Microsoft Entra UserPrincipalName の作成
この記事では、Microsoft Entra ID での UserPrincipalName 属性の設定方法について説明します。 UserPrincipalName 属性の値は、ユーザー アカウントに対する Microsoft Entra のユーザー名です。
UPN の用語
この記事では、次の用語を使用します。
| 期間 | 説明 |
|---|---|
| 初期ドメイン | Microsoft Entra テナントでの既定のドメイン (onmicrosoft.com)。 たとえば、contoso.onmicrosoft.com です。 |
| Microsoft Online Email Routing Address (MOERA) | Microsoft Entra ID では、MOERA は、Microsoft Entra の MailNickName 属性と、Microsoft Entra の初期ドメインから、<MailNickName>@<初期ドメイン> として計算されます。 |
| オンプレミスの mailNickName 属性 | Active Directory 内の属性。Exchange 組織におけるユーザーの別名は、この属性の値によって表されます。 |
| オンプレミスの mail 属性 | Active Directory 内の属性。ユーザーのメール アドレスは、この属性の値によって表されます。 |
| プライマリ SMTP アドレス | Exchange 受信者オブジェクトの通常のメール アドレス。 たとえば、SMTP: user@contoso.com です。 |
| 代替ログイン ID | ログインに使用される、UserPrincipalName 以外のオンプレミス属性 (メール属性など)。 |
UserPrincipalName とは
UserPrincipalName は、インターネット標準 RFC 822 に基づく属性で、ユーザーのインターネット形式のログイン名となります。
UPN の形式
UPN は、UPN プレフィックス (ユーザー アカウント名) と UPN サフィックス (DNS ドメイン名) とから成ります。 プレフィックスとサフィックスは、"@" 記号を使用して結合されます (例: "someone@example.com")。 UPN は、ディレクトリ フォレスト内のすべてのセキュリティ プリンシパル オブジェクトの中で一意であることが必要です。
Microsoft Entra ID の UPN
UPN は、ユーザーがログインできるようにするために Microsoft Entra ID によって使用されます。 ユーザーが使用できる UPN は、ドメインが検証されているかどうかによって異なります。 ドメインが検証された場合、そのサフィックスを持つユーザーは Microsoft Entra ID にログインできます。
この属性は、Microsoft Entra Connect によって同期されます。 インストール中に、確認済みのドメインと確認されていないドメインを表示できます。
代替ログイン ID
環境によっては、エンド ユーザーは電子メール アドレスのみを認識し、UPN を認識していない場合があります。 電子メール アドレスの使用は、企業のポリシーまたはオンプレミス基幹業務アプリの依存関係によって求められることがあります。
代替ログイン ID を使用すると、ユーザーが UPN 以外の属性 (メールなど) を使用してログインできるログイン エクスペリエンスを構成できます。
Microsoft Entra Connect を使っている場合、Microsoft Entra ID で代替ログイン ID を有効にするために追加の構成手順は必要ありません。 代替 ID は、ウィザードから直接構成することができます。 「同期」セクションの「ユーザーの Microsoft Entra ログイン構成」を参照してください。[ユーザー プリンシパル名の ] ドロップダウンで、[代替ログイン ID] の属性を選択します。
詳細については、「代替ログイン ID の構成」および「Microsoft Entra ログイン構成」を参照してください。
非検証 UPN サフィックス
Microsoft Entra テナントで、オンプレミスの UserPrincipalName 属性と代替ログイン ID のサフィックスが検証されていない場合、Microsoft Entra の UserPrincipalName 属性の値は MOERA に設定されます。 Microsoft Entra ID では、MOERA は、Microsoft Entra の MailNickName 属性と、Microsoft Entra の初期ドメインから、<MailNickName>@<初期ドメイン> として計算されます。
検証済みの UPN サフィックス
Microsoft Entra テナントで、オンプレミスの UserPrincipalName 属性と代替ログイン ID のサフィックスが検証されている場合は、Microsoft Entra の UserPrincipalName 属性の値は、オンプレミスの UserPrincipalName 属性および代替ログイン ID と同じになります。
Microsoft Entra の MailNickName 属性値の計算
Microsoft Entra UserPrincipalName 属性値を MOERA に設定できるため、MOERA プレフィックスである Microsoft Entra MailNickName 属性値がどのように計算されるかを理解することが重要です。
ユーザー オブジェクトが Microsoft Entra テナントに初めて同期されるときは、Microsoft Entra ID によって以下の項目がこの順序でチェックされて、最初に見つかったものに MailNickName 属性の値が設定されます。
- オンプレミスの mailNickName 属性
- プライマリ SMTP アドレスのプレフィックス
- オンプレミスの mail 属性のプレフィックス
- オンプレミスの userPrincipalName 属性/代替ログイン ID のプレフィックス
- セカンダリ SMTP アドレスのプレフィックス
ユーザー オブジェクトの更新が Microsoft Entra テナントに同期されると、オンプレミスの mailNickName 属性値が更新された場合にのみ、Microsoft Entra ID によって MailNickName 属性値が更新されます。
重要
オンプレミスの UserPrincipalName 属性または代替ログイン ID の値に対する更新が Microsoft Entra テナントに同期される場合にのみ、Microsoft Entra ID によって UserPrincipalName 属性値が再計算されます。
Microsoft Entra ID が UserPrincipalName 属性を再計算し、ユーザーに Exchange ライセンスが割り当てられている場合は常に、新しい UserPrincipalName 値もセカンダリ SMTP プロキシ アドレスとして追加されます。
検証済みドメインが変更された場合、Microsoft Entra ID は UserPrincipalName 属性も再計算します。 詳しくは、「トラブルシューティング: 検証済みドメインの変更に関する監査データ」をご覧ください
UPN のシナリオ
以降、UPN がどのように計算されるかの例を、設定したシナリオごとに紹介します。
シナリオ 1: 未検証 UPN サフィックス – 初期同期
オンプレミス ユーザー オブジェクト:
- mailNickName: <未設定>
- proxyAddresses: {SMTP:us1@contoso.com}
- 電子メール: us2@contoso.com
- userPrincipalName: us3@contoso.com
Microsoft Entra テナントにユーザー オブジェクトを初めて同期した
- Microsoft Entra の MailNickName 属性をプライマリ SMTP アドレスのプレフィックスに設定します。
- MOERA を <MailNickName>@<initial domain> に設定します。
- Microsoft Entra の UserPrincipalName 属性を MOERA に設定します。
Microsoft Entra テナントのユーザー オブジェクト:
- MailNickName : us1
- UserPrincipalName: us1@contoso.onmicrosoft.com
シナリオ 2: 未検証 UPN サフィックス - オンプレミスの mailNickName 属性を設定する
オンプレミス ユーザー オブジェクト:
- mailNickName: us4
- proxyAddresses: {SMTP:us1@contoso.com}
- 電子メール: us2@contoso.com
- userPrincipalName: us3@contoso.com
オンプレミスの mailNickName 属性での更新を Microsoft Entra テナントに同期する
- Microsoft Entra の MailNickName 属性を、オンプレミスの mailNickName 属性で更新します。
- オンプレミスの userPrincipalName 属性は更新されないため、Microsoft Entra UserPrincipalName 属性は変更されません。
Microsoft Entra テナントのユーザー オブジェクト:
- MailNickName: us4
- UserPrincipalName: us1@contoso.onmicrosoft.com
シナリオ 3: 未検証 UPN サフィックス - オンプレミスの userPrincipalName 属性を更新する
オンプレミス ユーザー オブジェクト:
- mailNickName: us4
- proxyAddresses: {SMTP:us1@contoso.com}
- 電子メール: us2@contoso.com
- userPrincipalName: us5@contoso.com
オンプレミスの userPrincipalName 属性での更新を Microsoft Entra テナントに同期する
- オンプレミスの userPrincipalName 属性を更新すると、MOERA と Microsoft Entra の UserPrincipalName 属性の再計算がトリガーされます。
- MOERA を <MailNickName>@<initial domain> に設定します。
- Microsoft Entra の UserPrincipalName 属性を MOERA に設定します。
Microsoft Entra テナントのユーザー オブジェクト:
- MailNickName: us4
- UserPrincipalName: us4@contoso.onmicrosoft.com
シナリオ 4: 未確認の UPN サフィックス - プライマリ SMTP アドレスとオンプレミスメール属性を更新する
オンプレミス ユーザー オブジェクト:
- mailNickName: us4
- proxyAddresses: {SMTP:us6@contoso.com}
- 電子メール: us7@contoso.com
- userPrincipalName: us5@contoso.com
オンプレミスのメール属性とプライマリ SMTP アドレスに対する更新を、Microsoft Entra テナントに同期する
- ユーザー オブジェクトの初期同期後、オンプレミスのメール属性とプライマリ SMTP アドレスの更新は、Microsoft Entra MailNickName 属性または UserPrincipalName 属性には影響しません。
Microsoft Entra テナントのユーザー オブジェクト:
- MailNickName: us4
- UserPrincipalName: us4@contoso.onmicrosoft.com
シナリオ 5: 検証済みの UPN サフィックス - オンプレミスの userPrincipalName 属性のサフィックスを更新
オンプレミス ユーザー オブジェクト:
- mailNickName: us4
- proxyAddresses: {SMTP:us6@contoso.com}
- 電子メール: us7@contoso.com
- userPrincipalName: us5@verified.contoso.com
オンプレミスの userPrincipalName 属性での更新を Microsoft Entra テナントに同期する
- オンプレミスの userPrincipalName 属性を更新すると、Microsoft Entra の UserPrincipalName 属性の再計算がトリガーされます。
- Microsoft Entra テナントで UPN サフィックスが検証されているため、Microsoft Entra の UserPrincipalName 属性がオンプレミスの userPrincipalName 属性に設定されます。
Microsoft Entra テナントのユーザー オブジェクト:
- MailNickName: us4
- UserPrincipalName: us5@verified.contoso.com