Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
L'attributo UserPrincipalName (UPN) è uno standard di comunicazione Internet per gli account utente. Un UPN è costituito da:
- Prefisso: Nome account utente
- Suffisso: nome di dominio del server dei nomi di dominio (DNS)
Il prefisso unisce il suffisso utilizzando il simbolo "@". Ad esempio: someone@example.com. Durante la pianificazione, assicurarsi che l'UPN sia univoco tra gli oggetti principali di sicurezza in una foresta di directory.
Nota
Questo articolo presuppone che l'UPN sia l'identificatore utente. L'articolo affronta la pianificazione dei cambiamenti UPN e il recupero dai problemi che potrebbero derivare dalle modifiche. È consigliabile che gli sviluppatori usino l'ID oggetto utente come identificatore non modificabile, invece degli indirizzi UPN o di posta elettronica.
Motivi delle modifiche UPN
Quando il valore è l'UPN dell'utente, le pagine di accesso spesso richiedono agli utenti di immettere un indirizzo di posta elettronica. Pertanto, quando l'indirizzo di posta elettronica primario dell'utente cambia, modificare l'UPN dell'utente. In genere, l'indirizzo di posta elettronica principale di un utente cambia per i motivi seguenti:
- Modifica del nome del dipendente
- Spostamento dei dipendenti
- Modifiche ristrutturative che influiscono sul suffisso
- Modifiche di fusione e/o acquisizione
Modifiche al prefisso UPN e al suffisso
È consigliabile modificare l'UPN dell'utente quando cambia l'indirizzo di posta elettronica principale. Durante la sincronizzazione iniziale da Active Directory a Microsoft Entra ID, assicurarsi che i messaggi di posta elettronica degli utenti e gli UPN siano identici. Vedere le modifiche al prefisso e al suffisso di esempio seguenti.
Esempi di modifica del prefisso:
- Da BSimon@contoso.com a BJohnson@contoso.com
- Da Bsimon@contoso.com a Britta.Simon@contoso.com
Esempi di modifica del suffisso:
- Da Britta.Simon@contoso.com a Britta.Simon@contosolabs.com
- Da Britta.Simon@corp.contoso.com a Britta.Simon@labs.contoso.com
UPN in Active Directory
In Active Directory il suffisso UPN predefinito è il DNS in cui è stato creato l'account utente. Nella maggior parte dei casi, registrare questo nome di dominio come dominio aziendale. Se si crea l'account utente nel dominio contoso.com, l'UPN predefinito è: username@contoso.com. Aggiungere altri suffissi UPN con domini e trust di Active Directory. Ad esempio, se si aggiungono labs.contoso.com e si modificano gli UPN utente e il messaggio di posta elettronica in modo da riflettere tale valore, il risultato è : username@labs.contoso.com.
È possibile aggiungere il nome di dominio personalizzato al tenant.
Importante
Se si modifica il suffisso in Active Directory, aggiungere e verificare un nome di dominio personalizzato corrispondente in Microsoft Entra ID.
UPN in Microsoft Entra ID
Gli utenti accedono a Microsoft Entra ID con il valore dell'attributo userPrincipalName.
Quando si usa Microsoft Entra ID con Active Directory locale, gli account utente vengono sincronizzati con il servizio Microsoft Entra Connect. La procedura guidata di Microsoft Entra Connect usa l'attributo userPrincipalName del Active Directory locale come UPN in Microsoft Entra ID. È possibile modificarlo in un attributo diverso in un'installazione personalizzata.
Nota
Definire un processo per l'aggiornamento di userPrincipalName per gli utenti e l'organizzazione.
Quando si sincronizzano gli account utente da Active Directory a Microsoft Entra ID, assicurarsi che gli UPN in Active Directory vengano mappati ai domini verificati in Microsoft Entra ID. Se il valore dell'attributo userPrincipalName non corrisponde a un dominio verificato in Microsoft Entra ID, la sincronizzazione sostituisce il suffisso con .onmicrosoft.com.
Implementazione delle modifiche UPN in blocco
Per testare le modifiche UPN in blocco, creare un piano di rollback verificato per ripristinare gli UPN. Per il progetto pilota, indirizzare piccoli gruppi di utenti con ruoli organizzativi e insiemi di app o dispositivi. Questo processo consente di comprendere l'esperienza utente. Includere queste informazioni nelle comunicazioni di modifica agli stakeholder e agli utenti.
Altre informazioni sui piani di distribuzione di Microsoft Entra.
È consigliabile creare una procedura per modificare i nomi UPN per i singoli utenti. Includere la documentazione sui problemi noti e sulle soluzioni alternative. Per altre informazioni, vedere le sezioni seguenti.
Problemi relativi alle app SaaS e LoB
Le applicazioni SaaS (Software as a Service) e line-of-business (LoB) spesso si basano su UPN per trovare gli utenti e archiviare informazioni sul profilo utente, inclusi i ruoli. Le applicazioni potenzialmente interessate dalle modifiche UPN usano il provisioning JIT (Just-In-Time) per creare un profilo utente quando gli utenti accedono inizialmente all'app.
Altre informazioni:
Problemi noti: relazione interrotta, nuovo profilo
Le modifiche dell'UPN dell'utente possono interrompere la relazione tra l'utente di Microsoft Entra e il profilo utente nell'applicazione. Se l'applicazione usa il provisioning JIT, può creare un nuovo profilo utente. Quindi, l'amministratore dell'applicazione apporta modifiche manuali per correggere la relazione.
Soluzioni alternative: approvvigionamento automatizzato
Nelle applicazioni cloud supportate, per creare, gestire e rimuovere le identità utente, usare il provisioning automatico delle app in Microsoft Entra ID. Per aggiornare gli UPN nell'applicazione, configurare il provisioning degli utenti automatizzato nell'applicazione. Testare le applicazioni per convalidare le modifiche UPN riuscite. Per abilitare il provisioning degli utenti automatico, gli sviluppatori possono aggiungere il supporto per il System for Cross-domain Identity Management (SCIM) alle applicazioni.
Altre informazioni:
- Che cos'è il provisioning applicazioni in Microsoft Entra ID?
- Esercitazione: Sviluppare e pianificare il provisioning per un endpoint SCIM in Microsoft Entra ID
Problemi relativi ai dispositivi gestiti
Per ottimizzare la produttività degli utenti con l'accesso Single Sign-On (SSO) tra risorse cloud e locali, trasferire i dispositivi nell'ID Di Microsoft Entra.
Altre informazioni su che cos'è un'identità del dispositivo?
Dispositivi associati a Microsoft Entra
Indipendentemente dalle dimensioni o dal settore, le organizzazioni possono distribuire dispositivi aggiunti a Microsoft Entra. Microsoft Entra join funziona in ambienti ibridi, consentendo l'accesso alle app e alle risorse locali e cloud. I dispositivi aggiunti a Microsoft Entra sono aggiunti a Microsoft Entra ID. Gli utenti accedono al dispositivo usando l'identità dell'organizzazione.
Altre informazioni sui dispositivi aggiunti a Microsoft Entra.
Problemi noti: SSO
Gli utenti potrebbero riscontrare problemi di accesso Single Sign-On con le applicazioni che dipendono dall'ID Microsoft Entra per l'autenticazione. Questo problema è stato risolto nell'aggiornamento di Windows 10 maggio-2020.
Soluzione alternativa
Concedere tempo per la sincronizzazione della modifica dell'UPN con Microsoft Entra ID.
Verificare che il nuovo UPN venga visualizzato nell'interfaccia di amministrazione di Microsoft Entra.
Indicare agli utenti di selezionare Altro utente per accedere con un nuovo UPN.
Verificare con Get-MgUser in Microsoft Graph PowerShell.
Nota
Dopo l'accesso degli utenti con un nuovo UPN, i riferimenti all'UPN precedente potrebbero essere visualizzati nell'impostazione Accesso a Windows aziendale o dell'istituto di istruzione .
Problemi relativi ai dispositivi connessi in modalità ibrida a Microsoft Entra
I dispositivi ibridi di Microsoft Entra sono collegati ad Active Directory e a Microsoft Entra ID. Implementare l'aggiunta ibrida a Microsoft Entra se l'ambiente ha una presenza locale di Active Directory.
Scopri di più sui dispositivi ibridi uniti Microsoft Entra.
Problemi noti: dispositivi ibridi uniti a Windows 10 Microsoft Entra
I dispositivi aggiunti a Windows 10 Microsoft Entra ibrido riscontrano riavvii imprevisti e problemi di accesso. Se gli utenti accedono a Windows prima della sincronizzazione del nuovo UPN con Microsoft Entra ID, potrebbero verificarsi problemi di accesso SSO con le app che usano Microsoft Entra ID per l'autenticazione. Questo scenario può verificarsi se gli utenti si trovano in una sessione di Windows. Questa situazione si verifica se l'accesso condizionale è configurato per imporre l'uso di dispositivi aggiunti all'ambiente ibrido per accedere alle risorse. Inoltre, il messaggio seguente può forzare un riavvio dopo un minuto:
Il PC viene riavviato automaticamente in un minuto. Windows ha riscontrato un problema e deve essere riavviato. È necessario chiudere questo messaggio ora e salvare il lavoro.
Questo problema è stato risolto nell'aggiornamento di Windows 10 maggio-2020.
Soluzione alternativa
- Rimuovere il dispositivo dall'ID Microsoft Entra.
- Riavvia.
- Il dispositivo viene aggiunto a Microsoft Entra ID.
- Per accedere, l'utente seleziona Altro utente.
Per separare un dispositivo da Microsoft Entra ID, eseguire il comando seguente al prompt dei comandi: dsregcmd/leave
Nota
Se si usa Windows Hello for Business, gli utenti si registrano nuovamente per Windows Hello for Business.
Suggerimento
I dispositivi Windows 7 e 8.1 non sono interessati da questo problema.
Problemi di Microsoft Authenticator
Se l'organizzazione richiede Authenticator per accedere ad applicazioni e dati, un nome utente potrebbe essere visualizzato nell'app. Tuttavia, l'account non è un metodo di verifica finché gli utenti non completano la registrazione.
Informazioni su come usare Authenticator.
L'app Authenticator ha quattro funzioni principali:
- Autenticazione a più fattori con notifica push o codice di verifica
- Broker di autenticazione su dispositivi iOS e Android per SSO delle applicazioni che usano l'autenticazione negoziata
- Registrazione del dispositivo o aggiunta all'area di lavoro a Microsoft Entra ID, che è un requisito per la protezione delle app di Intune e la registrazione/gestione dei dispositivi
- Accesso tramite telefono, che richiede l'autenticazione a più fattori e la registrazione del dispositivo
Autenticazione a più fattori con dispositivi Android
Usare Authenticator per la verifica fuori banda. L'autenticazione a più fattori esegue il push di una notifica a Authenticator nel dispositivo utente, invece di una chiamata automatica o di un servizio SMS (Short Message Service) all'utente.
- L'utente seleziona Approva, immette un PIN o immette una biometria.
- L'utente seleziona Autentica.
Scopri come funziona: l'autenticazione a più fattori di Microsoft Entra.
Problemi noti: notifica non ricevuta
Quando si modifica l'UPN dell'utente, l'UPN precedente viene visualizzato nell'account utente. La notifica potrebbe non essere ricevuta. Usare invece i codici di verifica.
Vedere un elenco di domande comuni su Authenticator.
Soluzione alternativa
- Se viene visualizzata la notifica, indicare all'utente di ignorarla.
- Apri Authenticator.
- Selezionare Verifica la presenza di notifiche.
- Approvare il prompt MFA.
- L'UPN dell'account viene aggiornato.
Nota
L'UPN aggiornato potrebbe essere visualizzato come nuovo account. Questa modifica è dovuta ad altre funzionalità di Authenticator.
Autenticazione negoziata
In Android e iOS i broker come Authenticator abilitano:
- SSO: gli utenti non devono accedere singolarmente a ogni applicazione.
- Identificazione del dispositivo: il broker accede al certificato del dispositivo creato nel dispositivo quando è stato aggiunto all'area di lavoro
- Verifica dell'identificazione dell'applicazione: quando un'applicazione chiama il broker, passa l'URL di reindirizzamento e il broker lo verifica
Altre informazioni:
Problemi noti: richieste utente
A causa di una mancata corrispondenza tra l'istanza login_hint passata dall'applicazione e l'UPN nel broker, l'utente riscontra più richieste di autenticazione con l'accesso assistito da broker.
Soluzione alternativa
L'utente rimuove manualmente l'account da Authenticator e avvia un nuovo accesso da un'applicazione assistita da broker. Dopo l'autenticazione iniziale, l'account viene aggiunto.
Registrazione dispositivo
Authenticator registra il dispositivo in Microsoft Entra ID, che consente al dispositivo di eseguire l'autenticazione all'ID Microsoft Entra. Questa registrazione è un requisito per:
- Protezione delle app di Intune
- Registrazione di dispositivi Intune
- Accesso tramite telefono
Problemi noti: viene visualizzato un nuovo account
Se si modifica l'UPN, viene visualizzato un nuovo account con il nuovo UPN nell'autenticatore. L'account con l'UPN precedente rimane. Inoltre, l'UPN precedente viene visualizzato in Registrazione del dispositivo nelle impostazioni dell'app. Non sono state apportate modifiche alle funzionalità di registrazione del dispositivo o di scenari dipendenti.
Soluzione alternativa
Per rimuovere i riferimenti all'UPN precedente in Authenticator, l'utente rimuove i nuovi e precedenti account da Authenticator. L'utente esegue nuovamente la registrazione per l'autenticazione a più fattori e riassocia il dispositivo.
Accesso tramite telefono
Usare l'accesso tramite telefono per accedere a Microsoft Entra ID senza password. Con Authenticator, l'utente esegue la registrazione per MFA e quindi abilita l'accesso tramite telefono. Il dispositivo viene registrato con Microsoft Entra ID.
Problemi noti: nessuna notifica
Gli utenti non possono usare l'accesso tramite telefono perché non hanno ricevuto notifiche. Se l'utente seleziona Controlla notifiche, viene visualizzato un errore.
Soluzione alternativa
Nell'account abilitato per l'accesso tramite telefono, nel menu a discesa l'utente seleziona Disabilita accesso tramite telefono.
Gestione dei dispositivi mobili
Problemi noti: è necessaria una nuova registrazione del dispositivo
Se la tua organizzazione utilizza la gestione dei dispositivi mobili e l'app Intune o l'app Portale aziendale per gestire i dispositivi, la registrazione dei dispositivi non è resiliente durante le modifiche dell'UPN. Quando si modifica l'UPN, il dispositivo verrà rilevato come non registrato con Entra e gli utenti dovranno accedere e registrare nuovamente il dispositivo per la gestione e l'accesso condizionale per continuare a funzionare. Fino al completamento della registrazione, l'utente potrebbe non essere in grado di accedere alle risorse aziendali in questo dispositivo.
Altre informazioni:
- Guida alla registrazione dei dispositivi per Microsoft Intune
- Utilizzare l'accesso condizionale con i criteri di conformità di Microsoft Intune
Soluzione alternativa
Dopo le modifiche dell'UPN, gli utenti finali devono accedere e seguire le richieste in-app di registrarsi di nuovo.
Problemi relativi alla chiave di sicurezza (FIDO2)
Problemi noti: selezione dell'account
Quando più utenti vengono registrati nella stessa chiave, viene visualizzata la selezione dell'account in cui viene visualizzato l'UPN precedente. Le modifiche UPN non influiscono sull'accesso con le chiavi di sicurezza.
Soluzione alternativa
Per rimuovere i riferimenti ai nomi UPN precedenti, gli utenti reimpostano la chiave di sicurezza e registrano nuovamente.
È possibile abilitare l'accesso alla chiave di sicurezza senza password, il problema noto e le modifiche UPN.
Problemi di OneDrive
Gli utenti di OneDrive potrebbero riscontrare problemi dopo le modifiche dell'UPN.
Informazioni su come le modifiche UPN influiscono sull'URL di OneDrive e sulle funzionalità di OneDrive.
Problemi relativi alle note sulle riunioni di Teams
Usare le note sulla riunione di Teams per prendere e condividere note.
Problemi noti: note inaccessibili
Quando un utente aggiorna l'UPN, le note della riunione create con l'UPN precedente non sono accessibili con Microsoft Teams o l'URL delle note della riunione.
Soluzione alternativa
Dopo la modifica dell'UPN, gli utenti possono scaricare le note da OneDrive.
- Vai a I miei file.
- Selezionare Dati di Microsoft Teams.
- Selezionare Wiki.
Le nuove note della riunione create dopo la modifica UPN non sono interessate.