UPNChange und Applikationen

Der UserPrincipalName (UPN) ist der Schlüssel zu den Cloud-Diensten, mit dem sich der Anwender anmeldet und auf seine Daten zugreift. Wer der Microsoft-Empfehlung "UPN=MAIL=SIP" folgt und den Nachname in der Mail verwendet, wird spätestens bei Heirat/Scheidung mit einer Änderung konfrontiert sein. Änderungen wirken sich lokal aber auch hinsichtlich ADSync und den Diensten von Office 365 aus. Diese Seite beschreibt die Auswirkungen der Änderung des UPN.

Diese Seite ist eine Momentaufnahme im Feb 2021. Wenn Sie veränderte Verhaltensweisen beobachten oder neue Produkte überprüft haben, kann ich diese Informationen gerne addieren

UPN OnPremises

Die meisten Anwender haben über Jahrzehnte nichts vom UPN bemerkt, weil Sie sich mit dem "kurzen" SAMAccountname" angemeldet haben, obwohl der UPN seit Windows 2000 ebenfalls nutzbar gewesen wäre. Aber der UPN wurde dennoch schon seit der Zeit im Kerberos-Ticket oder in Benutzer-Zertifikaten verwendet. Damit sind die betroffenen Systeme schnell ausgemacht.

Systeme Beschreibung und Links

Windows Client

Wenn sich ein Anwender auf einem PC anmeldet, muss der die gültigen Anmeldedaten verwenden. Das kann weiter der SAMAccountname mit Kennwort sein und er merkt nur dann eine Änderung, wenn sich auch dieser Namen ändert. Wenn er sich mit dem UPN anmeldet, dann muss er nun den richtigen Anmeldenamen eingeben. Windows kann nicht erkennen, dass sich der Anmeldename geändert hat und gibt dem Anwender keinen Hinweis darauf, dass der UPN nicht mehr gültig ist.

Nachdem sich der Anwender allerdings erfolgreich mit dem neuen UPN angemeldet hat, hat er eine gewohnte Umgebung und auch sein UserProfil. Allerdings wird der Pfad zum Profil nicht umbenannt. Es könnte sein, dass die Anwender das im Windows Explorer dann verwirrt, dass da noch der "alte Name" erscheint.

Windows Server

Beim Zugriff auf Serverdienste, z.B. SMB-Freigaben, dann meldet sich nun der neue UPN im Kerberos-Ticket an. Das AD-Objekt ist aber weiterhin identisch, d.h. die ObjectGUID aber auch die SID und die Gruppenmitgliedschaften sind unverändert, so dass Zugriffe weiterhin wie gewohnt funktionieren.

Andere Server

Wenn Sie andere Dienste, z.B. Webserver auf Basis von Apache" nutzen und die Anwender sich dort mit ihrem Kerberos-Ticket authentifizieren, dann prüft der Service die Gültigkeit und wertet in der Regel dann den UPN aus. Der hat sich aber nun geändert, auch wenn Gruppenmitgliedschaften weiterhin unverändert sind. Es liegt nun an der Applikation, wie sie damit umgeht. Wenn die Applikation den UPN nutzt, um z.B. aus dem Active Directory per LDAP das Objekt zu erhalten und dann z.B. die SID oder ObjectGUID referenziert, dann klappt das auch weiter.

Oft ist es aber so, dass die Applikation den UPN einfach als "String" auswertet und gegen eigene Konfigurationsdatenbanken abgleicht. Dann ist der umbenannte Benutzer ein neues Objekt. Hier muss der Applikationsverantwortliche dann auch dort die Umbenennung durchführen

Zertifikate

Sehr gerne werden auch "Benutzerzertifikate" zur Authentifizierung per Browser, am LAN (802.1x) oder VPN ausgestellt, die auf den UPN abzielen. Nach der Umbenennung gibt es natürlich kein zum Zertifikat passendes Konto mehr und der Zugang ist unterbunden. Der Anwender muss ein neues Zertifikat erhalten.

Es hängt natürlich auch etwas davon ab, welche Information die Gegenstelle aus dem Zertifikat übernimmt und wie es die Information intern verarbeitet.

Diese Auflistung ist sicher nicht komplett aber sie soll ihnen erste Hinweise auf die Verwendung des UPN bei verschiedenen Systemen geben

UPN und ADSync

Wenn ihre Firma nicht ganz klein ist und ein lokales Active Directory hat, dann werden Sie ADSync in der ein oder anderen Form einsetzen, um die Identitäten, d.h. Benutzer, Gruppen u.a. des lokalen Active Directory mit dem AzureAD ihres Tenant in Office 365 abzugleichen. ADSync übernimmt per Default den UserPrincipalName der lokalen Domäne als Anmeldename in Office 365. Es gibt den Ausnahmefall der Alternate Login ID, wenn Sie z.B. das Feld Mail als Quelle nutzen. Aber bei einer Heirat wird sich auch die Mailadresse ändern. Letztlich muss "etwas" dafür sorgen, dass diese Änderungen auch in der Cloud nachgezogen werden. Das "kann" ADSync machen, wenn er denn dafür konfiguriert ist.

Siehe dazu auch ADSync und UPN mit der Option "SynchronizeUpnForManagedUsers"

Eine sehr wichtig Seite dazu ist auch: "Azure AD UserPrincipalName population"
https://docs.microsoft.com/de-de/azure/active-directory/hybrid/plan-connect-userprincipalname

Je nach Objekt in der Cloud sind mehrere Fälle zu unterscheiden:

Objekt Lizenz Ergebnis

Cloud User

nicht relevant

Sie können über den Browser im Admin-Portal einfach den UPN ändern. Office 365 ändert im gleichen Zug neben dem Anmeldenamen auch die SIP-Adresse und die primäre Mailadresse und weist darauf auch explizit hin:

DirSync User

Ohne Lizenz

Wenn die Identitäten in der Cloud mittels DirSync verwaltet werden, dann können Sie den UPN "lokal" ändern. für die Änderungen eventuell mit replizierter Information aus den Proxy-Addresses oder SIP-Adressen müssen sie selbst sorgen.

Der UPN und die anderen Felder werden in der Cloud entsprechend der Quelle nachgehalten. Wobei die Bedeutung von Mailadressen und SIP-Adressen ohne Lizenz natürlich nicht relevant ist.

DirSync User

Mit Lizenz

Sobald das Objekt in der Cloud aber eine Lizenz zugewiesen wurde, verhält sich auch der DirSync anders. Der UPN in der Cloud wird in dem Fall nämlich nicht geändert. Sie müssen als Administrator in dem Fall von Hand nacharbeiten und den UPN der Konten entsprechend ändern. Das geht per Azure PowerShell:

Set-MsolUserPrincipalName `
   -UserPrincipalName alterupn@firmen.domain `
   -NewUserPrincipalName neuerupn@firmen.domain

Hier noch ein Beispiel, um die primäre Mailadresse als UPN zu setzen:

Get-MsolUser | `
%{ `
   Set-MsolUserPrincipalName `
      -ObjectID $_.objectid `
      -NewUserPrincipalName ($_.ProxyAddresses | where {$_.startswith("SMTP")}).substring(5)}

Ich kann mir das nur so erklären, dass eine Änderung des UPN ein durchaus tiefgreifender Einschnitt in eine Identität ist und so eine Änderung noch einmal manuell kontrolliert werden sollte. Beachten Sie dazu auch den nächsten Abschnitt zu UPN und Applikationen

UPN in Office 365

Gehen wir nun davon aus, dass der Anmeldename eines Benutzers in der Cloud geändert wurde. Wie auch OnPremises gibt es hier Abhängigkeiten zu verschiedenen Diensten. 

Produkt  Auswirkung Schwere

Windows 10 Client

Sie können ja einen PC auch zum "Mitglied eines AzureAD" machen. Der PC ist dann "Azure AD Joined" oder vielleicht sogar "Hybrid AD Joined". Für die Anmeldung am PC wird dann der UPN benutzt. Mit der Änderung können Sie sich nicht mehr mit dem alten UPN anmelden und müssen den neuen UPN nutzen, damit sie weiter arbeiten können. Damit wird dann auch z.B. die Windows Enterprise Lizenz aus dem Windows E3-Paket zugeordnet.

Ein Popup in der Benachrichtigung weist sie auch darauf hin, dass die "Arbeits- oder Schulkonto ein Problem hat und sie sich erneut anmelden müssen.

Gering

Office 365 Pro Plus Windows

Wer Office 365 ProPlus nutzt und daher über den UPN gegen die Cloud aktiviert, wird nach einiger Zeit aufgefordert, den neuen Namen einzugeben, da unter dem alten Namen kein Konto mehr zu finden ist. Office 365 merkt sich wohl nicht eine ObjectGUID sondern den UPN und bekommt so eine Änderung nicht mit.

Irgendwann wird Word, Excel, Outlook u.a. durch die Cloud lizenzierte Produkte erkennen, dass die Anmeldung nicht mehr "Gültig" ist und die Eingabe des richtigen UPN anfordern.

Gering

Office Mobile Apps (iPad, etc.)

Viele Firmen lizenzieren Office 365 CALs, damit die Mobile-Version von Word, Excel, PowerPoint nicht weiter beschränkt sind. Auch hier muss der Anwender dann einmal den neune UPN eingeben, wenn die App sich mit dem alten UPN nicht mehr anmelden kann.

Gering

Gast-Konten

Wenn Sie den UPN eines Konto ändern, dann wird der UPN des Gastkonto im anderen Tenant nicht angepasst. Der Anwender merkt davon aber nichts, denn auch mit dem neuen UPN kann er wie gewohnt im anderen Tenant weiter arbeiten.

Gering

MFA Client

Die Autenticator-App hat bei mir noch den alten UPN solange angezeigt, bis die erste Authentifizierungsanforderung angekommen ist. Die konnte ich bestätigen und danach war auch der UPN in der Kontenliste aktualisiert. Ich vermute, dass hier die ObjectGUID die Bindung ist.

Gering

Skype für Business

Skype for Business Online bezieht die SIP-Adresse in der Regel aus dem UPN. Nur im Hybrid-Mode mit ADSync können Sie eine abweichende SIP-Adresse nutzen.. Eine Änderung des UPN ändert auch die SIP-Adresse. Dies hat Auswirkungen, da Skype for Business immer nur eine SIP-Adresse kennt und keine früheren oder "sekundäre" Adressen unterstützt.

  • Anmeldung beim Client
    Der Anwender muss beim nächsten Start des Skype vor Business Clients den neuen Anmeldenamen eingeben. Der Client ändert dies nicht alleine.
  • Kontaktliste des Anwender
    Mit dem Neuen UPN hat der Anwender aber weiterhin Zugriff auf seine Buddy-Liste. Dies gilt auch für andere Mitarbeiter im gleichen Tenant, die den geänderten Anwender in ihrer Buddy-Liste haben.
  • Federation nacharbeiten
    Der umbenannte Anwender muss aber seinen externen Partnern die neue Adresse mitteilen. Wenn diese weiter die alte Adresse nutzen, sehen sie nur ein "offline" bzw. unbekannt.
  • Zukünftige Besprechungen
    Die SIP-Adresse ist Teil der Besprechungseinladung und mit der Änderung des UPN wird auch die Einladung ungültig. Der Anwender muss seine zukünftigem Meetings aktualisieren und an ein Update die Teilnehmer senden.

Hier gibt es also etwas mehr zu beachten bzw. den Benutzer zu informieren. Skye fir Busines Online ist aber am 1.8.2021 Geschichte. Wobei das nicht ganz stimmen dürfte, denn das Backend bleibt schon noch aktiv für Hybrid-Mode, 3PIP-Telefone und Federation mit anderen Skype for Business Umgebungen. Aber Benutzeranmeldungen mit dem SfB-Client scheitern dann wohl.

Mittel

Exchange Online und Outlook

Neben der Lizenzierung kann sich mit der Änderung des UPN auch die Mailadresse ändern. Outlook kann in dem Zuge natürlich auch nicht mehr mit den alten Zugangsdaten weiter arbeiten.

  • Anmeldung in Outlook
    Der Benutzer muss die Zugangsdaten neu einrichten. Er kann aber die OST-Datei beibehalten. Es gibt leider keinen Automatismus.
  • Empfang auf alte Adresse
    Wenn dies gewünscht oder erforderlich ist, kann der Administrator die frühere Mailadresse weiter als sekundäre ProxyAddresse beibehalten, so dass Mails an die alte Adresse weiter ankommen.

Auch hier muss der Anwender aber die Anmeldedaten einmal aktualisieren. Allerdings sollten Sie nicht vergessen, dass auch die Änderung der Mailadresse zeitgleich erfolgt:

gering

ActiveSync

Wohl dem, bei dem Mailadresse = UPN ist und die Anwender dann alleine sich entsprechend behelfen können. Die Sync Partnerschaft wird die Eingabe der neuen Mailadresse erwarten und als Folge davon wird natürlich das Postfach quasi neu synchronisiert.

gering

OneDrive für

Business

Die Verbindung geht auch hier über den UPN, da die OneDrive-URL den UPN enthält. Ab dem Sync-Client Version 18.212.1021.0008 kann der Client aber damit umgehen. URls auf Sharepoint Teams-Sites sind nicht betroffen.

  • Freigegebene Dateien in <tenantname-my>.sharepoint.com
    Die Freigabelinks enthalten leider den UPN und werden mit einer Änderung ungültig. Das betrifft insbesondere die Verbindungen in Office zu zuletzt genutzte Dateien, Favoriten im Browser etc. Das ist sehr unschön aber aktuell nicht zu ändern.
    Denkbar wäre z.B. die freigegebenen Dateien per Graph auszuwerten und den Anwendern ein Hilfsmittel zum Benachrichtigen der Nutzer an die Hand zu geben
  • Anmeldung am Client
    Der Client erfordert eine neue Eingabe der Anmeldedaten aber erkennt dann, dass es die gleichen Daten sind.

Die Umstellung kann mehrere Stunden dauern, in denen der Anwender Fehlermeldungen sehen kann.

Dateien in einem Teams Team oder eine gemeinsamen SharePoint Dateiablage sind nicht betroffen.

Bei OneDrive "Personal" mit einem Microsoft-Konto sind die Freigabelinks anscheinend nicht an das Anmeldekonto gebunden. Ich hoffe, dass Microsoft irgendwann auch die Freigabelinks für persönliche Dateien von Firmenkonten ohne den UPN erstellt, z.B. über die ObjektGUID

Bedenken Sie immer, dass das "OneDrive Personal" Laufwerk quasi das frühere Heimatlaufwerk des Anwender war und die früher nie "freigegeben" wurde. Auch heute würde ich Dateien an der Stelle maximal temporär für eine kurze Zeit dort freigeben, während daran gearbeitet wird. Sie sollten ihre Anwender aber darauf hinweise, dass die Ergebnisse an einen zentralen Ort abzulegen sind.

Offen: Kann ich weiter auf eine Datei zugreifen, die jemand mit mir geteilt und sich meine Mailadresse/UPN geändert hat?

Hoch

Microsoft Teams

Der UPN ist zugleich die Teams-Adresse. Eine Änderung hat also zumindest Einfluss auf die Kommunikation per Federation.

  • Anmeldung
    Der Anwender muss den neuen UPN einmalig neu eingeben und sich authentifizieren
  • Besprechungen
    In den Einladungslinks kommt die GUID des Tenant und die GUID des Organisators zum Einsatz aber kein UPN. Daher sind die Einladungen auch danach noch gültig
  • Federation
    Für die firmenübergreifende Kommunikation kommt der UPN als Nachfolger der SIP-Adresse zum Einsatz. Intern arbeitet Teams aber wohl mit den ObjectGUIDs, so dass die Funktion weiter vorhanden ist. Die Änderung des UPN wird bei der anderen Seite nach der nächsten Anmeldung sichtbar. Die Konversation wirwd nicht unterbrochen.
  • Suchen von Personen
    Hier gibt es gute Neuigkeiten: Teams findet einen Benutzer nicht nur über die primäre sondern auch zusätzliche Mailadressen. Ich tippe auf den Inhalt von "ProxyAddresses", was eine Umbenennung natürlich sehr einfach mache.
  • Chat-Dateien
    Wenn Anwender in 1:1-Chats oder Gruppenchats außerhalb von Teams Dateien anfügen dann liegen diese im OneDrive der Person, die diese Dateien freigibt. Wird deren UPN nun gerändert, dann sind die Links ungültig und alle Teilnehmer des Chats haben keinen Zugriff mehr darauf
  • Chats und Dateien in Teams und Kanälen
    Diese liegen in der Group Mailbox bzw. SharePoint und sind nicht mit dem UPN verbunden.

Es gibt in Microsoft Teams noch weitere Anknüpfungspunkte:

Gering

 

Ich finde es eigentlich schade, dass Microsoft in Office 365 nicht eine Option anbietet, einen "secondary UPN" zu hinterlegen, damit die Anwender mit dem alten und dem neuen UPN sich anmelden können und der Client nach der Authentifizierung den "neuen" UPN selbst erkennen und aktualisieren kann.

UPN mit Gastkonto

Kommen wir zum letzten Abschnitt. Sie melden sich bei ihrem AzureAD mit dem UPN an und greifen auf ihre Ressourcen im eigenen Tenant zu. Soweit passt das auch aber sie können ja auch mit dem Konto in einem anderen Tenant berechtigt sein. Ihr Konto ist dann ein "Gast" im anderen Tenant und bei der Anlage des Gasts wird aus dem Home-Tenant der UPN und ein paar andere Daten in den Gast-Tenant übertragen.

Eine Änderung des UPN im Heimattenant wird NICHT in den Gast-Tenant übertragen. Der Anwender kann sich aber dennoch weiter mit dem neuen UPN des Heimattenant als Gast am anderen Tenant anmelden. Übrigens wird auch die Mailadresse nicht aktualisiert, wen sich diese im Heimatforest ändert. Das ist bei einer UPN-Änderung ja ebenfalls wahrscheinlich. Microsoft schreibt dazu:

Wenn ein Gastbenutzer Ihre Einladung annimmt und danach seine E-Mail-Adresse ändert, wird die neue Adresse nicht automatisch im Gastbenutzerobjekt in Ihrem Verzeichnis synchronisiert. Die E-Mail-Eigenschaft wird über die Microsoft Graph-API erstellt. Sie können die Maileigenschaft über die Microsoft Graph-API, das Admin Center von Exchange oder Exchange Online-PowerShell aktualisieren. Die Änderung wird im Azure AD-Gastbenutzerobjekt widergespiegelt.
Quelle: https://docs.microsoft.com/de-de/azure/active-directory/external-identities/user-properties#can-i-update-a-guest-users-email-address

Beachten Sie dazu auch die weiteren Seiten.

Weitere Links