この記事では、Microsoft Entra ID での UserPrincipalName 属性の設定方法について説明します。 UserPrincipalName 属性の値は、ユーザー アカウントに対する Microsoft Entra のユーザー名です。
UPN の用語
この記事では、次の用語を使用します。
| 用語 | 説明 |
|---|---|
| 初期ドメイン | Microsoft Entra テナントでの既定のドメイン (onmicrosoft.com)。 たとえば、"contoso.onmicrosoft.com" などです。 |
| マイクロソフトオンラインメールルーティングアドレス (MOERA) | Microsoft Entra ID は、Microsoft Entra MailNickName 属性と Microsoft Entra 初期ドメインから MOERA を "<MailNickName>@<initial domain>" として計算します。 |
| オンプレミスの mailNickName 属性 | Active Directory 内の属性。Exchange 組織におけるユーザーの別名は、この属性の値によって表されます。 |
| オンプレミスのメール属性 | Active Directory 内の属性。ユーザーのメール アドレスは、この属性の値によって表されます。 |
| プライマリ SMTP アドレス | Exchange 受信者オブジェクトの通常のメール アドレス。 たとえば、"SMTP:user@contoso.com" などです。 |
| 代替ログイン ID | UserPrincipalName 以外でログインに使用されるオンプレミスの属性 (mail 属性など)。 |
UserPrincipalName とは
UserPrincipalName は、インターネット標準 RFC 822 に基づく属性で、ユーザーのインターネット形式のログイン名となります。
UPN の形式
UPN は、UPN プレフィックス (ユーザー アカウント名) と UPN サフィックス (DNS ドメイン名) とから成ります。 プレフィックスとサフィックスは、"@" 記号を使用して結合されます (例: "someone@example.com")。 UPN は、ディレクトリ フォレスト内のすべてのセキュリティ プリンシパル オブジェクトの中で一意であることが必要です。
Microsoft Entra ID の UPN
UPN は、ユーザーがログインできるようにするために Microsoft Entra ID によって使用されます。 ユーザーが使用できる UPN は、ドメインが検証されているかどうかによって異なります。 ドメインが検証されると、そのサフィックスを持つユーザーは Microsoft Entra ID にログインできるようになります。
この属性は、Microsoft Entra Connect によって同期されます。 検証済みのドメインとそうでないドメインは、インストール中に確認することができます。
代替ログイン ID
環境によっては、エンド ユーザーは電子メール アドレスのみを認識し、UPN を認識していない場合があります。 電子メール アドレスの使用は、企業のポリシーまたはオンプレミス基幹業務アプリの依存関係によって求められることがあります。
代替ログイン ID を使用すると、ユーザーがメールなどの UPN 以外の属性でログイン可能になるログイン エクスペリエンスを構成できます。
Microsoft Entra ID で代替ログイン ID を有効にするには、Microsoft Entra Connect を使用するときに追加の構成手順は必要ありません。 代替 ID は、ウィザードから直接構成することができます。 ユーザーの Microsoft Entra ログイン構成は、[同期] セクションに表示されます。[ユーザー プリンシパル名] ドロップダウンで、代替ログイン ID の属性を選びます。
詳細については、「代替ログイン ID の構成」および「Microsoft Entra ログイン構成」を参照してください。
未検証の UPN サフィックス
オンプレミスの UserPrincipalName 属性/代替ログイン ID サフィックスが Microsoft Entra テナントで検証されていない場合、Microsoft Entra UserPrincipalName 属性値にこのドメイン サフィックスを付けることはできません。 Microsoft Entra ID は、プレフィックスとして Microsoft Entra MailNickName 属性値に基づいて新しい UPN を計算し、ドメイン サフィックスとして Microsoft Entra 初期ドメイン (<MailNickName>@<initial domain>を計算します。
検証済みの UPN サフィックス
Microsoft Entra テナントで、オンプレミスの UserPrincipalName 属性と代替ログイン ID のサフィックスが検証されている場合は、Microsoft Entra の UserPrincipalName 属性の値は、オンプレミスの UserPrincipalName 属性および代替ログイン ID と同じになります。
警告
オンプレミスの UserPrincipalName に存在する無効な文字 (空白、改行など) は、同期された UPN 値を無効にします。 このような場合、Microsoft Entra ID は、ドメイン サフィックスが Microsoft Entra テナントで検証されないシナリオと同様に、新しい UPN を計算します。
Microsoft Entra の MailNickName 属性値の計算
Microsoft Entra UserPrincipalName 属性値は <MailNickName>@<initial domain>に再計算できるため、UPN プレフィックスとなる Microsoft Entra MailNickName 属性値がどのように計算されるかを理解することが重要です。
ユーザー オブジェクトが Microsoft Entra テナントに初めて同期されるときは、Microsoft Entra ID によって以下の項目がこの順序でチェックされて、最初に見つかったものに MailNickName 属性の値が設定されます。
- オンプレミスの mailNickName 属性
- プライマリ SMTP アドレスのプレフィックス
- オンプレミスメール属性の接頭辞
- オンプレミスの userPrincipalName 属性/代替ログイン ID のプレフィックス
- セカンダリ SMTP アドレスのプレフィックス
ユーザー オブジェクトへの更新が Microsoft Entra テナントに同期されるときは、オンプレミスの mailNickName 属性の値が更新された場合にだけ、Microsoft Entra ID によって MailNickName 属性の値が更新されます。
重要
オンプレミスの UserPrincipalName 属性または代替ログイン ID の値に対する更新が Microsoft Entra テナントに同期される場合にのみ、Microsoft Entra ID によって UserPrincipalName 属性値が再計算されます。
Microsoft Entra ID が UserPrincipalName 属性を再計算し、ユーザーに Exchange ライセンスが割り当てられている場合は常に、新しい UserPrincipalName 値もセカンダリ SMTP プロキシ アドレスとして追加されます。
検証済みドメインの変更操作 (たとえば、新しい検証済みドメインの追加や既存のドメインの削除) の場合、Microsoft Entra ID では、テナント上のすべてのユーザーの UserPrincipalName 属性も再計算されます。 詳しくは、「トラブルシューティング: 検証済みドメインの変更に関する監査データ」をご覧ください
UPN のシナリオ
以降、UPN がどのように計算されるかの例を、設定したシナリオごとに紹介します。
シナリオ 1: 未検証 UPN サフィックス – 初期同期
オンプレミス ユーザー オブジェクト:
mailNickName: <未設定>
proxyAddresses : {SMTP:user1@contoso.com}
電子メール: user2@contoso.com
userPrincipalName : user3@contoso.com
Microsoft Entra テナントにユーザー オブジェクトを初めて同期した
- Microsoft Entra の MailNickName 属性をプライマリ SMTP アドレスのプレフィックスに設定します。
- MOERA を <MailNickName>@<initial domain> に設定します。
- Microsoft Entra の UserPrincipalName 属性を MOERA に設定します。
Microsoft Entra テナントのユーザー オブジェクト:
MailNickName: user1
ユーザープリンシパル名: user1@contoso.onmicrosoft.com
シナリオ 2: 未検証 UPN サフィックス - オンプレミスの mailNickName 属性を設定する
オンプレミス ユーザー オブジェクト:
mailNickName: user4
proxyAddresses : {SMTP:user1@contoso.com}
電子メール: user2@contoso.com
userPrincipalName : user3@contoso.com
オンプレミスの mailNickName 属性での更新を Microsoft Entra テナントに同期する
- Microsoft Entra の MailNickName 属性を、オンプレミスの mailNickName 属性で更新します。
- オンプレミスの userPrincipalName 属性は更新されないため、Microsoft Entra UserPrincipalName 属性は変更されません。
Microsoft Entra テナントのユーザー オブジェクト:
MailNickName: user4
ユーザープリンシパル名: user1@contoso.onmicrosoft.com
シナリオ 3: 未検証 UPN サフィックス - オンプレミスの userPrincipalName 属性を更新する
オンプレミス ユーザー オブジェクト:
mailNickName: user4
proxyAddresses : {SMTP:user1@contoso.com}
電子メール: user2@contoso.com
userPrincipalName : user5@contoso.com
オンプレミスの userPrincipalName 属性での更新を Microsoft Entra テナントに同期する
- オンプレミスの userPrincipalName 属性を更新すると、MOERA と Microsoft Entra の UserPrincipalName 属性の再計算がトリガーされます。
- MOERA を <MailNickName>@<initial domain> に設定します。
- Microsoft Entra の UserPrincipalName 属性を MOERA に設定します。
Microsoft Entra テナントのユーザー オブジェクト:
MailNickName: user4
ユーザープリンシパル名: user4@contoso.onmicrosoft.com
シナリオ 4: 未検証の UPN サフィックス - プライマリ SMTP アドレスとオンプレミスの mail 属性を更新する
オンプレミス ユーザー オブジェクト:
mailNickName: user4
proxyAddresses : {SMTP:user6@contoso.com}
電子メール: user7@contoso.com
userPrincipalName : user5@contoso.com
オンプレミスのメール属性とプライマリ SMTP アドレスに対する更新を、Microsoft Entra テナントに同期する
- ユーザー オブジェクトの初期同期の後で、オンプレミスの mail 属性とプライマリ SMTP アドレスを更新しても、Microsoft Entra の MailNickName 属性または UserPrincipalName 属性は影響を受けません。
Microsoft Entra テナントのユーザー オブジェクト:
MailNickName: user4
ユーザープリンシパル名: user4@contoso.onmicrosoft.com
シナリオ 5: 検証済みの UPN サフィックス - オンプレミスの userPrincipalName 属性のサフィックスを更新
オンプレミス ユーザー オブジェクト:
mailNickName: user4
proxyAddresses : {SMTP:user6@contoso.com}
電子メール: user7@contoso.com
userPrincipalName : user5@verified.contoso.com
オンプレミスの userPrincipalName 属性での更新を Microsoft Entra テナントに同期する
- オンプレミスの userPrincipalName 属性を更新すると、Microsoft Entra の UserPrincipalName 属性の再計算がトリガーされます。
- Microsoft Entra テナントで UPN サフィックスが検証されているため、Microsoft Entra の UserPrincipalName 属性がオンプレミスの userPrincipalName 属性に設定されます。
Microsoft Entra テナントのユーザー オブジェクト:
MailNickName: user4
ユーザープリンシパル名: user5@verified.contoso.com