Microsoft Entra UserPrincipalName の作成
この記事では、Microsoft Entra ID での UserPrincipalName 属性の設定方法について説明します。 UserPrincipalName 属性の値は、ユーザー アカウントに対する Microsoft Entra のユーザー名です。
UPN の用語
この記事では、次の用語を使用します。
| 期間 | 説明 |
|---|---|
| 初期ドメイン | Microsoft Entra テナントでの既定のドメイン (onmicrosoft.com)。 たとえば、contoso.onmicrosoft.com です。 |
| Microsoft Online Email Routing Address (MOERA) | Microsoft Entra ID では、MOERA は、Microsoft Entra の MailNickName 属性と、Microsoft Entra の初期ドメインから、<MailNickName>@<初期ドメイン> として計算されます。 |
| オンプレミスの mailNickName 属性 | Active Directory 内の属性。Exchange 組織におけるユーザーの別名は、この属性の値によって表されます。 |
| オンプレミスの mail 属性 | Active Directory 内の属性。ユーザーのメール アドレスは、この属性の値によって表されます。 |
| プライマリ SMTP アドレス | Exchange 受信者オブジェクトの通常のメール アドレス。 たとえば、SMTP: user@contoso.com です。 |
| 代替ログイン ID | UserPrincipalName 以外でサインインに使用されるオンプレミスの属性 (mail 属性など)。 |
UserPrincipalName とは
UserPrincipalName は、インターネット標準 RFC 822 に基づく属性で、ユーザーのインターネット形式のログイン名となります。
UPN の形式
UPN は、UPN プレフィックス (ユーザー アカウント名) と UPN サフィックス (DNS ドメイン名) とから成ります。 プレフィックスとサフィックスは、"@" 記号を使用して結合されます (例: "someone@example.com")。 UPN は、ディレクトリ フォレスト内のすべてのセキュリティ プリンシパル オブジェクトの中で一意であることが必要です。
Microsoft Entra ID の UPN
UPN は、ユーザーにサインインを許可するために Microsoft Entra ID によって使われます。 ユーザーが使用できる UPN は、ドメインが検証済みであるかどうかによって異なります。 ドメインが検証済みである場合、そのサフィックスを持つユーザーは、Microsoft Entra ID にサインインすることを許可されます。
この属性は、Microsoft Entra Connect によって同期されます。 検証済みのドメインとそうでないドメインは、インストール中に確認することができます。
代替ログイン ID
環境によっては、エンド ユーザーは電子メール アドレスのみを認識し、UPN を認識していない場合があります。 電子メール アドレスの使用は、企業のポリシーまたはオンプレミス基幹業務アプリの依存関係によって求められることがあります。
代替ログイン ID を使用すると、ユーザーがメールなどの UPN 以外の属性でサインイン可能になるサインイン エクスペリエンスを構成できます。
Microsoft Entra Connect を使っている場合、Microsoft Entra ID で代替ログイン ID を有効にするために追加の構成手順は必要ありません。 代替 ID は、ウィザードから直接構成することができます。 ユーザーの Microsoft Entra サインイン構成は、[同期] セクションに表示されます。[ユーザー プリンシパル名] ボックスの一覧で、代替ログイン ID の属性を選択してください。
詳細については、「代替ログイン ID を構成する」と「Microsoft Entra のサインイン構成」を参照してください
未検証の UPN サフィックス
Microsoft Entra テナントで、オンプレミスの UserPrincipalName 属性と代替ログイン ID のサフィックスが検証されていない場合、Microsoft Entra の UserPrincipalName 属性の値は MOERA に設定されます。 Microsoft Entra ID では、MOERA は、Microsoft Entra の MailNickName 属性と、Microsoft Entra の初期ドメインから、<MailNickName>@<初期ドメイン> として計算されます。
検証済みの UPN サフィックス
Microsoft Entra テナントで、オンプレミスの UserPrincipalName 属性と代替ログイン ID のサフィックスが検証されている場合は、Microsoft Entra の UserPrincipalName 属性の値は、オンプレミスの UserPrincipalName 属性および代替ログイン ID と同じになります。
Microsoft Entra の MailNickName 属性値の計算
Microsoft Entra の UserPrincipalName 属性の値が MOERA に設定される可能性があるので、Microsoft Entra の MailNickName 属性の値 (MOERA プレフィックス) がどのように計算されるかを理解しておくことが大切です。
ユーザー オブジェクトが Microsoft Entra テナントに初めて同期されるときは、Microsoft Entra ID によって以下の項目がこの順序でチェックされて、最初に見つかったものに MailNickName 属性の値が設定されます。
- オンプレミスの mailNickName 属性
- プライマリ SMTP アドレスのプレフィックス
- オンプレミスの mail 属性のプレフィックス
- オンプレミスの userPrincipalName 属性/代替ログイン ID のプレフィックス
- セカンダリ SMTP アドレスのプレフィックス
ユーザー オブジェクトへの更新が Microsoft Entra テナントに同期されるときは、オンプレミスの mailNickName 属性の値が更新された場合にだけ、Microsoft Entra ID によって MailNickName 属性の値が更新されます。
重要
オンプレミスの UserPrincipalName 属性または代替ログイン ID の値に対する更新が Microsoft Entra テナントに同期される場合にのみ、Microsoft Entra ID によって UserPrincipalName 属性の値が再計算されます。
Microsoft Entra ID が UserPrincipalName 属性を再計算するときは常に、MOERA も再計算されます。
検証済みドメインが変更された場合、Microsoft Entra ID は UserPrincipalName 属性も再計算します。 詳しくは、「トラブルシューティング: 検証済みドメインの変更に関する監査データ」をご覧ください
UPN のシナリオ
以降、UPN がどのように計算されるかの例を、設定したシナリオごとに紹介します。
シナリオ 1:未検証の UPN サフィックス - 初期同期
オンプレミス ユーザー オブジェクト:
- mailNickName: <未設定>
- proxyAddresses: {SMTP:us1@contoso.com}
- 電子メール: us2@contoso.com
- userPrincipalName: us3@contoso.com
Microsoft Entra テナントにユーザー オブジェクトを初めて同期した
- Microsoft Entra の MailNickName 属性をプライマリ SMTP アドレスのプレフィックスに設定します。
- MOERA を <MailNickName>@<initial domain> に設定します。
- Microsoft Entra の UserPrincipalName 属性を MOERA に設定します。
Microsoft Entra テナントのユーザー オブジェクト:
- MailNickName : us1
- UserPrincipalName: us1@contoso.onmicrosoft.com
シナリオ 2: 未検証の UPN サフィックス - オンプレミスの mailNickName 属性を設定
オンプレミス ユーザー オブジェクト:
- mailNickName: us4
- proxyAddresses: {SMTP:us1@contoso.com}
- 電子メール: us2@contoso.com
- userPrincipalName: us3@contoso.com
オンプレミスの mailNickName 属性での更新を Microsoft Entra テナントに同期する
- Microsoft Entra の MailNickName 属性を、オンプレミスの mailNickName 属性で更新します。
- オンプレミスの userPrincipalName 属性は更新されていないので、Microsoft Entra の UserPrincipalName 属性への変更はありません。
Microsoft Entra テナントのユーザー オブジェクト:
- MailNickName: us4
- UserPrincipalName: us1@contoso.onmicrosoft.com
シナリオ 3: 未検証の UPN サフィックス - オンプレミスの userPrincipalName 属性を更新
オンプレミス ユーザー オブジェクト:
- mailNickName: us4
- proxyAddresses: {SMTP:us1@contoso.com}
- 電子メール: us2@contoso.com
- userPrincipalName: us5@contoso.com
オンプレミスの userPrincipalName 属性での更新を Microsoft Entra テナントに同期する
- オンプレミスの userPrincipalName 属性を更新すると、MOERA と Microsoft Entra の UserPrincipalName 属性の再計算がトリガーされます。
- MOERA を <MailNickName>@<initial domain> に設定します。
- Microsoft Entra の UserPrincipalName 属性を MOERA に設定します。
Microsoft Entra テナントのユーザー オブジェクト:
- MailNickName: us4
- UserPrincipalName: us4@contoso.onmicrosoft.com
シナリオ 4: 未検証の UPN サフィックス - プライマリ SMTP アドレスとオンプレミスの mail 属性を更新
オンプレミス ユーザー オブジェクト:
- mailNickName: us4
- proxyAddresses: {SMTP:us6@contoso.com}
- 電子メール: us7@contoso.com
- userPrincipalName: us5@contoso.com
オンプレミスのメール属性とプライマリ SMTP アドレスに対する更新を、Microsoft Entra テナントに同期する
- ユーザー オブジェクトの初期同期の後で、オンプレミスのメール属性とプライマリ SMTP アドレスを更新しても、Microsoft Entra の MailNickName 属性または UserPrincipalName 属性は影響を受けません。
Microsoft Entra テナントのユーザー オブジェクト:
- MailNickName: us4
- UserPrincipalName: us4@contoso.onmicrosoft.com
シナリオ 5: 検証済みの UPN サフィックス - オンプレミスの userPrincipalName 属性のサフィックスを更新
オンプレミス ユーザー オブジェクト:
- mailNickName: us4
- proxyAddresses: {SMTP:us6@contoso.com}
- 電子メール: us7@contoso.com
- userPrincipalName: us5@verified.contoso.com
オンプレミスの userPrincipalName 属性での更新を Microsoft Entra テナントに同期する
- オンプレミスの userPrincipalName 属性を更新すると、Microsoft Entra の UserPrincipalName 属性の再計算がトリガーされます。
- Microsoft Entra テナントで UPN サフィックスが検証されているため、Microsoft Entra の UserPrincipalName 属性がオンプレミスの userPrincipalName 属性に設定されます。
Microsoft Entra テナントのユーザー オブジェクト:
- MailNickName: us4
- UserPrincipalName: us5@verified.contoso.com