Popolamento UserPrincipalName di Microsoft Entra

Questo articolo descrive come l'attributo UserPrincipalName viene popolato in Microsoft Entra ID. Il valore dell'attributo UserPrincipalName è il nome utente di Microsoft Entra per gli account utente.

Terminologia UPN

In questo articolo viene usata la terminologia seguente:

Termine Descrizione
Dominio iniziale Il dominio predefinito (onmicrosoft.com) nel tenant di Microsoft Entra. Ad esempio, contoso.onmicrosoft.com.
MOERA (Microsoft Online Email Routing Address, indirizzo di routing della posta elettronica Microsoft Online) Microsoft Entra ID calcola il MOERA dall'attributo MailNickName di Microsoft Entra e dal dominio iniziale di Microsoft Entra come <MailNickName>@<dominio iniziale>.
Attributo mailNickName locale Attributo in Active Directory il cui valore rappresenta l'alias di un utente in un'organizzazione Exchange.
Attributo mail locale Attributo in Active Directory il cui valore rappresenta l'indirizzo di posta elettronica di un utente.
Indirizzo SMTP primario Indirizzo di posta elettronica primario di un oggetto destinatario di Exchange. Ad esempio, SMTP: user@contoso.com.
ID di accesso alternativo Attributo locale diverso da UserPrincipalName, ad esempio l'attributo mail, usato per l'accesso.

Che cos'è UserPrincipalName?

UserPrincipalName è un attributo che rappresenta un nome di accesso Internet per un utente in base allo standard Internet RFC 822.

Formato UPN

Un UPN è costituito da un prefisso UPN (il nome dell'account utente) e un suffisso UPN (nome di dominio DNS). Il prefisso viene unito al suffisso usando il simbolo \"\@\". Ad esempio, "someone@example.com". Un UPN deve essere univoco tra tutti gli oggetti entità di sicurezza in una foresta di directory.

UPN in Microsoft Entra ID

L'UPN viene usato da Microsoft Entra ID per consentire l’accesso agli utenti. L'UPN che un utente può usare dipende dal fatto che il dominio sia stato verificato o meno. Se il dominio è stato verificato, un utente con tale suffisso potrà accedere a Microsoft Entra ID.

L’attributo è sincronizzato da Microsoft Entra Connect. Durante l'installazione è possibile visualizzare i domini che sono stati verificati e quelli che non lo sono.

Domini non verificati

ID di accesso alternativo

In alcuni ambienti è possibile che gli utenti finali conoscano solo l'indirizzo di posta elettronica e non l'UPN. L'uso dell'indirizzo di posta elettronica potrebbe essere dovuto a criterio aziendali o a una dipendenza dell'applicazione line-of-business locale.

L’ID di accesso alternativo consente di configurare un'esperienza di accesso in cui gli utenti possono accedere con un attributo diverso dal nome dell’entità utente, ad esempio la posta elettronica.

Per abilitare l'ID di accesso alternativo con Microsoft Entra ID, non sono necessari ulteriori passaggi di configurazione quando si usa Microsoft Entra Connect. È possibile configurare l'ID alternativo direttamente dalla procedura guidata. Vedere Configurazione dell'accesso a Microsoft Entra per gli utenti nella sezione Sincronizzazione. Nell'elenco a discesa Nome entità utente selezionare l'attributo per ID di accesso alternativo.

Screenshot che evidenzia l'elenco Nome entità utente in cui si seleziona l'attributo ID di accesso alternativo.

Per altre informazioni, vedere Configurare l'ID di accesso alternativo e Configurazione dell'accesso a Microsoft Entra

Suffisso UPN non verificato

Se il suffisso dell'attributo UserPrincipalName locale/ID di accesso alternativo non è verificato con il tenant di Microsoft Entra, il valore dell'attributo UserPrincipalName di Microsoft Entra viene impostato sull'indirizzo MOERA. Microsoft Entra ID calcola il MOERA dall'attributo MailNickName di Microsoft Entra e dal dominio iniziale di Microsoft Entra come <MailNickName>@<dominio iniziale>.

Suffisso UPN verificato

Se il suffisso dell'attributo UserPrincipalName locale/ID di accesso alternativo è verificato con il tenant di Microsoft Entra, il valore dell'attributo UserPrincipalName di Microsoft Entra corrisponderà al valore dell'attributo UserPrincipalName locale/ID di accesso alternativo.

Calcolo del valore dell'attributo MailNickName di Microsoft Entra

Poiché il valore dell'attributo UserPrincipalName di Microsoft Entra può essere impostato sull'indirizzo MOERA, è importante comprendere come viene calcolato il valore dell'attributo MailNickName di Microsoft Entra, che è il prefisso dell'indirizzo MOERA.

Quando un oggetto utente viene sincronizzato con un tenant di Microsoft Entra per la prima volta, Microsoft Entra ID controlla gli elementi seguenti nell'ordine indicato e imposta il valore dell'attributo MailNickName sul primo elemento esistente:

  • Attributo mailNickName locale
  • Prefisso dell'indirizzo SMTP primario
  • Prefisso dell'attributo mail locale
  • Prefisso dell'attributo userPrincipalName locale/ID di accesso alternativo
  • Prefisso dell'indirizzo SMTP secondario

Quando gli aggiornamenti a un oggetto utente vengono sincronizzati con il tenant di Microsoft Entra, Microsoft Entra ID aggiorna il valore dell'attributo MailNickName solo in caso di aggiornamento al valore dell'attributo mailNickName locale.

Importante

Microsoft Entra ID ricalcola il valore dell'attributo UserPrincipalName solo nel caso in cui un aggiornamento al valore dell'attributo UserPrincipalName locale/ID di accesso alternativo venga sincronizzato con il tenant di Microsoft Entra.

Ogni volta che Microsoft Entra ID ricalcola l'attributo UserPrincipalName e l'utente ha una licenza di Exchange assegnata, viene aggiunto anche il nuovo valore UserPrincipalName come indirizzo proxy smtp secondario.

In caso di modifica del dominio verificato, anche Microsoft Entra ID ricalcola l'attributo UserPrincipalName. Per altre informazioni, vedere Risoluzione dei problemi: Controllare i dati sulla modifica del dominio verificato

Scenari UPN

Di seguito sono illustrati scenari di esempio di come viene calcolato l'UPN in base allo scenario specifico.

Scenario 1: Suffisso UPN non verificato - sincronizzazione iniziale

Scenario1

Oggetto utente locale:

  • mailNickName: <non impostato>
  • proxyAddresses: {SMTP:us1@contoso.com}
  • posta: us2@contoso.com
  • userPrincipalName: us3@contoso.com

Sincronizzazione dell'oggetto utente con il tenant di Microsoft Entra per la prima volta

  • Impostare l'attributo MailNickName di Microsoft Entra sul prefisso dell'indirizzo SMTP primario.
  • Impostazione dell'indirizzo MOERA su <MailNickName>@<dominio iniziale>.
  • Impostare l'attributo Microsoft Entra UserPrincipalName su MOERA.

Oggetto utente tenant di Microsoft Entra:

  • MailNickName: us1
  • UserPrincipalName: us1@contoso.onmicrosoft.com

Scenario 2: Suffisso UPN non verificato - impostazione dell'attributo mailNickName locale

Scenario2

Oggetto utente locale:

  • mailNickName: us4
  • proxyAddresses: {SMTP:us1@contoso.com}
  • posta: us2@contoso.com
  • userPrincipalName: us3@contoso.com

Sincronizzazione dell'aggiornamento dell'attributo mailNickName locale con il tenant di Microsoft Entra

  • Aggiornamento dell'attributo MailNickName di Microsoft Entra con l'attributo mailNickName locale.
  • Poiché non ci sono aggiornamenti dell'attributo userPrincipalName locale, non vengono apportate modifiche all'attributo UserPrincipalName di Microsoft Entra.

Oggetto utente tenant di Microsoft Entra:

  • MailNickName: us4
  • UserPrincipalName: us1@contoso.onmicrosoft.com

Scenario 3: Suffisso UPN non verificato - aggiornamento dell'attributo userPrincipalName locale

Scenario3

Oggetto utente locale:

  • mailNickName: us4
  • proxyAddresses: {SMTP:us1@contoso.com}
  • posta: us2@contoso.com
  • userPrincipalName: us5@contoso.com

Sincronizzazione dell'aggiornamento dell'attributo userPrincipalName locale con il tenant di Microsoft Entra

  • L'aggiornamento dell'attributo userPrincipalName locale attiva il ricalcolo dell'indirizzo MOERA e dell'attributo UserPrincipalName di Microsoft Entra.
  • Impostazione dell'indirizzo MOERA su <MailNickName>@<dominio iniziale>.
  • Impostare l'attributo Microsoft Entra UserPrincipalName su MOERA.

Oggetto utente tenant di Microsoft Entra:

  • MailNickName: us4
  • UserPrincipalName: us4@contoso.onmicrosoft.com

Scenario 4: Suffisso UPN non verificato - aggiornamento dell'indirizzo SMTP primario e dell'attributo mail locale

Scenario4

Oggetto utente locale:

  • mailNickName: us4
  • proxyAddresses: {SMTP:us6@contoso.com}
  • posta: us7@contoso.com
  • userPrincipalName: us5@contoso.com

Sincronizzazione dell'aggiornamento dell'attributo mail locale e dell'indirizzo SMTP primario con il tenant di Microsoft Entra

  • Dopo la sincronizzazione iniziale dell'oggetto utente, gli aggiornamenti dell'attributo di posta locale e dell'indirizzo SMTP primario non influiscono sull'attributo MailNickName né sull'attributo UserPrincipalName di Microsoft Entra.

Oggetto utente tenant di Microsoft Entra:

  • MailNickName: us4
  • UserPrincipalName: us4@contoso.onmicrosoft.com

Scenario 5: Suffisso UPN verificato - aggiornamento del suffisso dell'attributo userPrincipalName locale

Scenario5

Oggetto utente locale:

  • mailNickName: us4
  • proxyAddresses: {SMTP:us6@contoso.com}
  • posta: us7@contoso.com
  • userPrincipalName: us5@verified.contoso.com

Sincronizzazione dell'aggiornamento dell'attributo userPrincipalName locale con il tenant di Microsoft Entra

  • L'aggiornamento dell'attributo userPrincipalName locale attiva il ricalcolo dell'attributo UserPrincipalName di Microsoft Entra.
  • Impostazione dell'attributo UserPrincipalName di Microsoft Entra sull'attributo userPrincipalName locale in quanto il suffisso UPN è verificato con il tenant di Microsoft Entra.

Oggetto utente tenant di Microsoft Entra:

  • MailNickName: us4
  • UserPrincipalName: us5@verified.contoso.com

Passaggi successivi