Население Microsoft Entra UserPrincipalName
В этой статье описывается, как атрибут UserPrincipalName заполняется идентификатором Microsoft Entra. Значение атрибута UserPrincipalName — это имя пользователя Microsoft Entra для учетных записей пользователей.
Терминология UPN
В этом руководстве используется следующая терминология:
| Срок | Описание |
|---|---|
| Исходный домен | Домен по умолчанию (onmicrosoft.com) в клиенте Microsoft Entra. Например, "contoso.onmicrosoft.com". |
| Адрес маршрутизации электронной почты Microsoft Online (MOERA) | Идентификатор Microsoft Entra вычисляет MOERA из атрибута Microsoft Entra MailNickName и начального домена Microsoft Entra как "<MailNickName>@<начальный домен>". |
| атрибут mailNickName в локальной среде; | Атрибут в Active Directory, значение которого представляет собой псевдоним пользователя в организации Exchange. |
| Атрибут mail в локальной среде | Атрибут в Active Directory, значение которого представляет собой адрес электронной почты пользователя. |
| Основной SMTP-адрес | Основной адрес электронной почты объекта получателя Exchange. Например, "SMTP:user@contoso.com". |
| Альтернативный идентификатор входа | Локальный атрибут, отличный от UserPrincipalName, например атрибут почты, используемый для входа. |
Что такое UserPrincipalName?
UserPrincipalName — это атрибут, который является именем пользователя для входа через Интернет на основе интернет-стандарта RFC 822.
Формат UPN
UPN состоит из префикса UPN (имя учетной записи пользователя) и суффикса UPN (доменное имя DNS). Префикс объединяется с суффиксом с помощью символа "@". Например, someone@example.com. UPN должен быть уникальным среди всех объектов-представителей безопасности в лесу доменов.
UPN в Microsoft Entra ID
UPN используется Microsoft Entra ID, чтобы пользователи могли авторизоваться. UPN, который может использовать пользователь, зависит от того, проверен ли домен. Если домен проверен, пользователь с этим суффиксом может войти в идентификатор Microsoft Entra.
Атрибут синхронизируется Microsoft Entra Connect. Во время установки можно просмотреть проверенные домены и те, которые не являются.
Альтернативный идентификатор входа
В некоторых средах пользователи могут знать только свой адрес электронной почты, но не своё универсальное имя пользователя. Использование адреса электронной почты может объясняться требованиями корпоративной политики или зависимостью в локальном бизнес-приложении.
Альтернативный идентификатор входа позволяет настроить процесс входа, в котором пользователи могут войти с помощью атрибута, отличного от имени пользователя (UPN), например электронной почты.
Чтобы включить альтернативный идентификатор входа с идентификатором Microsoft Entra ID, при использовании Microsoft Entra Connect не требуется никаких дополнительных действий по настройке. Альтернативное имя пользователя можно настроить непосредственно через мастер настройки. Сведения о конфигурации входа Microsoft Entra для пользователей см. в разделе "Синхронизация". В раскрывающемся списке имя основного пользователя выберите атрибут для альтернативного идентификатора входа.
Дополнительные сведения см. в разделе Настройка альтернативного идентификатора входа и конфигурации входа Microsoft Entra.
Неверифицированный суффикс UPN
Если локальный атрибут UserPrincipalName/альтернативный суффикс идентификатора входа не проверен с помощью клиента Microsoft Entra, значение атрибута Microsoft Entra UserPrincipalName не может иметь этот суффикс домена. Идентификатор Microsoft Entra вычисляет новый UPN, используя значение атрибута Microsoft Entra MailNickName в качестве префикса, а начальный домен Microsoft Entra — как суффикс домена (<MailNickName>@<начальный домен>.
Проверенный суффикс UPN
Если атрибут UserPrincipalName или суффикс альтернативного идентификатора входа в локальной среде подтвержден у клиента Microsoft Entra, то значение атрибута UserPrincipalName в Microsoft Entra будет совпадать со значением аналогичного атрибута или идентификатора в локальной среде.
Предупреждение
Любые недопустимые символы (например, пробел, разрыв строки и т. д.), присутствующие в локальном UserPrincipalName, делают недействительным синхронизированное значение UPN. В таких случаях Microsoft Entra ID вычисляет новый UPN, аналогично сценарию, в котором суффикс домена не проверен в клиенте Microsoft Entra.
Вычисление значения атрибута Microsoft Entra MailNickName
Так как значение атрибута Microsoft Entra UserPrincipalName можно пересчитывать на <MailNickName>@<initial domain>, важно понимать, как вычисляется значение атрибута Microsoft Entra MailNickName, которое становится префиксом UPN.
Когда объект пользователя синхронизируется с клиентом Microsoft Entra в первый раз, идентификатор Microsoft Entra проверяет следующие элементы в указанном порядке и задает значение атрибута MailNickName первым существующим:
- атрибут mailNickName в локальной среде;
- префикс основного SMTP-адреса;
- префикс атрибута mail в локальной среде;
- префикс локального атрибута userPrincipalName или альтернативного имени пользователя.
- префикс дополнительного SMTP-адреса.
Когда обновления объекта пользователя синхронизированы с клиентом Microsoft Entra, Microsoft Entra ID обновляет значение атрибута MailNickName только в случае изменения значения атрибута mailNickName в локальной системе.
Внимание
Идентификатор Microsoft Entra id пересчитывает значение атрибута UserPrincipalName только в том случае, если обновление атрибута UserPrincipalName или значение альтернативного идентификатора входа синхронизируется с клиентом Microsoft Entra.
Когда идентификатор Microsoft Entra ID пересчитывает атрибут UserPrincipalName и пользователь имеет лицензию Exchange, новое значение UserPrincipalName также добавляется в качестве дополнительного smtp-прокси-адреса.
В случае проверенной операции изменения домена (например, добавление нового проверенного домена или удаление существующего домена), идентификатор Microsoft Entra id также пересчитывает атрибут UserPrincipalName для всех пользователей в клиенте. Дополнительные сведения см. в разделе "Устранение неполадок: аудит данных об изменении проверенного домена"
Сценарии UPN
Ниже приведены примеры, как UPN вычисляется на основе заданного сценария.
Сценарий 1: Непроверенный суффикс основного имени пользователя (UPN) — начальная синхронизация
Локальный объект пользователя:
mailNickName: <не задано>
Прокси-адреса: {SMTP:user1@contoso.com}
почта: user2@contoso.com
имяПользователя: user3@contoso.com
Объект пользователя был синхронизирован с клиентом Microsoft Entra впервые.
- Задайте атрибут Microsoft Entra MailNickName для первичного префикса SMTP-адреса.
- Задайте MOERA в формате <MailNickName>@<начальный домен>.
- Задайте для атрибута Microsoft Entra UserPrincipalName значение MOERA.
Объект пользователя клиента Microsoft Entra:
Псевдоним почты: user1
UserPrincipalName: user1@contoso.onmicrosoft.com
Сценарий 2. Неверифицированный суффикс UPN — настройка локального атрибута mailNickName.
Локальный объект пользователя:
почтовый псевдоним: user4
proxyAddresses: {SMTP:user1@contoso.com}
почта: user2@contoso.com
ИмяПользователя: user3@contoso.com
Синхронизация обновления локального атрибута mailNickName с клиентом Microsoft Entra
- Обновите атрибут Microsoft Entra MailNickName с помощью локального атрибута mailNickName.
- Так как в локальном атрибуте userPrincipalName нет обновления, нет изменений в атрибуте Microsoft Entra UserPrincipalName.
Объект пользователя клиента Microsoft Entra:
MailNickName: user4
ИмяПользователя: user1@contoso.onmicrosoft.com
Сценарий 3. Непроверенный суффикс пользовательского UPN — обновление атрибута userPrincipalName в локальной среде
Локальный объект пользователя:
почтовый псевдоним: user4
прокси-адреса: {SMTP:user1@contoso.com}
почта: user2@contoso.com
Имя пользователя (userPrincipalName): user5@contoso.com
Синхронизация обновления локального атрибута userPrincipalName с клиентом Microsoft Entra
- Обновление локального атрибута userPrincipalName активирует пересчет атрибута MOERA и Microsoft Entra UserPrincipalName.
- Задайте MOERA в формате <MailNickName>@<исходный домен>.
- Задайте для атрибута Microsoft Entra UserPrincipalName значение MOERA.
Объект пользователя клиента Microsoft Entra:
MailNickName: user4
Имя пользователя: user4@contoso.onmicrosoft.com
Сценарий 4. Непроверенный суффикс основного имени пользователя — обновление основного SMTP-адреса и атрибута почты в локальной системе
Локальный объект пользователя:
почтовый псевдоним: user4
proxyAddresses: {SMTP:user6@contoso.com}
почта: user7@contoso.com
userPrincipalName: user5@contoso.com
Синхронизация обновления локального атрибута почты и основного SMTP-адреса с клиентом Microsoft Entra
- После начальной синхронизации объекта пользователя обновления атрибута локальной почты и основного SMTP-адреса не повлияют на атрибут Microsoft Entra MailNickName или userPrincipalName.
Объект пользователя клиента Microsoft Entra:
MailNickName: user4
UserPrincipalName: user4@contoso.onmicrosoft.com
Сценарий 5: Подтвержденный суффикс UPN – обновление суффикса атрибута userPrincipalName на локальном сервере
Локальный объект пользователя:
почтовый псевдоним: user4
proxyAddresses: {SMTP:user6@contoso.com}
почта: user7@contoso.com
userPrincipalName: user5@verified.contoso.com
Синхронизация обновления локального атрибута userPrincipalName с клиентом Microsoft Entra
- Обновление локального атрибута userPrincipalName активирует пересчет атрибута Microsoft Entra UserPrincipalName.
- Задайте атрибуту UserPrincipalName в Microsoft Entra значение локального атрибута userPrincipalName, так как суффикс UPN проверяется в клиенте Microsoft Entra.
Объект пользователя клиента Microsoft Entra:
MailNickName: user4
ИмяПользователя: user5@verified.contoso.com