Microsoft Entra UserPrincipalName 填入
本文說明在 Microsoft Entra ID 中填入 UserPrincipalName 屬性的方式。 UserPrincipalName 屬性值是使用者帳戶的 Microsoft Entra 使用者名稱。
UPN 術語
本文使用下列術語:
詞彙 | 描述 |
---|---|
初始網域 | Microsoft Entra 租用戶中的預設網域 (onmicrosoft.com)。 例如,contoso.onmicrosoft.com。 |
Microsoft 線上電子郵件路由位址 (MOERA) | Microsoft Entra ID 會將 Microsoft Entra MailNickName 屬性的 MOERA 和 Microsoft Entra 初始網域計算為 <MailNickName>@<初始網域>。 |
內部部署 mailNickName 屬性 | Active Directory 的屬性,其值代表 Exchange 組織使用者的別名。 |
內部部署 mail 屬性 | Active Directory 的屬性,其值代表使用者的電子郵件地址 |
主要 SMTP 地址 | Exchange 收件者物件的主要電子郵件地址。 例如,SMTP:user@contoso.com。 |
替代登入識別碼 | 非 UserPrincipalName 的內部部署屬性 (例如 mail 屬性),可用於登入。 |
何謂 UserPrincipalName?
UserPrincipalName 是依據網際網路標準 RFC 822 所定義的一個屬性,可作為使用者的網際網路樣式登入名稱。
UPN 格式
UPN 是由 UPN 前置詞 (使用者帳戶名稱) 和 UPN 尾碼 (DNS 網域名稱) 所組成。 前置詞會使用 \"\@\" 符號與尾碼連結。 例如,"someone@example.com"。 在目錄樹系的所有安全性主體物件之間,UPN 必須是唯一的。
Microsoft Entra ID 中的 UPN
Microsoft Entra ID 會使用 UPN 來允許使用者登入。 使用者所能使用的 UPN 取決於網域是否已驗證。 如果網域已驗證,則系統會允許具有該尾碼的使用者登入 Microsoft Entra ID。
此屬性由 Microsoft Entra Connect 同步。 在安裝期間,您可以檢視已驗證與尚未驗證的網域。
替代登入識別碼
在某些環境中,使用者僅能得知其電子郵件地址,而無法得知其 UPN。 使用電子郵件地址可能是基於公司原則或內部部署的企業營運系統應用程式相依性的緣故。
替代登入識別碼可讓您設定登入體驗,讓使用者可以透過其 UPN 以外的屬性 (例如 mail) 來登入。
若要透過 Microsoft Entra ID 啟用替代登入 ID,使用 Microsoft Entra Connect 時無需執行其他組態步驟。 您可以直接從精靈設定替代識別碼。 請在 [同步處理] 區段底下查看使用者的 Microsoft Entra 登入組態。在 [使用者主體名稱] 下拉式清單底下,選取替代登入識別碼的屬性。
如需詳細資訊,請參閱設定替代登入 ID 和 Microsoft Entra 登入組態
未驗證的 UPN 尾碼
如果未向 Microsoft Entra 租用戶驗證內部部署 UserPrincipalName 屬性/替代登入識別碼尾碼,則系統會將 Microsoft Entra UserPrincipalName 屬性值設定為 MOERA。 Microsoft Entra ID 會將 Microsoft Entra MailNickName 屬性的 MOERA 和 Microsoft Entra 初始網域計算為 <MailNickName>@<初始網域>。
已驗證的 UPN 尾碼
如果已向 Microsoft Entra 租用戶驗證內部部署 UserPrincipalName 屬性/替代登入識別碼尾碼,Microsoft Entra UserPrincipalName 屬性值將會和內部部署 UserPrincipalName 屬性/替代登入識別碼值一樣。
Microsoft Entra MailNickName 屬性值計算
因為 Microsoft Entra UserPrincipalName 屬性值有可能設定為 MOERA,所以請務必要了解 Microsoft Entra MailNickName 屬性值 (也就是 MOERA 前置詞) 的計算方式。
使用者物件在第一次同步處理至 Microsoft Entra 租用戶時,Microsoft Entra ID 會以指定的順序檢查下列項目,然後將 MailNickName 屬性值設定為現有的第一個項目:
- 內部部署 mailNickName 屬性
- 主要 SMTP 地址的前置詞
- 內部部署 mail 屬性的前置詞
- 內部部署 UserPrincipalName 屬性/替代登入識別碼的前置詞
- 次要 SMTP 地址的首碼
當使用者物件更新同步處理至 Microsoft Entra 租用戶時,Microsoft Entra ID 只會在有內部部署 mailNickName 屬性值更新的情況下才會更新 MailNickName 屬性值。
重要
只有在內部部署 UserPrincipalName 屬性/替代登入識別碼值的更新同步處理至 Microsoft Entra 租用戶時,Microsoft Entra ID 才會重新計算 UserPrincipalName 屬性值。
每當 Microsoft Entra ID 重新計算 UserPrincipalName 屬性,且使用者已指派 Exchange 授權時,新的 UserPrincipalName 值也會新增為次要 SMTP Proxy 位址。
如果是已驗證的網域變更,Microsoft Entra ID 也會重新計算 UserPrincipalName 屬性。 如需詳細資訊,請參閱疑難排解:於已驗證的網域變更時稽核資料
UPN 案例
以下是在給定案例的情況下,UPN 會如何計算的案例範例。
案例 1:未驗證的 UPN 尾碼 – 初始同步處理
內部部署使用者物件:
- mailNickName:<未設定>
- proxyAddresses:{SMTP:us1@contoso.com}
- mail:us2@contoso.com
- userPrincipalName:us3@contoso.com
第一次將使用者物件同步處理至 Microsoft Entra 租用戶
- 將 Microsoft Entra MailNickName 屬性設定為主要 SMTP 地址首碼。
- 將 MOERA 設定為 <MailNickName>@<初始網域>。
- 將 Microsoft Entra UserPrincipalName 屬性設定為 MOERA。
Microsoft Entra 租用戶使用者物件:
- MailNickName:us1
- UserPrincipalName:us1@contoso.onmicrosoft.com
案例 2:未驗證的 UPN 尾碼 – 設定內部部署 mailNickName 屬性
內部部署使用者物件:
- mailNickName:us4
- proxyAddresses:{SMTP:us1@contoso.com}
- mail:us2@contoso.com
- userPrincipalName:us3@contoso.com
將內部部署 mailNickName 屬性的更新同步處理至 Microsoft Entra 租用戶
- 將 Microsoft Entra MailNickName 屬性更新為內部部署 mailNickName 屬性。
- 由於內部部署 userPrincipalName 屬性沒有更新,所以 Microsoft Entra UserPrincipalName 屬性不會變更。
Microsoft Entra 租用戶使用者物件:
- MailNickName:us4
- UserPrincipalName:us1@contoso.onmicrosoft.com
案例 3:未驗證的 UPN 尾碼 – 更新內部部署 userPrincipalName 屬性
內部部署使用者物件:
- mailNickName:us4
- proxyAddresses:{SMTP:us1@contoso.com}
- mail:us2@contoso.com
- userPrincipalName:us5@contoso.com
將內部部署 userPrincipalName 屬性的更新同步處理至 Microsoft Entra 租用戶
- 內部部署 userPrincipalName 屬性的更新會觸發 MOERA 和 Microsoft Entra UserPrincipalName 屬性的重新計算。
- 將 MOERA 設定為 <MailNickName>@<初始網域>。
- 將 Microsoft Entra UserPrincipalName 屬性設定為 MOERA。
Microsoft Entra 租用戶使用者物件:
- MailNickName:us4
- UserPrincipalName:us4@contoso.onmicrosoft.com
案例 4:未驗證的 UPN 尾碼 – 更新主要 SMTP 地址和內部部署 mail 屬性
內部部署使用者物件:
- mailNickName:us4
- proxyAddresses:{SMTP:us6@contoso.com}
- mail:us7@contoso.com
- userPrincipalName:us5@contoso.com
將內部部署 mail 屬性和主要 SMTP 地址的更新同步處理至 Microsoft Entra 租用戶
- 進行使用者物件的首次同步處理之後,內部部署 mail 屬性和主要 SMTP 地址的更新就不會影響 Microsoft Entra MailNickName 或 UserPrincipalName 屬性。
Microsoft Entra 租用戶使用者物件:
- MailNickName:us4
- UserPrincipalName:us4@contoso.onmicrosoft.com
案例 5:已驗證的 UPN 尾碼 – 更新內部部署 userPrincipalName 屬性尾碼
內部部署使用者物件:
- mailNickName:us4
- proxyAddresses:{SMTP:us6@contoso.com}
- mail:us7@contoso.com
- userPrincipalName:us5@verified.contoso.com
將內部部署 userPrincipalName 屬性的更新同步處理至 Microsoft Entra 租用戶
- 內部部署 userPrincipalName 屬性的更新會觸發 Microsoft Entra UserPrincipalName 屬性的重新計算。
- 將 Microsoft Entra UserPrincipalName 屬性設定為內部部署 userPrincipalName 屬性,因為 UPN 尾碼已透過 Microsoft Entra 租用戶進行驗證。
Microsoft Entra 租用戶使用者物件:
- MailNickName:us4
- UserPrincipalName:us5@verified.contoso.com