk.

Megoldás

  1. Az eszköz lecsatlakoztatása a Microsoft Entra ID-ről.
  2. Újraindítás.
  3. Az eszköz csatlakozik a Microsoft Entra-azonosítóhoz.
  4. A bejelentkezéshez a felhasználó az Egyéb felhasználó lehetőséget választja.

Az eszköz Microsoft Entra-azonosítóból való csatlakoztatásának megszüntetéséhez futtassa a következő parancsot egy parancssorban: dsregcmd/leave

Megjegyzés

Ha a Windows Hello vállalati verziót használja, a felhasználóknak újra regisztrálniuk kell a Windows Hello vállalati verzióra.

Jótanács

A probléma nem érinti a Windows 7 és a 8.1 rendszerű eszközöket.

A Microsoft Authenticator problémái

Ha a szervezet megköveteli az Authenticatortól, hogy jelentkezzen be, és hozzáférjen az alkalmazásokhoz és az adatokhoz, előfordulhat, hogy egy felhasználónév jelenik meg az alkalmazásban. A fiók azonban nem ellenőrzési módszer, amíg a felhasználók be nem fejezik a regisztrációt.

Ismerje meg , hogyan használhatja az Authenticatort.

Az Authenticator alkalmazás négy fő funkcióval rendelkezik:

Többtényezős hitelesítés Android-eszközökkel

Használja az Authenticatort sávon kívüli ellenőrzéshez. A többtényezős hitelesítés automatikus hívás vagy sms helyett egy értesítést küld az Authenticatornak a felhasználói eszközön.

  1. A felhasználó a Jóváhagyás lehetőséget választja, pin-kódot ad meg, vagy biometrikus értéket ad meg.
  2. A felhasználó a Hitelesítés lehetőséget választja.

Ismerje meg , hogyan működik: Microsoft Entra többtényezős hitelesítés.

Ismert problémák: Nem érkezett értesítés

A felhasználói UPN módosításakor az előző UPN megjelenik a felhasználói fiókban. Előfordulhat, hogy nem érkezik értesítés. Ehelyett használjon ellenőrzési kódokat.

Tekintse meg az Authenticator szolgáltatással kapcsolatos gyakori kérdések listáját.

Megoldás

  1. Ha megjelenik az értesítés, utasítsa a felhasználót, hogy távolítsa el azt.
  2. Nyissa meg az Authenticatort.
  3. Válassza az Értesítések keresése lehetőséget.
  4. Hagyja jóvá az MFA-kérést.
  5. A fiók upn-neve frissül.

Megjegyzés

A frissített UPN új fiókként jelenhet meg. Ez a változás az Authenticator egyéb funkcióinak köszönhető.

Közvetített hitelesítés

Android és iOS rendszeren az Authenticatorhoz hasonló közvetítők engedélyezik a következőket:

  • Egyszeri bejelentkezés: A felhasználók nem jelentkeznek be az egyes alkalmazásokba
  • Eszközazonosítás: A közvetítő hozzáfér az eszközön a munkahelyhez való csatlakozáskor létrehozott eszköztanúsítványhoz
  • Alkalmazásazonosítás ellenőrzése: Amikor egy alkalmazás meghívja a közvetítőt, átadja az átirányítási URL-címét, és a közvetítő ellenőrzi azt

További információ:

Ismert problémák: felhasználói kérések

Az alkalmazás által átadott és a közvetítőn lévő UPN közötti login_hint eltérés miatt a felhasználó több hitelesítési kérést kap a közvetítő által támogatott bejelentkezéssel.

Megoldás

A felhasználó manuálisan eltávolítja a fiókot az Authenticatorból, és új bejelentkezést indít egy közvetítő által támogatott alkalmazásból. A kezdeti hitelesítés után a fiók hozzáadódik.

Eszköz regisztrálása

Az Authenticator regisztrálja az eszközt a Microsoft Entra-azonosítóban, így az eszköz hitelesíthető a Microsoft Entra-azonosítóval. Ez a regisztráció a következő követelményeknek felel meg:

  • Intune alkalmazásvédelem
  • Intune-eszközregisztráció
  • Telefonos bejelentkezés

Ismert problémák: Új fiók jelenik meg

Ha módosítja az UPN-t, megjelenik egy új fiók az új UPN-sel az Authenticatorban. Az előző UPN-et tartalmazó fiók megmarad. Az előző UPN is megjelenik az eszközregisztrációban az alkalmazásbeállításokban. Az eszközregisztráció és a függő forgatókönyvek működése nem változik.

Megoldás

Az Authenticator előző UPN-ére mutató hivatkozások eltávolításához a felhasználó eltávolítja az előző és az új fiókokat az Authenticatorból. A felhasználó újra regisztrál az MFA-ra, és újracsatlakoztatja az eszközt.

Telefonos bejelentkezés

A telefonos bejelentkezéssel jelszó nélkül jelentkezhet be a Microsoft Entra-azonosítóba. Az Authenticator használatával a felhasználó regisztrál az MFA-ra, majd engedélyezi a telefonos bejelentkezést. Az eszköz regisztrál a Microsoft Entra-azonosítóval.

Ismert problémák: Nincs értesítés

A felhasználók nem használhatják a telefonos bejelentkezést, mert nem kaptak értesítést. Ha a felhasználó az Értesítések keresése lehetőséget választja, hibaüzenet jelenik meg.

Megoldás

A telefonos bejelentkezéshez engedélyezett fiók legördülő menüjében a felhasználó a Telefonos bejelentkezés letiltása lehetőséget választja.

Mobileszköz-kezelés

Ismert problémák: Újra kell regisztrálni az eszközt

Ha a szervezet mobileszköz-kezeléssel, az Intune-alkalmazással vagy a Céges portál alkalmazással kezeli az eszközöket, az eszközregisztráció nem lesz rugalmas az UPN-módosítások során. Az UPN módosításakor az eszköz regisztrálatlanként jelenik meg az Entra szolgáltatásban, és a felhasználóknak be kell jelentkezniük, és újra regisztrálniuk kell az eszközt a felügyelethez és a feltételes hozzáféréshez, hogy továbbra is működjenek. A regisztráció befejezéséig előfordulhat, hogy a felhasználó nem tud hozzáférni az eszközön található vállalati erőforrásokhoz.

További információ:

Megoldás

Az UPN módosítása után a végfelhasználóknak be kell jelentkezniük, és az alkalmazáson belüli utasításokat követve újra regisztrálniuk kell.

Biztonsági kulcsokkal (FIDO2) kapcsolatos problémák

Ismert problémák: Fiókválasztás

Ha több felhasználó regisztrálva van ugyanazon a kulcson, a fiókválasztás ott jelenik meg, ahol az előző UPN jelenik meg. Az UPN-módosítások nem befolyásolják a biztonsági kulcsokkal való bejelentkezést.

Megoldás

A korábbi UPN-ekre mutató hivatkozások eltávolításához a felhasználók alaphelyzetbe állíthatják a biztonsági kulcsot, és újra regisztrálhatnak.

Engedélyezheti a jelszó nélküli biztonsági kulcsok bejelentkezését, ismert problémákat és UPN-módosításokat.

OneDrive-problémák

A OneDrive felhasználói problémákat tapasztalhatnak az UPN-módosítások után.

Megtudhatja , hogyan befolyásolják az UPN-módosítások a OneDrive URL-címét és a OneDrive funkcióit.

Teams-értekezletjegyzetekkel kapcsolatos problémák

Jegyzeteket készíthet és oszthat meg a Teams értekezleti jegyzeteivel.

Ismert problémák: Elérhetetlen jegyzetek

Ha egy felhasználó UPN-je megváltozik, az előző UPN-nel létrehozott értekezletjegyzetek nem érhetők el a Microsoft Teams vagy az Értekezletjegyzetek URL-címével.

Megoldás

Az UPN módosítása után a felhasználók jegyzeteket tölthetnek le a OneDrive-ról.

  1. Nyissa meg a Saját fájlok parancsot.
  2. Válassza a Microsoft Teams-adatok lehetőséget.
  3. Válassza a Wiki lehetőséget.

Az UPN-módosítás után létrehozott új értekezletjegyzetek nem lesznek hatással.

Következő lépések