Share via

Wijzigingen in User Principal Name plannen en oplossen in Microsoft Entra-id

  • Artikel

Het UPN-kenmerk (User Principal Name) is een internetcommunicatiestandaard voor gebruikersaccounts. Een UPN bestaat uit:

  • Voorvoegsel: gebruikersnaam
  • Achtervoegsel: DNS-domeinnaam (Domain Name Server)

Het voorvoegsel wordt toegevoegd aan het achtervoegsel met het symbool @. Bijvoorbeeld: someone@example.com. Zorg er tijdens de planning voor dat de UPN uniek is tussen beveiligingsprincipaalobjecten in een directoryforest.

Notitie

In dit artikel wordt ervan uitgegaan dat de UPN de gebruikers-id is. In het artikel wordt het plannen en herstellen van UPN-wijzigingen opgelost op basis van problemen die kunnen voortvloeien uit wijzigingen. Ontwikkelaars wordt aangeraden de gebruikersobject-id te gebruiken als onveranderbare id, in plaats van UPN of e-mailadressen.

Redenen voor UPN-wijzigingen

Wanneer de waarde de UPN van de gebruiker is, vragen aanmeldingspagina's vaak gebruikers om een e-mailadres in te voeren. Wanneer het primaire e-mailadres van de gebruiker wordt gewijzigd, wijzigt u daarom de UPN van de gebruiker. Over het algemeen verandert het primaire e-mailadres van een gebruiker om de volgende redenen:

  • Naam van werknemer wijzigen
  • Verplaatsing van werknemer
  • Herstructureringswijzigingen die van invloed zijn op het achtervoegsel
  • Wijzigingen in fusie en/of overname

Wijzigingen in upn-voor- en achtervoegsel

U wordt aangeraden de UPN van gebruikers te wijzigen wanneer het primaire e-mailadres wordt gewijzigd. Zorg er tijdens de eerste synchronisatie van Active Directory met Microsoft Entra ID voor dat gebruikers-e-mails en UPN's identiek zijn. Zie het volgende voorbeeldvoorvoegsel en achtervoegselwijzigingen.

Voorbeelden van wijziging van voorvoegsel:

  • Van BSimon@contoso.com naar BJohnson@contoso.com
  • Van Bsimon@contoso.com naar Britta.Simon@contoso.com

Voorbeelden van achtervoegsels wijzigen:

  • Van Britta.Simon@contoso.com tot Britta.Simon@contosolabs.com
  • Van Britta.Simon@corp. contoso.com Britta.Simon@labs.contoso.com

De UPN's in Active Directory

In Active Directory is het standaard UPN-achtervoegsel de DNS waar u het gebruikersaccount hebt gemaakt. In de meeste gevallen registreert u deze domeinnaam als het ondernemingsdomein. Als u het gebruikersaccount in het contoso.com domein maakt, is de standaard-UPN: username@contoso.com. Voeg meer UPN-achtervoegsels toe met Active Directory-domeinen en -vertrouwensrelaties. Als u bijvoorbeeld labs.contoso.com toevoegt en de UPN's en e-mail van de gebruiker zo wijzigt dat, is het resultaat: username@labs.contoso.com.

U kunt uw aangepaste domeinnaam toevoegen aan uw tenant.

Belangrijk

Als u het achtervoegsel in Active Directory wijzigt, voegt u een overeenkomende aangepaste domeinnaam toe en verifieert u deze in Microsoft Entra-id.

Schermopname van de optie Klantdomein toevoegen onder Aangepaste domeinnamen.

UPN's in Microsoft Entra-id

Gebruikers melden zich aan bij Microsoft Entra-id met hun kenmerkwaarde userPrincipalName.

Wanneer u Microsoft Entra ID gebruikt met on-premises Active Directory, worden gebruikersaccounts gesynchroniseerd met de Microsoft Entra Verbinding maken-service. De wizard Microsoft Entra Verbinding maken maakt gebruik van het kenmerk userPrincipalName uit de on-premises Active Directory als upn in Microsoft Entra-id. U kunt hem wijzigen naar een ander kenmerk in een aangepaste installatie.

Notitie

Definieer een proces voor het bijwerken van een UPN (User Principal Name) voor gebruikers en uw organisatie.

Wanneer u gebruikersaccounts van Active Directory synchroniseert met Microsoft Entra ID, moet u ervoor zorgen dat de UPN's in Active Directory worden toegewezen aan geverifieerde domeinen in Microsoft Entra-id. Als de kenmerkwaarde userPrincipalName niet overeenkomt met een geverifieerd domein in Microsoft Entra ID, vervangt synchronisatie het achtervoegsel door .onmicrosoft.com.

Implementatie van bulk-UPN-wijziging

Als u bulksgewijs UPN-wijzigingen wilt testen, maakt u een getest terugdraaiplan om UPN's terug te zetten. Richt voor de testfase kleine gebruikerssets op met organisatierollen en sets apps of apparaten. Dit proces helpt u inzicht te hebben in de gebruikerservaring. Neem deze informatie op in wijzigingscommunicatie voor belanghebbenden en gebruikers.

Meer informatie over Microsoft Entra-implementatieplannen.

U wordt aangeraden een procedure te maken voor het wijzigen van UPN's voor afzonderlijke gebruikers. Neem documentatie over bekende problemen en tijdelijke oplossingen op. Zie de volgende secties voor meer informatie.

Problemen met SaaS- en LoB-apps

SaaS-toepassingen (Software as a Service) en LobB-toepassingen (Line-Of-Business) zijn vaak afhankelijk van UPN's om gebruikers te vinden en gebruikersprofielgegevens op te slaan, inclusief rollen. Toepassingen die mogelijk worden beïnvloed door UPN-wijzigingen, maken gebruik van Just-In-Time-inrichting (JIT) om een gebruikersprofiel te maken wanneer gebruikers zich in eerste instantie aanmelden bij de app.

Meer informatie:

Bekende problemen: Verbroken relatie, nieuw profiel

Wijzigingen in gebruikers-UPN kunnen de relatie tussen de Microsoft Entra-gebruiker en het gebruikersprofiel in de toepassing verbreken. Als de toepassing gebruikmaakt van JIT-inrichting, kan er een nieuw gebruikersprofiel worden gemaakt. Vervolgens brengt de toepassing Beheer istrator handmatige wijzigingen aan om de relatie op te lossen.

Tijdelijke oplossingen: Geautomatiseerde inrichting

Gebruik geautomatiseerde app-inrichting in Microsoft Entra ID in ondersteunde cloudtoepassingen om gebruikersidentiteiten te maken, te onderhouden en te verwijderen. Als u UPN's voor de toepassing wilt bijwerken, configureert u geautomatiseerde inrichting van gebruikers voor uw toepassingen. Test toepassingen om geslaagde UPN-wijzigingen te valideren. Ontwikkelaars kunnen ondersteuning voor System for Cross-domain Identity Management (SCIM) toevoegen aan toepassingen om automatische inrichting van gebruikers mogelijk te maken.

Meer informatie:

Problemen met beheerde apparaten

Als u de productiviteit van gebruikers wilt maximaliseren met eenmalige aanmelding (SSO) in de cloud en on-premises resources, brengt u apparaten naar Microsoft Entra ID.

Meer informatie over wat is een apparaat-id?

Aan Microsoft Entra gekoppelde apparaten

Ongeacht de grootte of branche kunnen organisaties microsoft Entra-gekoppelde apparaten implementeren. Microsoft Entra join werkt in hybride omgevingen, waardoor toegang tot cloud- en on-premises apps en resources mogelijk is. Aan Microsoft Entra gekoppelde apparaten worden gekoppeld aan Microsoft Entra ID. Gebruikers melden zich aan bij het apparaat met hun organisatie-id.

Meer informatie over aan Microsoft Entra gekoppelde apparaten.

Bekende problemen: eenmalige aanmelding

Gebruikers kunnen problemen met eenmalige aanmelding ondervinden met toepassingen die afhankelijk zijn van Microsoft Entra-id voor verificatie. Dit probleem is opgelost in de Update van Windows 10 mei-2020.

Tijdelijke oplossing

  1. Sta tijd toe voordat de UPN-wijziging wordt gesynchroniseerd met Microsoft Entra-id.

  2. Controleer of de nieuwe UPN wordt weergegeven in het Microsoft Entra-beheercentrum.

  3. Laat gebruikers andere gebruikers selecteren om zich aan te melden met een nieuwe UPN.

  4. Controleer met Get-MgUser in Microsoft Graph PowerShell.

    Notitie

    Nadat gebruikers zich hebben aangemeld met een nieuwe UPN, kunnen verwijzingen naar de vorige UPN worden weergegeven in de Windows-instelling voor Werk- of schooltoegang .

    Schermopname van gebruikers-1- en andere gebruikersdomeinen op het aanmeldingsscherm.

Problemen met hybride gekoppelde Apparaten van Microsoft Entra

Hybride apparaten van Microsoft Entra zijn gekoppeld aan Active Directory en Microsoft Entra ID. Implementeer hybride deelname van Microsoft Entra als uw omgeving een on-premises Active Directory-footprint heeft.

Meer informatie over hybride apparaten die zijn toegevoegd aan Microsoft Entra.

Bekende problemen: hybride apparaten die zijn toegevoegd aan Windows 10 Microsoft Entra

Windows 10 Hybride apparaten die zijn toegevoegd aan Microsoft Entra, ondervinden onverwachte herstarts en toegangsproblemen. Als gebruikers zich aanmelden bij Windows voordat de nieuwe UPN wordt gesynchroniseerd met Microsoft Entra ID, kunnen ze SSO-problemen ondervinden met apps die Gebruikmaken van Microsoft Entra ID voor verificatie. Dit scenario kan zich voordoen als gebruikers zich in een Windows-sessie bevinden. Deze situatie treedt op als voorwaardelijke toegang is geconfigureerd om het gebruik van hybride gekoppelde apparaten af te dwingen voor toegang tot resources. Bovendien kan het volgende bericht na één minuut opnieuw opstarten afdwingen:

Uw pc wordt in één minuut automatisch opnieuw opgestart. 'Er is een probleem opgetreden op Windows en de pc moet opnieuw worden opgestart. Sluit dit bericht nu en sla uw werk op.

Dit probleem is opgelost in de Update van Windows 10 mei-2020.

Tijdelijke oplossing

  1. Ontkoppel het apparaat van Microsoft Entra ID.
  2. Opnieuw starten.
  3. Het apparaat wordt lid van Microsoft Entra-id.
  4. Als u zich wilt aanmelden, selecteert de gebruiker Andere gebruiker.

Voer de volgende opdracht uit bij een opdrachtprompt: dsregcmd/leave om een apparaat los te maken van Microsoft Entra ID

Notitie

Als u Windows Hello voor Bedrijven gebruikt, worden gebruikers opnieuw ingeschreven voor Windows Hello voor Bedrijven.

Tip

Windows 7- en 8.1-apparaten worden niet beïnvloed door dit probleem.

Mobile Application Management-app-beveiligingsbeleid

Bekende problemen: Verbroken verbindingen

Als uw organisatie Mobile Application Management (MAM) gebruikt om bedrijfsgegevens te beveiligen, is het beveiligingsbeleid voor MAM-apps niet tolerant tijdens upn-wijzigingen. Dit probleem kan de verbinding tussen MAM-inschrijvingen en actieve gebruikers in geïntegreerde MAM-toepassingen verbreken. In dit scenario kunnen gegevens niet worden beveiligd.

Meer informatie:

Tijdelijke oplossing

Nadat UPN is gewijzigd, worden gegevens van betrokken apparaten gewist door de Beheer istrator om gebruikers te dwingen opnieuw te verifiëren en opnieuw in te schrijven bij nieuwe UPN's.

Meer informatie over het wissen van alleen bedrijfsgegevens uit door Intune beheerde apps.

Problemen met Microsoft Authenticator

Als voor uw organisatie Authenticator is vereist om zich aan te melden en toegang te krijgen tot toepassingen en gegevens, kan er een gebruikersnaam worden weergegeven in de app. Het account is echter geen verificatiemethode totdat gebruikers de registratie hebben voltooid.

Meer informatie over het gebruik van Authenticator.

Authenticator-app heeft vier hoofdfuncties:

Meervoudige verificatie met Android-apparaten

Verificator gebruiken voor verificatie buiten de band. Met meervoudige verificatie wordt een melding naar Authenticator op het gebruikersapparaat gepusht, in plaats van een automatische oproep- of kortberichtservice (SMS) naar de gebruiker.

  1. De gebruiker selecteert Goedkeuren, voert een pincode in of voert een biometrische gegevens in.
  2. De gebruiker selecteert Verifiëren.

Meer informatie over hoe het werkt: Meervoudige verificatie van Microsoft Entra.

Bekende problemen: melding niet ontvangen

Wanneer u upn van gebruiker wijzigt, wordt de vorige UPN weergegeven in het gebruikersaccount. Mogelijk wordt er geen melding ontvangen. Gebruik in plaats daarvan verificatiecodes.

Bekijk een lijst met veelgestelde vragen over Authenticator.

Tijdelijke oplossing

  1. Als er een melding wordt weergegeven, geeft u de gebruiker de opdracht om deze te sluiten.
  2. Open Authenticator.
  3. Selecteer Controleren op meldingen.
  4. Keur de MFA-prompt goed.
  5. De UPN op de accountupdates.

Notitie

De bijgewerkte UPN kan worden weergegeven als een nieuw account. Deze wijziging wordt veroorzaakt door andere Verificator-functionaliteit.

Brokered-verificatie

In Android en iOS schakelen brokers zoals Authenticator het volgende in:

  • SSO: Gebruikers melden zich niet aan bij elke toepassing
  • Apparaatidentificatie: de broker heeft toegang tot het apparaatcertificaat dat op het apparaat is gemaakt toen het aan de werkplek werd toegevoegd
  • Verificatie van toepassingsidentificatie: wanneer een toepassing de broker aanroept, wordt de omleidings-URL doorgegeven en wordt deze geverifieerd door de broker

Meer informatie:

Bekende problemen: gebruikersprompts

Vanwege een onjuiste overeenkomst tussen de login_hint door de toepassing doorgegeven en de UPN op de broker, ondervindt de gebruiker meer verificatieprompts met aanmelding via broker.

Tijdelijke oplossing

De gebruiker verwijdert het account handmatig uit Authenticator en start een nieuwe aanmelding vanuit een door broker ondersteunde toepassing. Na de eerste verificatie wordt het account toegevoegd.

Apparaatregistratie

Authenticator registreert het apparaat in Microsoft Entra ID, waarmee het apparaat kan worden geverifieerd bij Microsoft Entra-id. Deze registratie is vereist voor:

  • Intune-app-beveiliging
  • Intune-apparaatinschrijving
  • Aanmelding via telefoon

Bekende problemen: Nieuw account wordt weergegeven

Als u UPN wijzigt, wordt er een nieuw account met de nieuwe UPN weergegeven in de Verificator. Het account met de vorige UPN blijft behouden. De vorige UPN wordt ook weergegeven in apparaatregistratie in app-instellingen. Er is geen wijziging in de functionaliteit van apparaatregistratie of afhankelijke scenario's.

Tijdelijke oplossing

Als u verwijzingen naar de vorige UPN in Authenticator wilt verwijderen, verwijdert de gebruiker de vorige en nieuwe accounts uit Authenticator. De gebruiker registreert zich opnieuw voor MFA en neemt opnieuw toegang tot het apparaat.

Aanmelding via telefoon

Gebruik de aanmelding via telefoon om u aan te melden bij Microsoft Entra ID zonder een wachtwoord. Met Authenticator registreert de gebruiker zich voor MFA en schakelt vervolgens aanmelding via de telefoon in. Het apparaat wordt geregistreerd bij Microsoft Entra-id.

Bekende problemen: geen melding

Gebruikers kunnen geen telefoonmelding gebruiken omdat ze geen melding hebben ontvangen. Als de gebruiker Controleren op meldingen selecteert, wordt er een fout weergegeven.

Tijdelijke oplossing

In het account dat is ingeschakeld voor telefoonaanmelding, selecteert de gebruiker in de vervolgkeuzelijst Telefoonaanmelding uitschakelen.

Problemen met de beveiligingssleutel (FIDO2)

Bekende problemen: Accountselectie

Wanneer meerdere gebruikers zijn geregistreerd op dezelfde sleutel, wordt accountselectie weergegeven waar de vorige UPN wordt weergegeven. UPN-wijzigingen zijn niet van invloed op aanmelding met beveiligingssleutels.

Tijdelijke oplossing

Als u verwijzingen naar eerdere UPN's wilt verwijderen, stellen gebruikers de beveiligingssleutel opnieuw in en registreren ze opnieuw.

U kunt aanmelding zonder wachtwoord voor beveiligingssleutels, bekend probleem, UPN-wijzigingen inschakelen.

Problemen met OneDrive

OneDrive-gebruikers kunnen problemen ondervinden nadat UPN is gewijzigd.

Lees hoe UPN-wijzigingen van invloed zijn op de functies van oneDrive-URL en OneDrive.

Problemen met vergaderingsnotities in Teams

Gebruik Teams-vergaderingsnotities om notities te maken en te delen.

Bekende problemen: Niet-toegankelijke notities

Wanneer een gebruiker UPN wijzigt, zijn vergaderingsnotities die met de vorige UPN zijn gemaakt, niet toegankelijk met Microsoft Teams of de URL voor vergaderingsnotities.

Tijdelijke oplossing

Nadat de UPN is gewijzigd, kunnen gebruikers notities downloaden uit OneDrive.

  1. Ga naar Mijn bestanden.
  2. Selecteer Microsoft Teams-gegevens.
  3. Selecteer Wiki.

Nieuwe vergaderingsnotities die zijn gemaakt nadat de UPN-wijziging niet is beïnvloed.

Volgende stappen