Wijzigingen in User Principal Name plannen en oplossen in Microsoft Entra-id
Het UPN-kenmerk (User Principal Name) is een internetcommunicatiestandaard voor gebruikersaccounts. Een UPN bestaat uit:
- Voorvoegsel: gebruikersnaam
- Achtervoegsel: DNS-domeinnaam (Domain Name Server)
Het voorvoegsel wordt toegevoegd aan het achtervoegsel met het symbool @. Bijvoorbeeld: someone@example.com. Zorg er tijdens de planning voor dat de UPN uniek is tussen beveiligingsprincipaalobjecten in een directoryforest.
Notitie
In dit artikel wordt ervan uitgegaan dat de UPN de gebruikers-id is. In het artikel wordt het plannen en herstellen van UPN-wijzigingen opgelost op basis van problemen die kunnen voortvloeien uit wijzigingen. Ontwikkelaars wordt aangeraden de gebruikersobject-id te gebruiken als onveranderbare id, in plaats van UPN of e-mailadressen.
Redenen voor UPN-wijzigingen
Wanneer de waarde de UPN van de gebruiker is, vragen aanmeldingspagina's vaak gebruikers om een e-mailadres in te voeren. Wanneer het primaire e-mailadres van de gebruiker wordt gewijzigd, wijzigt u daarom de UPN van de gebruiker. Over het algemeen verandert het primaire e-mailadres van een gebruiker om de volgende redenen:
- Naam van werknemer wijzigen
- Verplaatsing van werknemer
- Herstructureringswijzigingen die van invloed zijn op het achtervoegsel
- Wijzigingen in fusie en/of overname
Wijzigingen in upn-voor- en achtervoegsel
U wordt aangeraden de UPN van gebruikers te wijzigen wanneer het primaire e-mailadres wordt gewijzigd. Zorg er tijdens de eerste synchronisatie van Active Directory met Microsoft Entra ID voor dat gebruikers-e-mails en UPN's identiek zijn. Zie het volgende voorbeeldvoorvoegsel en achtervoegselwijzigingen.
Voorbeelden van wijziging van voorvoegsel:
- Van BSimon@contoso.com naar BJohnson@contoso.com
- Van Bsimon@contoso.com naar Britta.Simon@contoso.com
Voorbeelden van achtervoegsels wijzigen:
- Van Britta.Simon@contoso.com tot Britta.Simon@contosolabs.com
- Van Britta.Simon@corp. contoso.com Britta.Simon@labs.contoso.com
De UPN's in Active Directory
In Active Directory is het standaard UPN-achtervoegsel de DNS waar u het gebruikersaccount hebt gemaakt. In de meeste gevallen registreert u deze domeinnaam als het ondernemingsdomein. Als u het gebruikersaccount in het contoso.com domein maakt, is de standaard-UPN: username@contoso.com. Voeg meer UPN-achtervoegsels toe met Active Directory-domeinen en -vertrouwensrelaties. Als u bijvoorbeeld labs.contoso.com toevoegt en de UPN's en e-mail van de gebruiker zo wijzigt dat, is het resultaat: username@labs.contoso.com.
U kunt uw aangepaste domeinnaam toevoegen aan uw tenant.
Belangrijk
Als u het achtervoegsel in Active Directory wijzigt, voegt u een overeenkomende aangepaste domeinnaam toe en verifieert u deze in Microsoft Entra-id.
UPN's in Microsoft Entra-id
Gebruikers melden zich aan bij Microsoft Entra-id met hun kenmerkwaarde userPrincipalName.
Wanneer u Microsoft Entra ID gebruikt met on-premises Active Directory, worden gebruikersaccounts gesynchroniseerd met de Microsoft Entra Verbinding maken-service. De wizard Microsoft Entra Verbinding maken maakt gebruik van het kenmerk userPrincipalName uit de on-premises Active Directory als upn in Microsoft Entra-id. U kunt hem wijzigen naar een ander kenmerk in een aangepaste installatie.
Notitie
Definieer een proces voor het bijwerken van een UPN (User Principal Name) voor gebruikers en uw organisatie.
Wanneer u gebruikersaccounts van Active Directory synchroniseert met Microsoft Entra ID, moet u ervoor zorgen dat de UPN's in Active Directory worden toegewezen aan geverifieerde domeinen in Microsoft Entra-id. Als de kenmerkwaarde userPrincipalName niet overeenkomt met een geverifieerd domein in Microsoft Entra ID, vervangt synchronisatie het achtervoegsel door .onmicrosoft.com.
Implementatie van bulk-UPN-wijziging
Als u bulksgewijs UPN-wijzigingen wilt testen, maakt u een getest terugdraaiplan om UPN's terug te zetten. Richt voor de testfase kleine gebruikerssets op met organisatierollen en sets apps of apparaten. Dit proces helpt u inzicht te hebben in de gebruikerservaring. Neem deze informatie op in wijzigingscommunicatie voor belanghebbenden en gebruikers.
Meer informatie over Microsoft Entra-implementatieplannen.
U wordt aangeraden een procedure te maken voor het wijzigen van UPN's voor afzonderlijke gebruikers. Neem documentatie over bekende problemen en tijdelijke oplossingen op. Zie de volgende secties voor meer informatie.
Problemen met SaaS- en LoB-apps
SaaS-toepassingen (Software as a Service) en LobB-toepassingen (Line-Of-Business) zijn vaak afhankelijk van UPN's om gebruikers te vinden en gebruikersprofielgegevens op te slaan, inclusief rollen. Toepassingen die mogelijk worden beïnvloed door UPN-wijzigingen, maken gebruik van Just-In-Time-inrichting (JIT) om een gebruikersprofiel te maken wanneer gebruikers zich in eerste instantie aanmelden bij de app.
Meer informatie:
Bekende problemen: Verbroken relatie, nieuw profiel
Wijzigingen in gebruikers-UPN kunnen de relatie tussen de Microsoft Entra-gebruiker en het gebruikersprofiel in de toepassing verbreken. Als de toepassing gebruikmaakt van JIT-inrichting, kan er een nieuw gebruikersprofiel worden gemaakt. Vervolgens brengt de toepassing Beheer istrator handmatige wijzigingen aan om de relatie op te lossen.
Tijdelijke oplossingen: Geautomatiseerde inrichting
Gebruik geautomatiseerde app-inrichting in Microsoft Entra ID in ondersteunde cloudtoepassingen om gebruikersidentiteiten te maken, te onderhouden en te verwijderen. Als u UPN's voor de toepassing wilt bijwerken, configureert u geautomatiseerde inrichting van gebruikers voor uw toepassingen. Test toepassingen om geslaagde UPN-wijzigingen te valideren. Ontwikkelaars kunnen ondersteuning voor System for Cross-domain Identity Management (SCIM) toevoegen aan toepassingen om automatische inrichting van gebruikers mogelijk te maken.
Meer informatie:
- Wat is app-inrichting in Microsoft Entra ID?
- Zelfstudie: Inrichting ontwikkelen en plannen voor een SCIM-eindpunt in Microsoft Entra-id
Problemen met beheerde apparaten
Als u de productiviteit van gebruikers wilt maximaliseren met eenmalige aanmelding (SSO) in de cloud en on-premises resources, brengt u apparaten naar Microsoft Entra ID.
Meer informatie over wat is een apparaat-id?
Aan Microsoft Entra gekoppelde apparaten
Ongeacht de grootte of branche kunnen organisaties microsoft Entra-gekoppelde apparaten implementeren. Microsoft Entra join werkt in hybride omgevingen, waardoor toegang tot cloud- en on-premises apps en resources mogelijk is. Aan Microsoft Entra gekoppelde apparaten worden gekoppeld aan Microsoft Entra ID. Gebruikers melden zich aan bij het apparaat met hun organisatie-id.
Meer informatie over aan Microsoft Entra gekoppelde apparaten.
Bekende problemen: eenmalige aanmelding
Gebruikers kunnen problemen met eenmalige aanmelding ondervinden met toepassingen die afhankelijk zijn van Microsoft Entra-id voor verificatie. Dit probleem is opgelost in de Update van Windows 10 mei-2020.
Tijdelijke oplossing
Sta tijd toe voordat de UPN-wijziging wordt gesynchroniseerd met Microsoft Entra-id.
Controleer of de nieuwe UPN wordt weergegeven in het Microsoft Entra-beheercentrum.
Laat gebruikers andere gebruikers selecteren om zich aan te melden met een nieuwe UPN.
Controleer met Get-MgUser in Microsoft Graph PowerShell.
Notitie
Nadat gebruikers zich hebben aangemeld met een nieuwe UPN, kunnen verwijzingen naar de vorige UPN worden weergegeven in de Windows-instelling voor Werk- of schooltoegang .
Problemen met hybride gekoppelde Apparaten van Microsoft Entra
Hybride apparaten van Microsoft Entra zijn gekoppeld aan Active Directory en Microsoft Entra ID. Implementeer hybride deelname van Microsoft Entra als uw omgeving een on-premises Active Directory-footprint heeft.
Meer informatie over hybride apparaten die zijn toegevoegd aan Microsoft Entra.
Bekende problemen: hybride apparaten die zijn toegevoegd aan Windows 10 Microsoft Entra
Windows 10 Hybride apparaten die zijn toegevoegd aan Microsoft Entra, ondervinden onverwachte herstarts en toegangsproblemen. Als gebruikers zich aanmelden bij Windows voordat de nieuwe UPN wordt gesynchroniseerd met Microsoft Entra ID, kunnen ze SSO-problemen ondervinden met apps die Gebruikmaken van Microsoft Entra ID voor verificatie. Dit scenario kan zich voordoen als gebruikers zich in een Windows-sessie bevinden. Deze situatie treedt op als voorwaardelijke toegang is geconfigureerd om het gebruik van hybride gekoppelde apparaten af te dwingen voor toegang tot resources. Bovendien kan het volgende bericht na één minuut opnieuw opstarten afdwingen:
Uw pc wordt in één minuut automatisch opnieuw opgestart. 'Er is een probleem opgetreden op Windows en de pc moet opnieuw worden opgestart. Sluit dit bericht nu en sla uw werk op.
Dit probleem is opgelost in de Update van Windows 10 mei-2020.
Tijdelijke oplossing
- Ontkoppel het apparaat van Microsoft Entra ID.
- Opnieuw starten.
- Het apparaat wordt lid van Microsoft Entra-id.
- Als u zich wilt aanmelden, selecteert de gebruiker Andere gebruiker.
Voer de volgende opdracht uit bij een opdrachtprompt: dsregcmd/leave om een apparaat los te maken van Microsoft Entra ID
Notitie
Als u Windows Hello voor Bedrijven gebruikt, worden gebruikers opnieuw ingeschreven voor Windows Hello voor Bedrijven.
Tip
Windows 7- en 8.1-apparaten worden niet beïnvloed door dit probleem.
Mobile Application Management-app-beveiligingsbeleid
Bekende problemen: Verbroken verbindingen
Als uw organisatie Mobile Application Management (MAM) gebruikt om bedrijfsgegevens te beveiligen, is het beveiligingsbeleid voor MAM-apps niet tolerant tijdens upn-wijzigingen. Dit probleem kan de verbinding tussen MAM-inschrijvingen en actieve gebruikers in geïntegreerde MAM-toepassingen verbreken. In dit scenario kunnen gegevens niet worden beveiligd.
Meer informatie:
Tijdelijke oplossing
Nadat UPN is gewijzigd, worden gegevens van betrokken apparaten gewist door de Beheer istrator om gebruikers te dwingen opnieuw te verifiëren en opnieuw in te schrijven bij nieuwe UPN's.
Meer informatie over het wissen van alleen bedrijfsgegevens uit door Intune beheerde apps.
Problemen met Microsoft Authenticator
Als voor uw organisatie Authenticator is vereist om zich aan te melden en toegang te krijgen tot toepassingen en gegevens, kan er een gebruikersnaam worden weergegeven in de app. Het account is echter geen verificatiemethode totdat gebruikers de registratie hebben voltooid.
Meer informatie over het gebruik van Authenticator.
Authenticator-app heeft vier hoofdfuncties:
- Meervoudige verificatie met pushmelding of verificatiecode
- Verificatiebroker op iOS- en Android-apparaten voor eenmalige aanmelding bij toepassingen met brokered-verificatie
- Apparaatregistratie of werkplek koppelen aan Microsoft Entra-id, wat een vereiste is voor Intune-app-beveiliging en apparaatregistratie/-beheer
- Telefoon aanmelden, waarvoor MFA en apparaatregistratie is vereist
Meervoudige verificatie met Android-apparaten
Verificator gebruiken voor verificatie buiten de band. Met meervoudige verificatie wordt een melding naar Authenticator op het gebruikersapparaat gepusht, in plaats van een automatische oproep- of kortberichtservice (SMS) naar de gebruiker.
- De gebruiker selecteert Goedkeuren, voert een pincode in of voert een biometrische gegevens in.
- De gebruiker selecteert Verifiëren.
Meer informatie over hoe het werkt: Meervoudige verificatie van Microsoft Entra.
Bekende problemen: melding niet ontvangen
Wanneer u upn van gebruiker wijzigt, wordt de vorige UPN weergegeven in het gebruikersaccount. Mogelijk wordt er geen melding ontvangen. Gebruik in plaats daarvan verificatiecodes.
Bekijk een lijst met veelgestelde vragen over Authenticator.
Tijdelijke oplossing
- Als er een melding wordt weergegeven, geeft u de gebruiker de opdracht om deze te sluiten.
- Open Authenticator.
- Selecteer Controleren op meldingen.
- Keur de MFA-prompt goed.
- De UPN op de accountupdates.
Notitie
De bijgewerkte UPN kan worden weergegeven als een nieuw account. Deze wijziging wordt veroorzaakt door andere Verificator-functionaliteit.
Brokered-verificatie
In Android en iOS schakelen brokers zoals Authenticator het volgende in:
- SSO: Gebruikers melden zich niet aan bij elke toepassing
- Apparaatidentificatie: de broker heeft toegang tot het apparaatcertificaat dat op het apparaat is gemaakt toen het aan de werkplek werd toegevoegd
- Verificatie van toepassingsidentificatie: wanneer een toepassing de broker aanroept, wordt de omleidings-URL doorgegeven en wordt deze geverifieerd door de broker
Meer informatie:
- Documentatie voor voorwaardelijke toegang van Microsoft Entra
- Gebruik Authenticator of Intune-bedrijfsportal in Xamarin-toepassingen.
Bekende problemen: gebruikersprompts
Vanwege een onjuiste overeenkomst tussen de login_hint
door de toepassing doorgegeven en de UPN op de broker, ondervindt de gebruiker meer verificatieprompts met aanmelding via broker.
Tijdelijke oplossing
De gebruiker verwijdert het account handmatig uit Authenticator en start een nieuwe aanmelding vanuit een door broker ondersteunde toepassing. Na de eerste verificatie wordt het account toegevoegd.
Apparaatregistratie
Authenticator registreert het apparaat in Microsoft Entra ID, waarmee het apparaat kan worden geverifieerd bij Microsoft Entra-id. Deze registratie is vereist voor:
- Intune-app-beveiliging
- Intune-apparaatinschrijving
- Aanmelding via telefoon
Bekende problemen: Nieuw account wordt weergegeven
Als u UPN wijzigt, wordt er een nieuw account met de nieuwe UPN weergegeven in de Verificator. Het account met de vorige UPN blijft behouden. De vorige UPN wordt ook weergegeven in apparaatregistratie in app-instellingen. Er is geen wijziging in de functionaliteit van apparaatregistratie of afhankelijke scenario's.
Tijdelijke oplossing
Als u verwijzingen naar de vorige UPN in Authenticator wilt verwijderen, verwijdert de gebruiker de vorige en nieuwe accounts uit Authenticator. De gebruiker registreert zich opnieuw voor MFA en neemt opnieuw toegang tot het apparaat.
Aanmelding via telefoon
Gebruik de aanmelding via telefoon om u aan te melden bij Microsoft Entra ID zonder een wachtwoord. Met Authenticator registreert de gebruiker zich voor MFA en schakelt vervolgens aanmelding via de telefoon in. Het apparaat wordt geregistreerd bij Microsoft Entra-id.
Bekende problemen: geen melding
Gebruikers kunnen geen telefoonmelding gebruiken omdat ze geen melding hebben ontvangen. Als de gebruiker Controleren op meldingen selecteert, wordt er een fout weergegeven.
Tijdelijke oplossing
In het account dat is ingeschakeld voor telefoonaanmelding, selecteert de gebruiker in de vervolgkeuzelijst Telefoonaanmelding uitschakelen.
Problemen met de beveiligingssleutel (FIDO2)
Bekende problemen: Accountselectie
Wanneer meerdere gebruikers zijn geregistreerd op dezelfde sleutel, wordt accountselectie weergegeven waar de vorige UPN wordt weergegeven. UPN-wijzigingen zijn niet van invloed op aanmelding met beveiligingssleutels.
Tijdelijke oplossing
Als u verwijzingen naar eerdere UPN's wilt verwijderen, stellen gebruikers de beveiligingssleutel opnieuw in en registreren ze opnieuw.
U kunt aanmelding zonder wachtwoord voor beveiligingssleutels, bekend probleem, UPN-wijzigingen inschakelen.
Problemen met OneDrive
OneDrive-gebruikers kunnen problemen ondervinden nadat UPN is gewijzigd.
Lees hoe UPN-wijzigingen van invloed zijn op de functies van oneDrive-URL en OneDrive.
Problemen met vergaderingsnotities in Teams
Gebruik Teams-vergaderingsnotities om notities te maken en te delen.
Bekende problemen: Niet-toegankelijke notities
Wanneer een gebruiker UPN wijzigt, zijn vergaderingsnotities die met de vorige UPN zijn gemaakt, niet toegankelijk met Microsoft Teams of de URL voor vergaderingsnotities.
Tijdelijke oplossing
Nadat de UPN is gewijzigd, kunnen gebruikers notities downloaden uit OneDrive.
- Ga naar Mijn bestanden.
- Selecteer Microsoft Teams-gegevens.
- Selecteer Wiki.
Nieuwe vergaderingsnotities die zijn gemaakt nadat de UPN-wijziging niet is beïnvloed.