Microsoft Entra ID 中用户主体名称更改的规划和故障排除

用户主体名称 (UPN) 是表示用户帐户的 Internet 通信标准的属性。 UPN 包括：

• 前缀：用户帐户名称
• 后缀：域名服务器 (DNS) 域名

前缀与后缀以“@”符号相联接。 例如 someone@example.com。 在规划期间，确保 UPN 在目录林中的安全主体对象中保持唯一。

UPN 更改的原因

当值为用户 UPN 时，登录页通常会提示用户输入电子邮件地址。 因此，当用户的主电子邮件地址发生更改时，请更改用户 UPN。 通常，用户的主电子邮件地址因以下原因而更改：

• 员工姓名更改
• 员工调动
• 影响后缀的重组更改
• 合并和/或收购更改

UPN 前缀和后缀更改

建议在用户的主要电子邮件地址更改时更改 UPN。 在从 Active Directory 到 Microsoft Entra ID 的初始同步过程中，请确保用户的电子邮件与 UPN 完全相同。 请参阅以下示例前缀和后缀更改。

前缀更改示例：

• 从 BSimon@contoso.com 到 BJohnson@contoso.com
• 从 Bsimon@contoso.com 到 Britta.Simon@contoso.com

后缀更改示例：

• 从 Britta.Simon@contoso.com 到 Britta.Simon@contosolabs.com
• 从 Britta.Simon@corp.contoso.com 到 Britta.Simon@labs.contoso.com

Active Directory 中的 UPN

在 Active Directory 中，默认的 UPN 后缀是你在其中创建用户帐户的 DNS。 大多数情况下，请将此域名注册为企业域。 如果在 contoso.com 域中创建用户帐户，则默认 UPN 是：username@contoso.com 使用 Active Directory 域和信任添加更多 UPN 后缀。 例如，如果添加 labs.contoso.com 并更改用户 UPN 和电子邮件以反映这一点，则结果为：username@labs.contoso.com。

可以为租户添加自定义域名。

Microsoft Entra ID 中的 UPN

用户以其 userPrincipalName 属性值登录到 Microsoft Entra ID。

将 Microsoft Entra ID 与本地 Active Directory 配合使用时，用户帐户会使用 Microsoft Entra Connect 服务进行同步。 默认情况下，Microsoft Entra Connect 向导使用本地 Active Directory 中的 userPrincipalName 属性作为 Microsoft Entra ID 中的 UPN。 在自定义安装中，可以将其更改为其他属性。

将用户帐户从 Active Directory 同步到 Microsoft Entra ID 时，请确保 Active Directory 中的 UPN 映射到 Microsoft Entra ID 中的已验证域。 如果 userPrincipalName 属性值不对应于 Microsoft Entra ID 中已验证的域，则同步过程会将后缀替换为 .onmicrosoft.com。

批量 UPN 更改推出

若要测试批量 UPN 更改，请创建经过测试的回滚计划以还原 UPN。 对于试点，请将具有组织角色的小型用户集以及应用或设备集作为目标。 此过程可帮助你了解用户体验。 在与利益干系人和用户的变更通信中包含此信息。

详细了解 Microsoft Entra 部署计划。

建议创建更改单个用户的 UPN 的过程。 包含有关已知问题和解决方法的文档。 有关详细信息，请参阅以下部分。

SaaS 和 LoB 应用问题

服务型软件 (SaaS) 和业务线 (LoB) 应用程序通常依赖于 UPN 来查找用户并存储用户配置文件信息，包括角色。 可能受 UPN 更改影响的应用程序在用户最初登录到应用时使用实时 (JIT) 预配来创建用户配置文件。

了解详细信息：

• 什么是 SaaS？
• 什么是 Microsoft Entra ID 中的应用预配？

已知问题：关系破坏，新配置文件

用户 UPN 更改可能会破坏 Microsoft Entra 用户与应用程序上的用户配置文件之间的关系。 如果应用程序使用 JIT 预配，则它会创建新的用户配置文件。 然后，应用程序管理员进行手动更改，以修复关系。

解决方法：自动预配

在受支持的云应用程序中，要创建、维护和移除用户标识，请使用 Microsoft Entra ID 中的自动应用预配。 要更新应用程序上的 UPN，请在应用程序上配置自动化用户预配。 测试应用程序以验证成功的 UPN 更改。 若要启用自动用户预配，开发人员可以向应用程序添加跨域身份管理系统 (SCIM) 支持。

了解详细信息：

• 什么是 Microsoft Entra ID 中的应用预配？
• 教程：在 Microsoft Entra ID 中开发 SCIM 终结点并计划其预配

受管理设备问题

要最大程度地提高云和本地资源间单一登录 (SSO) 的用户工作效率，请将设备引入 Microsoft Entra ID。

详细了解：什么是设备标识？

Microsoft Entra 联接设备

无论大小或行业，组织都可以部署加入 Microsoft Entra 的设备。 Microsoft Entra 加入可用于混合环境，提供对云中和本地的应用及资源的访问权限。 Microsoft Entra 联接设备将联接 Microsoft Entra ID。 用户使用其组织标识登录到设备。

详细了解已加入 Microsoft Entra 的设备。

已知问题：SSO

如果应用程序依赖于 Microsoft Entra ID 进行身份验证，则用户在这些应用程序中可能会遇到 SSO 问题。 此问题已在 2020 年 5 月的 Windows 10 更新中修复。

解决方法

1. 留出时间让 UPN 更改同步到 Microsoft Entra ID。

2. 验证新的 UPN 是否显示在 Microsoft Entra 管理中心内。

3. 告知用户选择“其他用户”以使用新的 UPN 登录。

4. 在 Microsoft Graph PowerShell 中使用 Get-MgUser 进行验证。

   注意

   用户使用新的 UPN 登录后，对之前的 UPN 的引用可能会显示在“访问工作或学校”Windows 设置上。

   

混合加入 Microsoft Entra 的设备的问题

Microsoft Entra 混合联接设备将联接 Active Directory 和 Microsoft Entra ID。 如果你的环境具有本地 Active Directory 占用情况，请实现 Microsoft Entra 混合加入。

详细了解混合加入 Microsoft Entra 的设备。

已知问题：Windows 10 Microsoft Entra 混合加入设备

Windows 10 Microsoft Entra 混合加入设备遇到意外的重启和访问问题。 如果用户在新 UPN 与 Microsoft Entra ID 同步之前登录到 Windows，则他们可能会在使用 Microsoft Entra ID 进行身份验证的应用中遇到 SSO 问题。 如果用户在 Windows 会话中，则可能会出现这种情况。 如果将条件访问配置为强制使用混合加入的设备来访问资源，则会出现这种情况。 此外，以下消息可以在一分钟后强制重启：

你的电脑会在一分钟后自动重启。 Windows 遇到问题，需要重启。 应该立即关闭此消息，并保存工作。

此问题已在 2020 年 5 月的 Windows 10 更新中修复。

解决方法

1. 将设备从 Microsoft Entra ID 脱离。
2. 重启。
3. 设备联接 Microsoft Entra ID。
4. 若要登录，用户选择“其他用户”。

若要将设备与 Microsoft Entra ID 脱离，请在命令提示符下运行以下命令：dsregcmd/leave

移动应用程序管理应用保护策略

已知问题：连接断开

如果你的组织使用移动应用程序管理 (MAM) 来保护公司数据，则 MAM 应用保护策略在 UPN 更改期间无法复原。 此问题可能会中断 MAM 注册与 MAM 集成应用程序中的活动用户之间的连接。 此方案会使数据不受保护。

了解详细信息：

• 应用保护策略概述
• 有关 MAM 和应用保护的常见问题解答

解决方法

UPN 更改后，管理员将从受影响的设备擦除数据，以强制用户重新进行身份验证并使用新的 UPN 重新注册。

了解如何从 Intune 托管的应用中仅擦除公司数据。

Microsoft Authenticator 问题

如果你的组织要求 Authenticator 登录和访问应用程序和数据，则应用中可能会显示用户名。 但是，在用户完成注册之前，该帐户不是验证方法。

了解如何使用 Authenticator。

Authenticator 应用有四个主要功能：

• 通过推送通知或验证码进行多重身份验证
• iOS 和 Android 设备上的身份验证代理，用于使用代理身份验证的应用程序上的 SSO
  • 使用 Microsoft 身份验证库 (MSAL) 在 Android 上启用跨应用 SSO
• 目标为 Microsoft Entra ID 的设备注册或工作区加入，这是 Intune 应用保护和设备注册/管理的要求
• 手机登录，这需要 MFA 和设备注册

Android 设备的多重身份验证

使用 Authenticator 进行带外验证。 多重身份验证将通知推送到用户设备上的 Authenticator，而不是将自动呼叫或短信服务 (SMS) 推送给用户。

1. 用户选择“批准”，输入 PIN 或输入生物识别信息。
2. 用户选择“身份验证”。

了解工作原理：Microsoft Entra 多重身份验证。

已知问题：未收到通知

更改用户 UPN 时，之前的 UPN 将显示在用户帐户上。 可能不会收到通知。 请改用验证码。

请参阅有关 Authenticator 的常见问题列表。

解决方法

1. 如果出现通知，请指示用户将其消除。
2. 打开 Authenticator。
3. 选择“检查通知”。
4. 批准 MFA 提示。
5. 帐户上的 UPN 会更新。

中介身份验证

在 Android 和 iOS 上，像 Microsoft Authenticator 这样的代理会启用：

• SSO：用户不登录到每个应用程序
• 设备标识：代理会访问设备证书，该证书是在设备加入工作区时在设备上创建的
• 应用程序标识验证：应用程序在调用代理时会传递其重定向 URL，而代理会验证该 URL

了解详细信息：

• Microsoft Entra 条件访问文档
• 在 Xamarin 应用程序中使用 Authenticator 或 Intune 公司门户。

已知问题：用户提示

由于应用程序传递的 login_hint 与代理上的 UPN 不匹配，用户会在代理辅助登录时遇到更多身份验证提示。

解决方法

用户从 Authenticator 中手动移除帐户，然后从代理辅助的应用程序开始新的登录。 该帐户在初始身份验证后添加。

设备注册

Authenticator 在 Microsoft Entra ID 中注册设备，从而允许设备向 Microsoft Entra ID 进行身份验证。 此注册是以下各项的要求：

• Intune 应用保护
• Intune 设备注册
• 手机登录

已知问题：显示新帐户

如果更改 UPN，则具有新 UPN 的新帐户会在 Authenticator 中显示。 具有之前的 UPN 的帐户保持不变。 此外，之前的 UPN 显示在应用设置中的设备注册上。 设备注册的功能或依赖方案没有任何变化。

解决方法

若要移除对 Authenticator 上之前的 UPN 的引用，用户需从 Authenticator 中移除之前的和新的帐户。 用户重新注册 MFA，并重新加入设备。

手机登录

使用手机登录时，无需密码即可登录 Microsoft Entra ID。 使用 Authenticator 时，用户注册 MFA，然后启用手机登录。 设备注册 Microsoft Entra ID。

已知问题：无通知

用户无法使用手机登录，因为他们没有收到通知。 如果用户选择“检查通知”，则会显示错误。

解决方法

在启用了手机登录的帐户上，在下拉菜单中，用户选择“禁用手机登录”。

安全密钥 (FIDO2) 问题

已知问题：帐户选择

在同一密钥上注册多个用户时，帐户选择会出现在之前的 UPN 出现的位置。 UPN 更改不会影响使用安全密钥进行的登录。

解决方法

若要移除对之前的 UPN 的引用，用户需重置安全密钥并重新注册。

你可以启用无密码安全密钥登录、已知问题、UPN 更改。

OneDrive 问题

在 UPN 更改后，OneDrive 用户可能会遇到问题。

了解 UPN 更改如何对 OneDrive URL 和 OneDrive 功能产生影响。

Teams 会议笔记问题

使用 Teams 会议笔记来记录和共享笔记。

已知问题：笔记无法访问

当用户 UPN 更改时，使用之前的 UPN 创建的会议笔记无法通过 Microsoft Teams 或会议笔记 URL 进行访问。

解决方法

UPN 更改后，用户可以从 OneDrive 下载笔记。

1. 转到“我的文件”。
2. 选择“Microsoft Teams 数据”。
3. 选择“Wiki”。

在 UPN 更改后创建的新会议记录不受影响。

后续步骤

• Microsoft Entra Connect：设计概念
• Microsoft Entra UserPrincipalName 填充
• Microsoft 标识平台 ID 令牌