Partilhar via

Planear e resolver problemas de alterações do UserPrincipalName no Microsoft Entra ID

O atributo UserPrincipalName (UPN) é um padrão de comunicação da Internet para contas de usuário. Uma UPN consiste em:

  • Prefix: Nome da conta de usuário
  • Sufixo: Nome de domínio do servidor de nomes de domínio (DNS)

O prefixo junta-se ao sufixo utilizando o símbolo "@". Por exemplo, someone@example.com. Durante o planeamento, assegure-se de que o UPN é único entre os objetos de segurança principais numa floresta de diretório.

Nota

Este artigo pressupõe que o UPN é o identificador de utilizador. O artigo aborda o planeamento de alterações de UPN e a recuperação de problemas que possam surgir dessas alterações. Recomendamos que os programadores utilizem o objectID do utilizador como identificador imutável, em vez de UPN ou endereços de e-mail.

Razões para alterações de UPN

Quando o valor é o UPN do utilizador, as páginas de início de sessão costumam solicitar aos utilizadores que introduzam um endereço de email. Portanto, quando o endereço de email principal do utilizador mudar, altere o UPN do utilizador. Geralmente, o endereço de email principal de um utilizador altera-se pelas seguintes razões:

  • Alteração de nome do funcionário
  • Movimentação de funcionário
  • Mudanças de reestruturação que afetam o sufixo
  • Alterações de fusão e/ou aquisição

Alterações no prefixo e sufixo do UPN

Recomendamos que altere o UPN do utilizador quando o endereço de email principal for alterado. Durante a sincronização inicial do Active Directory para o Microsoft Entra ID, assegure-se de que os emails dos utilizadores e os UPNs sejam idênticos. Veja as seguintes alterações de prefixo e sufixo no exemplo.

Exemplos de alteração de prefixo.

  • De BSimon@contoso.com a BJohnson@contoso.com
  • De Bsimon@contoso.com para Britta.Simon@contoso.com

Exemplos de alteração de sufixo:

  • De Britta.Simon@contoso.com para Britta.Simon@contosolabs.com
  • De Britta.Simon@corp.contoso.com para Britta.Simon@labs.contoso.com

UPNs no Ative Directory

No Active Directory, o sufixo UPN predefinido é o DNS onde você criou a conta de utilizador. Na maioria dos casos, registe este nome de domínio como o domínio empresarial. Se criar a conta de utilizador no domínio contoso.com, o UPN predefinido é: username@contoso.com. Adicione mais sufixos UPN com domínios e relações de confiança do Active Directory. Por exemplo, se adicionar labs.contoso.com e alterar os UPNs e o email do utilizador para refletir isso, o resultado é: username@labs.contoso.com.

Pode adicionar o seu nome de domínio personalizado ao seu inquilino.

Importante

Se alterar o sufixo no Active Directory, adicione e verifique um nome de domínio personalizado correspondente no Microsoft Entra ID.

Captura de ecrã da opção Adicionar domínio do cliente, em Nomes de domínios personalizados.

Nomes Principais de Utilizador (UPNs) no Microsoft Entra ID

Os utilizadores iniciam sessão com o valor do atributo userPrincipalName na Microsoft Entra ID.

Quando utiliza o Microsoft Entra ID com o Active Directory local, as contas de utilizador são sincronizadas com o serviço Microsoft Entra Connect. O assistente do Microsoft Entra Connect usa o atributo userPrincipalName do Active Directory local como o UPN no Microsoft Entra ID. Pode alterá-lo para um atributo diferente numa instalação personalizada.

Nota

Defina um processo para atualizar um UserPrincipalName para usuários e sua organização.

Ao sincronizar contas de utilizador do Active Directory com o Microsoft Entra ID, certifique-se de que os UPNs no Active Directory correspondem a domínios verificados no Microsoft Entra ID. Se o valor do atributo userPrincipalName não corresponder a um domínio verificado no Microsoft Entra ID, a sincronização substitui o sufixo por .onmicrosoft.com.

Implementação de mudança em massa do UPN

Para testar mudanças em massa nos UPNs, crie um plano de recuperação já testado para reverter os UPNs. Para o piloto, direcionar pequenos conjuntos de utilizadores com funções organizacionais e conjuntos de aplicações ou dispositivos. Este processo ajuda a compreender a experiência do utilizador. Inclua esta informação nas comunicações de alterações para as partes interessadas e os utilizadores.

Saiba mais sobre os planos de implementação do Microsoft Entra.

Recomendamos que crie um procedimento para alterar os UPNs de utilizadores individuais. Inclua documentação sobre problemas conhecidos e soluções alternativas. Para mais informações, consulte as seguintes secções.

Questões de aplicações SaaS e LoB

Software como Serviço (SaaS) e aplicações de linha de negócios (LoB) dependem frequentemente dos UPNs para localizar utilizadores e armazenar informações de perfil de utilizador, incluindo funções. Aplicações potencialmente afetadas por alterações no UPN utilizam aprovisionamento just-in-time (JIT) para criar um perfil de utilizador quando os utilizadores iniciam sessão pela primeira vez na aplicação.

Saiba mais:

Problemas conhecidos: Relação interrompida, novo perfil

As alterações no UPN do utilizador podem romper a relação entre o utilizador do Microsoft Entra e o perfil do utilizador na aplicação. Se a aplicação utilizar o provisionamento JIT, pode criar um novo perfil de utilizador. Em seguida, o administrador do aplicativo faz alterações manuais para corrigir a relação.

Soluções alternativas: fornecimento automatizado

Em aplicações na nuvem suportadas, para criar, manter e remover identidades de usuários, utilize o provisionamento automatizado de aplicativos no Microsoft Entra ID. Para atualizar UPNs no aplicativo, configure o provisionamento automatizado de usuários em seus aplicativos. Teste as aplicações para validar as alterações bem-sucedidas de UPN. Para activar o provisionamento automático de utilizadores, os programadores podem adicionar suporte para o Sistema de Gestão de Identidade entre Domínios (SCIM) às aplicações.

Saiba mais:

Problemas com dispositivos gerenciados

Para maximizar a produtividade do utilizador com autenticação única (SSO) em recursos na nuvem e no local, integre dispositivos no Microsoft Entra ID.

Saiba mais sobre o que é uma identidade de dispositivo?

Dispositivos associados ao Microsoft Entra

Independentemente do tamanho ou do setor, as organizações podem implementar dispositivos associados ao Microsoft Entra. O Microsoft Entra join funciona em ambientes híbridos, permitindo o acesso a aplicações e recursos na nuvem e locais. Os dispositivos associados ao Microsoft Entra estão associados ao Microsoft Entra ID. Os utilizadores iniciam sessão no dispositivo utilizando a identidade da sua organização.

Saiba mais sobre dispositivos Microsoft Entra unidos.

Problemas conhecidos: SSO

Os utilizadores podem enfrentar problemas de SSO com aplicações que dependem do Microsoft Entra ID para autenticação. Este problema foi resolvido na atualização de maio de 2020 do Windows 10.

Solução alternativa

  1. Permitir tempo para que a alteração do UPN seja sincronizada com o Microsoft Entra ID.

  2. Verifique se o novo UPN aparece no Centro de Administração do Microsoft Entra.

  3. Instrua os utilizadores a selecionar Outro utilizador para iniciar sessão com um novo UPN.

  4. Verifique com Get-MgUser no Microsoft Graph PowerShell.

    Nota

    Depois de os utilizadores iniciarem sessão com um novo UPN, as referências ao UPN anterior podem aparecer nas definições de Windows de Acesso ao trabalho ou escola.

    Captura de ecrã dos domínios de Utilizador-1 e Outro-utilizador, no ecrã de início de sessão.

Problemas com dispositivos híbridos associados ao Microsoft Entra

Dispositivos híbridos Microsoft Entra unidos estão conectados ao Active Directory e Microsoft Entra ID. Implemente o Microsoft Entra hybrid join se o seu ambiente tiver uma infraestrutura de Active Directory no local.

Saiba mais sobre Microsoft Entra hybrid joined devices.

Problemas conhecidos: dispositivos híbridos unidos do Microsoft Entra no Windows 10

Dispositivos com Windows 10 aderidos ao híbrido Microsoft Entra sofrem reinicializações inesperadas e problemas de acesso. Se os utilizadores iniciarem sessão no Windows antes de o novo UPN sincronizar com o Microsoft Entra ID, poderão enfrentar problemas de SSO com aplicações que utilizem o Microsoft Entra ID para autenticação. Este cenário pode ocorrer se os utilizadores estiverem numa sessão do Windows. Esta situação ocorre se o Acesso Condicional está configurado para obrigar o uso de dispositivos unidos hibridamente para aceder a recursos. Além disso, a seguinte mensagem pode forçar uma reinicialização após um minuto:

O seu PC reiniciará automaticamente dentro de um minuto. O Windows encontrou um problema e precisa reiniciar. Deve fechar esta mensagem agora e guardar o seu trabalho.

Este problema foi resolvido na atualização de maio de 2020 do Windows 10.

Solução alternativa

  1. Desassociar o dispositivo do Microsoft Entra ID.
  2. Reiniciar.
  3. O dispositivo liga-se ao Microsoft Entra ID.
  4. Para iniciar sessão, o utilizador seleciona Outro utilizador.

Para desvincular um dispositivo do Microsoft Entra ID, execute o seguinte comando num prompt de comando: dsregcmd/leave

Nota

Se utilizar o Windows Hello para Empresas, os utilizadores devem reinscrever-se no Windows Hello para Empresas.

Sugestão

Os dispositivos com Windows 7 e 8.1 não são afetados por este problema.

Problemas com o Microsoft Authenticator

Se a sua organização exigir o uso do Authenticator para iniciar sessão e aceder a aplicações e dados, um nome de utilizador pode aparecer na aplicação. No entanto, a conta não é um método de verificação até que os utilizadores completem o registo.

Saiba como usar o Authenticator.

O aplicativo autenticador tem quatro funções principais:

  • Autenticação multifatorial com notificação push ou código de verificação
  • Agente de autenticação em dispositivos iOS e Android para SSO em aplicações que utilizam autenticação mediada
  • Registo de dispositivo ou associação ao ambiente de trabalho ao Microsoft Entra ID, o que é um requisito para a Proteção de Aplicações Intune e Registo/Gestão de Dispositivos.
  • Login por telefone, que requer MFA e registro de dispositivo

Autenticação multifator com dispositivos Android

Utilize o Autenticador para verificação fora de banda. A autenticação multifator envia uma notificação para o Authenticator no dispositivo do utilizador, em vez de uma chamada automática ou serviço de mensagens curtas (SMS) para o utilizador.

  1. O usuário seleciona Aprovar, insere um PIN ou insere uma biometria.
  2. O utilizador seleciona Authenticate.

Saiba como funciona: Autenticação multifator Microsoft Entra.

Problemas conhecidos: Notificação não recebida

Quando você altera o UPN do usuário, o UPN anterior aparece na conta do usuário. A notificação pode não ser recebida. Em vez disso, use códigos de verificação.

Veja uma lista de perguntas comuns sobre o Authenticator.

Solução alternativa

  1. Caso a notificação apareça, instrua o utilizador a fechá-la.
  2. Abra o Autenticador.
  3. Selecione Verificar notificações.
  4. Aprove a notificação de autenticação multifatorial.
  5. O UPN nas atualizações da conta.

Nota

O UPN atualizado pode aparecer como uma nova conta. Esta alteração deve-se a outras funcionalidades do Authenticator.

Autenticação intermediada

Em Android e iOS, brokers como o Authenticator permitem:

  • SSO: Os utilizadores não iniciam sessão em cada aplicação
  • Identificação do dispositivo: O corretor acede ao certificado do dispositivo criado no dispositivo quando foi associado ao local de trabalho.
  • Verificação de identificação da aplicação: Quando uma aplicação chama o intermediário, ela passa o seu URL de redirecionamento, e o intermediário verifica-o.

Saiba mais:

Problemas conhecidos: mensagens para o utilizador

Devido a uma discrepância entre o login_hint passado pela aplicação e o UPN no corretor, o utilizador enfrenta mais pedidos de autenticação com a entrada assistida por corretor.

Solução alternativa

O utilizador remove manualmente a conta do Authenticator e inicia uma nova sessão a partir de uma aplicação assistida por um corretor. Após a autenticação inicial, a conta é adicionada.

Registo do Dispositivo

O Authenticator regista o dispositivo no Microsoft Entra ID, o que permite ao dispositivo autenticar-se no Microsoft Entra ID. Este registo é um requisito para:

  • Proteção de aplicações do Intune
  • Registo de dispositivos Intune
  • Início de sessão por telefone

Problemas conhecidos: Aparece nova conta

Se alterar o UPN, uma nova conta com o novo UPN aparece no Authenticator. A conta com o UPN anterior permanece. Além disso, o UPN anterior aparece no Registo de Dispositivo nas definições da aplicação. Não há alteração na funcionalidade do registo de dispositivos ou dos cenários dependentes.

Solução alternativa

Para remover referências ao UPN anterior no Authenticator, o utilizador remove as contas anteriores e novas do Authenticator. O utilizador volta a registar-se para MFA e reintegra o dispositivo.

Início de sessão por telefone

Utilize o login por telefone para iniciar sessão no Microsoft Entra ID sem uma palavra-passe. Com o Authenticator, o utilizador regista-se para autenticação multifator e depois ativa a autenticação via telefone. O dispositivo regista-se no Microsoft Entra ID.

Problemas conhecidos: Sem notificação

Os utilizadores não podem usar o início de sessão por telefone porque não receberam uma notificação. Se o utilizador selecionar Verificar Notificações, aparece um erro.

Solução alternativa

Na conta ativada para início de sessão por telefone, no menu suspenso, o utilizador seleciona Desativar início de sessão por telefone.

Gestão de Dispositivos Móveis

Problemas conhecidos: é necessário um novo registo do dispositivo

Se a sua organização utiliza a Gestão de Dispositivos Móveis e a Aplicação Intune ou a aplicação Portal da Empresa para gerir os seus dispositivos, o registo de dispositivos não é resiliente durante as alterações UPN. Ao alterar o UPN, o dispositivo será detetado como não registrado no Entra, e os usuários serão obrigados a entrar e registrar o dispositivo novamente para gerenciamento e Acesso Condicional para continuar a funcionar. Até que o registo esteja concluído, o utilizador poderá não conseguir aceder a quaisquer recursos empresariais neste dispositivo.

Saiba mais:

Solução alternativa

Após as alterações do UPN, os usuários finais devem entrar e seguir as instruções no aplicativo para se registrar novamente.

Problemas com chave de segurança (FIDO2)

Problemas conhecidos: Seleção de conta

Quando múltiplos utilizadores estão registados na mesma chave, a seleção de conta aparece onde aparecia o UPN anterior. As alterações ao UPN não afetam o início de sessão com chaves de segurança.

Solução alternativa

Para remover referências a UPNs anteriores, os usuários redefinem a chave de segurança e se registram novamente.

Pode ativar a autenticação sem senha com chave de segurança, problemas conhecidos, alterações de UPN.

Problemas do OneDrive

Os utilizadores do OneDrive podem enfrentar problemas após alterações no UPN.

Aprenda como as alterações no UPN afetam o URL do OneDrive e as funcionalidades do OneDrive.

Problemas com as Notas de Reunião do Teams

Utilize as Notas de Reunião do Teams para tomar e partilhar notas.

Problemas conhecidos: notas inacessíveis

Quando um UPN de utilizador muda, as notas de reunião criadas com o UPN anterior não são acessíveis através do Microsoft Teams ou da URL das Notas de Reunião.

Solução alternativa

Após a mudança do UPN, os utilizadores podem descarregar notas do OneDrive.

  1. Aceda a Os Meus Ficheiros.
  2. Selecione Dados do Microsoft Teams.
  3. Selecione Wiki.

Novas notas de reunião criadas após a alteração do UPN não são afetadas.

Próximos passos