Popolamento del nome principale utente di Microsoft Entra
Articolo
Questo articolo descrive come l'attributo UserPrincipalName viene popolato in Microsoft Entra ID.
Il valore dell'attributo UserPrincipalName è il nome utente di Microsoft Entra per gli account utente.
Terminologia UPN
In questo articolo viene usata la terminologia seguente:
Termine
Descrizione
Dominio iniziale
Il dominio predefinito (onmicrosoft.com) nel tenant di Microsoft Entra. Ad esempio, "contoso.onmicrosoft.com".
MOERA (Microsoft Online Email Routing Address, indirizzo di routing della posta elettronica Microsoft Online)
Microsoft Entra ID calcola il MOERA dall'attributo Microsoft Entra MailNickName e dal dominio iniziale di Microsoft Entra come "<MailNickName>@<dominio iniziale>".
Attributo mailNickName in sede
Attributo in Active Directory il cui valore rappresenta l'alias di un utente in un'organizzazione Exchange.
Attributo posta interno
Attributo in Active Directory il cui valore rappresenta l'indirizzo di posta elettronica di un utente.
Indirizzo SMTP primario
Indirizzo di posta elettronica primario di un oggetto destinatario di Exchange. Ad esempio, "SMTP:user@contoso.com".
ID di accesso alternativo
Attributo locale diverso da UserPrincipalName, ad esempio l'attributo mail, utilizzato per l'accesso.
Che cos'è UserPrincipalName?
UserPrincipalName è un attributo che rappresenta un nome di accesso Internet per un utente in base allo standard Internet RFC 822.
Formato UPN
Un UPN è costituito da un prefisso UPN (il nome dell'account utente) e un suffisso UPN (nome di dominio DNS). Il prefisso viene unito al suffisso usando il simbolo \"\@\". Ad esempio, "someone@example.com". Un UPN deve essere univoco tra tutti gli oggetti principali di sicurezza in una foresta di directory.
UPN in Microsoft Entra ID
L'UPN viene usato da Microsoft Entra ID per consentire agli utenti di accedere. L'UPN che un utente può usare dipende dal fatto che il dominio sia verificato o meno. Se il dominio viene verificato, un utente con tale suffisso può accedere all'ID Microsoft Entra.
L’attributo è sincronizzato da Microsoft Entra Connect. Durante l'installazione, è possibile visualizzare i domini verificati e quelli che non lo sono.
ID di accesso alternativo
In alcuni ambienti è possibile che gli utenti finali conoscano solo l'indirizzo di posta elettronica e non l'UPN. L'uso dell'indirizzo di posta elettronica potrebbe essere dovuto a criterio aziendali o a una dipendenza dell'applicazione line-of-business locale.
L'ID di accesso alternativo consente di configurare un'esperienza di accesso in cui gli utenti possono accedere con un attributo diverso dal relativo UPN, ad esempio la posta elettronica.
Per abilitare l'ID di accesso alternativo con Microsoft Entra ID, non sono necessari passaggi aggiuntivi per la configurazione quando si usa Microsoft Entra Connect. È possibile configurare l'ID alternativo direttamente dalla procedura guidata. Consultare la configurazione dell'accesso di Microsoft Entra per gli utenti sotto la sezione Sincronizzazione. Nell'elenco a discesa Nome principale utente selezionare l'attributo per ID di accesso alternativo.
Se il suffisso dell'attributo UserPrincipalName locale/ID di accesso alternativo non viene verificato con il tenant di Microsoft Entra, il valore dell'attributo Microsoft Entra UserPrincipalName non può avere questo suffisso di dominio. Microsoft Entra ID calcola un nuovo UPN in base al valore dell'attributo Microsoft Entra MailNickName come prefisso e al dominio iniziale di Microsoft Entra come suffisso di dominio (<MailNickName>@<dominio iniziale>.
Suffisso UPN verificato
Se il suffisso dell'attributo UserPrincipalName locale/ID di accesso alternativo è verificato con il tenant di Microsoft Entra, il valore dell'attributo UserPrincipalName di Microsoft Entra corrisponderà al valore dell'attributo UserPrincipalName locale/ID di accesso alternativo.
Avviso
Tutti i caratteri non validi,ad esempio spazi vuoti, interruzioni di riga e così via, presenti nell'istanza locale di UserPrincipalName invalidano il valore UPN sincronizzato. In questi casi, Microsoft Entra ID calcola un nuovo UPN, simile allo scenario in cui il suffisso di dominio non viene verificato con il tenant di Microsoft Entra.
Calcolo del valore dell'attributo MailNickName di Microsoft Entra
Poiché il valore dell'attributo Microsoft Entra UserPrincipalName può essere ricalcolato in <MailNickName>@<initial domain>, è importante comprendere come viene calcolato il valore dell'attributo Microsoft Entra MailNickName, che diventa il prefisso UPN.
Quando un oggetto utente viene sincronizzato con un tenant di Microsoft Entra per la prima volta, Microsoft Entra ID controlla gli elementi seguenti nell'ordine indicato e imposta il valore dell'attributo MailNickName sul primo elemento esistente:
Attributo mailNickName in sede
Prefisso dell'indirizzo SMTP primario
Prefisso dell'attributo mail locale
Prefisso dell'attributo userPrincipalName locale/ID di accesso alternativo
Prefisso dell'indirizzo SMTP secondario
Quando gli aggiornamenti a un oggetto utente vengono sincronizzati con il tenant di Microsoft Entra, Microsoft Entra ID aggiorna il valore dell'attributo MailNickName solo nel caso in cui sia presente un aggiornamento al valore dell'attributo mailNickName locale.
Importante
Microsoft Entra ID ricalcola il valore dell'attributo UserPrincipalName solo nel caso in cui un aggiornamento al valore dell'attributo UserPrincipalName locale/ID di accesso alternativo venga sincronizzato con il tenant di Microsoft Entra.
Ogni volta che Microsoft Entra ID ricalcola l'attributo UserPrincipalName e l'utente ha una licenza di Exchange assegnata, viene aggiunto anche il nuovo valore UserPrincipalName come indirizzo proxy smtp secondario.
In caso di un'operazione di modifica del dominio verificata (ad esempio, l'aggiunta di un nuovo dominio verificato o la rimozione di un dominio esistente), Microsoft Entra ID ricalcola anche l'attributo UserPrincipalName per tutti gli utenti nel tenant. Per altre informazioni, vedere Risoluzione dei problemi: Controllare i dati sulla modifica del dominio verificato
Scenari UPN
Di seguito sono illustrati scenari di esempio di come viene calcolato l'UPN in base allo scenario specifico.
Scenario 1: suffisso UPN non verificato - sincronizzazione iniziale
Oggetto utente locale:
mailNickName: <non impostato>
proxyAddresses: {SMTP:user1@contoso.com}
email: user2@contoso.com
NomePrincipaleUtente: user3@contoso.com
Sincronizzazione dell'oggetto utente con il tenant di Microsoft Entra per la prima volta
Impostare l'attributo MailNickName di Microsoft Entra sul prefisso dell'indirizzo SMTP primario.
Imposta MOERA su <MailNickName>@<dominio iniziale>.
Impostare l'attributo Microsoft Entra UserPrincipalName su MOERA.
Scenario 2: suffisso UPN non verificato: impostare l'attributo mailNickName locale
Oggetto utente locale:
mailNickName: user4
proxyAddresses: {SMTP:user1@contoso.com}
posta: user2@contoso.com
NomePrincipaleUtente: user3@contoso.com
Sincronizzazione dell'aggiornamento dell'attributo mailNickName locale con il tenant di Microsoft Entra
Aggiorna l'attributo MailNickName di Microsoft Entra con l'attributo MailNickName on-premises.
Poiché non è disponibile alcun aggiornamento all'attributo userPrincipalName locale, non viene apportata alcuna modifica all'attributo Microsoft Entra UserPrincipalName.
Scenario 3: suffisso UPN non verificato: aggiornare l'attributo userPrincipalName locale
Oggetto utente locale:
mailNickName: user4
proxyAddresses: {SMTP:user1@contoso.com}
posta: user2@contoso.com
NomePrincipaleUtente: user5@contoso.com
Sincronizzazione dell'aggiornamento dell'attributo userPrincipalName locale con il tenant di Microsoft Entra
L'aggiornamento dell'attributo userPrincipalName locale attiva il ricalcolo dell'indirizzo MOERA e dell'attributo UserPrincipalName di Microsoft Entra.
Imposta MOERA su <MailNickName>@<dominio iniziale>.
Impostare l'attributo Microsoft Entra UserPrincipalName su MOERA.
Scenario 4: suffisso UPN non verificato: aggiornare l'indirizzo SMTP primario e l'attributo di posta locale
Oggetto utente locale:
mailNickName: user4
proxyAddresses: {SMTP:user6@contoso.com}
posta: user7@contoso.com
NomePrincipaleUtente: user5@contoso.com
Sincronizzazione dell'aggiornamento dell'attributo mail locale e dell'indirizzo SMTP primario con il tenant di Microsoft Entra
Dopo la sincronizzazione iniziale dell'oggetto utente, gli aggiornamenti all'attributo di posta elettronica locale e l'indirizzo SMTP primario non influiscono sull'attributo Microsoft Entra MailNickName o UserPrincipalName.
Scenario 5: Suffisso UPN verificato - aggiornamento del suffisso dell'attributo userPrincipalName in sede
Oggetto utente locale:
mailNickName: user4
proxyAddresses: {SMTP:user6@contoso.com}
posta: user7@contoso.com
NomePrincipaleUtente: user5@verified.contoso.com
Sincronizzazione dell'aggiornamento dell'attributo userPrincipalName locale con il tenant di Microsoft Entra
L'aggiornamento dell'attributo userPrincipalName locale attiva il ricalcolo dell'attributo UserPrincipalName di Microsoft Entra.
Impostare l'attributo UserPrincipalName di Microsoft Entra sull'attributo userPrincipalName locale poiché il suffisso UPN è verificato con il tenant di Microsoft Entra.
This module examines all the planning aspects that must be considered when implementing directory synchronization between on-premises Active Directory and Microsoft Entra ID.
Illustrare le funzionalità di Microsoft Entra ID per modernizzare le soluzioni di identità, implementare soluzioni ibride e implementare la governance delle identità.
