UPNChange und Applikationen
Der UserPrincipalName (UPN) ist der Schlüssel zu den Cloud-Diensten, mit dem sich der Anwender anmeldet und auf seine Daten zugreift. Wer der Microsoft-Empfehlung "UPN=MAIL=SIP" folgt und den Nachname in der Mail verwendet, wird spätestens bei Heirat/Scheidung mit einer Änderung konfrontiert sein. Änderungen wirken sich lokal aber auch hinsichtlich ADSync und den Diensten von Office 365 aus. Diese Seite beschreibt die Auswirkungen der Änderung des UPN.
Beachten Sie dazu auch die Seiten UserPrincipalName, Namenswechsel, ADSync und UPNs, SIPDomainRename
Diese Seite ist eine Momentaufnahme im Feb 2021. Wenn Sie veränderte Verhaltensweisen beobachten oder neue Produkte überprüft haben, kann ich diese Informationen gerne addieren.
UPN On-Premises
Die meisten Anwender haben über Jahrzehnte nichts vom UPN bemerkt, weil Sie sich mit dem "kurzen" SAMAccountname" angemeldet haben, obwohl der UPN seit Windows 2000 ebenfalls nutzbar gewesen wäre. Aber der UPN wurde dennoch schon seit der Zeit im Kerberos-Ticket oder in Benutzer-Zertifikaten verwendet. Damit sind die betroffenen Systeme schnell ausgemacht.
Systeme | Beschreibung und Links |
---|---|
Windows Client |
Wenn sich ein Anwender auf einem PC anmeldet, muss der die gültigen Anmeldedaten verwenden. Das kann weiter der SAMAccountname mit Kennwort sein und er merkt nur dann eine Änderung, wenn sich auch dieser Namen ändert. Wenn er sich mit dem UPN anmeldet, dann muss er nun den richtigen Anmeldenamen eingeben. Windows kann nicht erkennen, dass sich der Anmeldename geändert hat und gibt dem Anwender keinen Hinweis darauf, dass der UPN nicht mehr gültig ist. Nachdem sich der Anwender allerdings erfolgreich mit dem neuen UPN angemeldet hat, hat er eine gewohnte Umgebung und auch sein UserProfil. Allerdings wird der Pfad zum Profil nicht umbenannt. Es könnte sein, dass die Anwender das im Windows Explorer dann verwirrt, dass da noch der "alte Name" erscheint.
|
Windows Server |
Beim Zugriff auf Serverdienste, z.B. SMB-Freigaben, dann meldet sich nun der neue UPN im Kerberos-Ticket an. Das AD-Objekt ist aber weiterhin identisch, d.h. die ObjectGUID aber auch die SID und die Gruppenmitgliedschaften sind unverändert, so dass Zugriffe weiterhin wie gewohnt funktionieren. |
Andere Server |
Wenn Sie andere Dienste, z.B. Webserver auf Basis von Apache" nutzen und die Anwender sich dort mit ihrem Kerberos-Ticket authentifizieren, dann prüft der Service die Gültigkeit und wertet in der Regel dann den UPN aus. Der hat sich aber nun geändert, auch wenn Gruppenmitgliedschaften weiterhin unverändert sind. Es liegt nun an der Applikation, wie sie damit umgeht. Wenn die Applikation den UPN nutzt, um z.B. aus dem Active Directory per LDAP das Objekt zu erhalten und dann z.B. die SID oder ObjectGUID referenziert, dann klappt das auch weiter. Oft ist es aber so, dass die Applikation den UPN einfach als "String" auswertet und gegen eigene Konfigurationsdatenbanken abgleicht. Dann ist der umbenannte Benutzer ein neues Objekt. Hier muss der Applikationsverantwortliche dann auch dort die Umbenennung durchführen |
Zertifikate |
Sehr gerne werden auch "Benutzerzertifikate" zur Authentifizierung per Browser, am LAN (802.1x) oder VPN ausgestellt, die auf den UPN abzielen. Nach der Umbenennung gibt es natürlich kein zum Zertifikat passendes Konto mehr und der Zugang ist unterbunden. Der Anwender muss ein neues Zertifikat erhalten. Es hängt natürlich auch etwas davon ab, welche Information die Gegenstelle aus dem Zertifikat übernimmt und wie es die Information intern verarbeitet. |
Diese Auflistung ist sicher nicht komplett aber sie soll ihnen erste Hinweise auf die Verwendung des UPN bei verschiedenen Systemen geben
- UserPrincipalName (UPN)
- Changing Domain Users’ ‘User Logon Names’
and UPN’s
https://www.petenetlive.com/KB/Article/0001238 - SamAccountName and UserPrincipalName
attributes
https://theitbros.com/samaccountname-and-userprincipalname/
UPN und ADSync
Wenn ihre Firma nicht ganz klein ist und ein lokales Active Directory hat, dann werden Sie ADSync in der ein oder anderen Form einsetzen, um die Identitäten, d.h. Benutzer, Gruppen u.a. des lokalen Active Directory mit dem AzureAD ihres Tenant in Office 365 abzugleichen. ADSync übernimmt per Default den UserPrincipalName der lokalen Domäne als Anmeldename in Office 365. Es gibt den Ausnahmefall der Alternate Login ID, wenn Sie z.B. das Feld Mail als Quelle nutzen. Aber bei einer Heirat wird sich auch die Mailadresse ändern. Letztlich muss "etwas" dafür sorgen, dass diese Änderungen auch in der Cloud nachgezogen werden. Das "kann" ADSync machen, wenn er denn dafür konfiguriert ist.
Siehe dazu auch ADSync und UPN mit der Option "SynchronizeUpnForManagedUsers"
Eine sehr wichtig Seite dazu ist auch: "Azure AD UserPrincipalName population"
https://docs.microsoft.com/de-de/azure/active-directory/hybrid/plan-connect-userprincipalname
Je nach Objekt in der Cloud sind mehrere Fälle zu unterscheiden:
Objekt | Lizenz | Ergebnis |
---|---|---|
Cloud User |
nicht relevant |
Sie können über den Browser im Admin-Portal einfach den UPN ändern. Office 365 ändert im gleichen Zug neben dem Anmeldenamen auch die SIP-Adresse und die primäre Mailadresse und weist darauf auch explizit hin:
|
DirSync User |
Ohne Lizenz |
Wenn die Identitäten in der Cloud mittels DirSync verwaltet werden, dann können Sie den UPN "lokal" ändern. für die Änderungen eventuell mit replizierter Information aus den Proxy-Addresses oder SIP-Adressen müssen sie selbst sorgen. Der UPN und die anderen Felder werden in der Cloud entsprechend der Quelle nachgehalten. Wobei die Bedeutung von Mailadressen und SIP-Adressen ohne Lizenz natürlich nicht relevant ist. |
DirSync User |
Mit Lizenz |
Sobald das Objekt in der Cloud aber eine Lizenz zugewiesen wurde, verhält sich auch der DirSync anders. Der UPN in der Cloud wird in dem Fall nämlich nicht geändert. Sie müssen als Administrator in dem Fall von Hand nacharbeiten und den UPN der Konten entsprechend ändern. Das geht per Azure PowerShell: Set-MsolUserPrincipalName ` -UserPrincipalName alterupn@firmen.domain ` -NewUserPrincipalName neuerupn@firmen.domain Hier noch ein Beispiel, um die primäre Mailadresse als UPN zu setzen: Get-MsolUser | ` %{ ` Set-MsolUserPrincipalName ` -ObjectID $_.objectid ` -NewUserPrincipalName ($_.ProxyAddresses | where {$_.startswith("SMTP")}).substring(5)}
|
Ich kann mir das nur so erklären, dass eine Änderung des UPN ein durchaus tiefgreifender Einschnitt in eine Identität ist und so eine Änderung noch einmal manuell kontrolliert werden sollte. Beachten Sie dazu auch den nächsten Abschnitt zu UPN und Applikationen
- Namenswechsel
- ADSync und UPNs
- UserPrincipalName
-
Azure AD UserPrincipalName population
https://docs.microsoft.com/de-de/azure/active-directory/hybrid/plan-connect-userprincipalname -
Plan and troubleshoot User Principal Name
changes in Azure Active Directory
https://docs.microsoft.com/en-us/azure/active-directory/hybrid/howto-troubleshoot-upn-changes -
Office 365 Possible Issues Changing Users
UPN’s
http://www.dagint.com/office-365-possible-issues-changing-Users-upns/ -
Automate Sip Address and UPN name changes in
Lync / Skype for Business
http://powershellblogger.com/2015/10/automate-sip-address-and-upn-name-changes-in-lync-skype-for-business/ - 2643629 One or more objects don't sync when the Azure Active Directory Sync tool is used
- 2523192 User names in Office 365, Azure, or Intune don't match the On-Premises UPN or alternate login ID
-
2669550 Changes aren't synced by the Azure Active
Directory Sync tool after you change the UPN
of a User account to use a different
federated domain
https://support.microsoft.com/en-us/help/2669550/changes-aren-t-synced-by-the-azure-active-directory-sync-tool-after-yo -
Azure AD: UPN eines Hybrid-Users ändern
https://www.sandroreiter.de/2018/11/azure-ad-upn-hybrid-users-aendern/
UPN in Microsoft 365
Gehen wir nun davon aus, dass der Anmeldename eines Benutzers in der Cloud geändert wurde. Wie auch On-Premises gibt es hier Abhängigkeiten zu verschiedenen Diensten.
Produkt | Auswirkung | Schwere |
---|---|---|
Windows 10 Client |
Sie können ja einen PC auch zum "Mitglied eines AzureAD" machen. Der PC ist dann "Azure AD Joined" oder vielleicht sogar "Hybrid AD Joined". Für die Anmeldung am PC wird dann der UPN benutzt. Mit der Änderung können Sie sich nicht mehr mit dem alten UPN anmelden und müssen den neuen UPN nutzen, damit sie weiter arbeiten können. Damit wird dann auch z.B. die Windows Enterprise Lizenz aus dem Windows E3-Paket zugeordnet. Ein Popup in der Benachrichtigung weist sie auch darauf hin, dass die "Arbeits- oder Schulkonto ein Problem hat und sie sich erneut anmelden müssen.
|
Gering |
Office 365 Pro Plus Windows |
Wer Office 365 ProPlus nutzt und daher über den UPN gegen die Cloud aktiviert, wird nach einiger Zeit aufgefordert, den neuen Namen einzugeben, da unter dem alten Namen kein Konto mehr zu finden ist. Office 365 merkt sich wohl nicht eine ObjectGUID sondern den UPN und bekommt so eine Änderung nicht mit. Irgendwann wird Word, Excel, Outlook u.a. durch die Cloud lizenzierte Produkte erkennen, dass die Anmeldung nicht mehr "Gültig" ist und die Eingabe des richtigen UPN anfordern. |
Gering |
Office Mobile Apps (iPad, etc.) |
Viele Firmen lizenzieren Office 365 CALs, damit die Mobile-Version von Word, Excel, PowerPoint nicht weiter beschränkt sind. Auch hier muss der Anwender dann einmal den neune UPN eingeben, wenn die App sich mit dem alten UPN nicht mehr anmelden kann. |
Gering |
Gast-Konten |
Wenn Sie den UPN eines Konto ändern, dann wird der UPN des Gastkonto im anderen Tenant nicht angepasst. Der Anwender merkt davon aber nichts, denn auch mit dem neuen UPN kann er wie gewohnt im anderen Tenant weiter arbeiten. |
Gering |
MFA Client |
Die Authenticator-App hat bei mir noch den alten UPN solange angezeigt, bis die erste Authentifizierungsanforderung angekommen ist. Die konnte ich bestätigen und danach war auch der UPN in der Kontenliste aktualisiert. Ich vermute, dass hier die ObjectGUID die Bindung ist. |
Gering |
Skype für Business |
Skype for Business Online bezieht die SIP-Adresse in der Regel aus dem UPN. Nur im Hybrid-Mode mit ADSync können Sie eine abweichende SIP-Adresse nutzen.. Eine Änderung des UPN ändert auch die SIP-Adresse. Dies hat Auswirkungen, da Skype for Business immer nur eine SIP-Adresse kennt und keine früheren oder "sekundäre" Adressen unterstützt.
Hier gibt es also etwas mehr zu beachten bzw. den Benutzer zu informieren. Skye fir Busines Online ist aber am 1.8.2021 Geschichte. Wobei das nicht ganz stimmen dürfte, denn das Backend bleibt schon noch aktiv für Hybrid-Mode, 3PIP-Telefone und Federation mit anderen Skype for Business Umgebungen. Aber Benutzeranmeldungen mit dem SfB-Client scheitern dann wohl. |
Mittel |
Exchange Online und Outlook |
Neben der Lizenzierung kann sich mit der Änderung des UPN auch die Mailadresse ändern. Outlook kann in dem Zuge natürlich auch nicht mehr mit den alten Zugangsdaten weiter arbeiten.
Auch hier muss der Anwender aber die Anmeldedaten einmal aktualisieren. Allerdings sollten Sie nicht vergessen, dass auch die Änderung der Mailadresse zeitgleich erfolgt:
|
gering |
ActiveSync |
Wohl dem, bei dem Mailadresse = UPN ist und die Anwender dann alleine sich entsprechend behelfen können. Die Sync Partnerschaft wird die Eingabe der neuen Mailadresse erwarten und als Folge davon wird natürlich das Postfach quasi neu synchronisiert. |
gering |
OneDrive für Business |
Die Verbindung geht auch hier über den UPN, da die OneDrive-URL den UPN enthält. Ab dem Sync-Client Version 18.212.1021.0008 kann der Client aber damit umgehen. URls auf Sharepoint Teams-Sites sind nicht betroffen.
Die
Umstellung
kann
mehrere
Stunden
dauern,
in
denen
der
Anwender
Fehlermeldungen
sehen
kann. Dateien in einem Teams Team oder eine gemeinsamen SharePoint Dateiablage sind nicht betroffen. Bei OneDrive "Personal" mit einem Microsoft-Konto sind die Freigabelinks anscheinend nicht an das Anmeldekonto gebunden. Ich hoffe, dass Microsoft irgendwann auch die Freigabelinks für persönliche Dateien von Firmenkonten ohne den UPN erstellt, z.B. über die ObjectGUID Bedenken Sie immer, dass das "OneDrive Personal" Laufwerk quasi das frühere Heimatlaufwerk des Anwender war und die früher nie "freigegeben" wurde. Auch heute würde ich Dateien an der Stelle maximal temporär für eine kurze Zeit dort freigeben, während daran gearbeitet wird. Sie sollten ihre Anwender aber darauf hinweise, dass die Ergebnisse an einen zentralen Ort abzulegen sind. Offen: Kann ich weiter auf eine Datei zugreifen, die jemand mit mir geteilt und sich meine Mailadresse/UPN geändert hat?
|
Hoch |
Microsoft Teams |
Der UPN ist zugleich die Teams-Adresse. Eine Änderung hat also zumindest Einfluss auf die Kommunikation per Federation.
Es gibt in Microsoft Teams noch weitere Anknüpfungspunkte:
|
Gering |
Azure AD Joined |
Currently, UPN
changes are not
fully supported
on Azure AD
joined devices.
So their
authentication
with Azure AD
fails after
their UPN
changes. As a
result, users
have SSO and
Conditional
Access issues on
their devices.
At this time,
users need to
sign in to
Windows through
the "Other user"
tile using their
new UPN to
resolve this
issue. We are
currently
working on
addressing this
issue. However,
users signing in
with Windows
Hello for
Business do not
face this issue. |
Ab 2004 |
Ich finde es eigentlich schade, dass Microsoft in Office 365 nicht eine Option anbietet, einen "secondary UPN" zu hinterlegen, damit die Anwender mit dem alten und dem neuen UPN sich anmelden können und der Client nach der Authentifizierung den "neuen" UPN selbst erkennen und aktualisieren kann.
- Plan and troubleshoot User Principal
Name changes in Microsoft Entra ID
https://learn.microsoft.com/en-us/entra/identity/hybrid/connect/howto-troubleshoot-upn-changes - Office 365 – Why Your UPN Should Match Your Primary SMTP
Address
https://blogs.perficient.com/2015/07/07/office-365-why-your-upn-should-match-your-primary-smtp-address/
Microsoft 365 UPN Change - What happens on the desktop
https://www.youtube.com/watch?v=Sx2u49HUnsA
UPN mit Gastkonto
Kommen wir zum letzten Abschnitt. Sie melden sich bei ihrem AzureAD mit dem UPN an und greifen auf ihre Ressourcen im eigenen Tenant zu. Soweit passt das auch aber sie können ja auch mit dem Konto in einem anderen Tenant berechtigt sein. Ihr Konto ist dann ein "Gast" im anderen Tenant und bei der Anlage des Gasts wird aus dem Home-Tenant der UPN und ein paar andere Daten in den Gast-Tenant übertragen.
Eine Änderung des UPN im Heimattenant wird NICHT in den Gast-Tenant übertragen. Der Anwender kann sich aber dennoch weiter mit dem neuen UPN des Heimattenant als Gast am anderen Tenant anmelden. Übrigens wird auch die Mailadresse nicht aktualisiert, wen sich diese im Heimatforest ändert. Das ist bei einer UPN-Änderung ja ebenfalls wahrscheinlich. Microsoft schreibt dazu:
Wenn ein Gastbenutzer Ihre Einladung
annimmt und danach seine E-Mail-Adresse ändert, wird die
neue Adresse nicht automatisch im Gastbenutzerobjekt in
Ihrem Verzeichnis synchronisiert. Die E-Mail-Eigenschaft
wird über die Microsoft Graph-API erstellt. Sie können die
Maileigenschaft über die Microsoft Graph-API, das Admin
Center von Exchange oder Exchange Online-PowerShell
aktualisieren. Die Änderung wird im Azure
AD-Gastbenutzerobjekt widergespiegelt.
Quelle:
https://docs.microsoft.com/de-de/azure/active-directory/external-identities/user-properties#can-i-update-a-guest-users-email-address
Beachten Sie dazu auch die weiteren Seiten.
- Gast-Identität
- Office 365 Gast-Konten / Azure B2B
- Properties of an Azure Active Directory B2B collaboration user
https://docs.microsoft.com/de-de/azure/active-directory/b2b/user-properties - Some new interesting experiences with Guest users in Office 365
https://www.michev.info/Blog/Post/2256/some-new-interesting-experiences-with-guest-users-in-office-365 - Changing the UPN of a guest user is not reflected.
https://microsoftteams.uservoice.com/forums/555103-public/suggestions/38401927-changing-the-upn-of-a-guest-user-is-not-reflected - Change a user name and email address in Office 365
https://docs.microsoft.com/de-de/office365/admin/add-users/change-a-user-name-and-email-address?view=o365-worldwide
Weitere Links
- UserPrincipalName (UPN)
- Namenswechsel
- ADSync und UPNs
- SIPDomainRename
-
Microsoft Entra
UserPrincipalName population
https://learn.microsoft.com/en-us/entra/identity/hybrid/connect/plan-connect-userprincipalname - Plan and troubleshoot User Principal
Name changes in Azure Active Directory
https://docs.microsoft.com/en-us/azure/active-directory/hybrid/howto-troubleshoot-upn-changes - Renaming a user account doesn't
automatically change the profile path
https://docs.microsoft.com/en-US/troubleshoot/windows-client/user-profiles-and-logon/renaming-user-account-not-change-profile-path - Azure AD UserPrincipalName population
https://learn.microsoft.com/en-us/azure/active-directory/hybrid/plan-connect-userprincipalname - The underwhelming story of what happened
when I changed my UPN
https://blog.yannickreekmans.be/underwhelming-story-what-happend-when-upn-changed/ - Office 365 – Why Your UPN Should Match
Your Primary SMTP Address
https://blogs.perficient.com/2015/07/07/office-365-why-your-upn-should-match-your-primary-smtp-address/