Microsoft Entra UserPrincipalName 填入值
本文說明在 Microsoft Entra ID 中填入 UserPrincipalName 屬性的方式。 UserPrincipalName 屬性值是使用者帳戶的 Microsoft Entra 使用者名稱。
UPN 術語
本文使用下列術語:
| 術語 | 描述 |
|---|---|
| 初始網域 | Microsoft Entra 租用戶中的預設網域為 (onmicrosoft.com)。 例如,“contoso.onmicrosoft.com”。 |
| Microsoft 線上電子郵件路由位址 (MOERA) | Microsoft Entra ID 會從 Microsoft Entra MailNickName 屬性和 Microsoft Entra 初始網域計算 MOERA,生成 “<MailNickName>@<初始網域>”。 |
| 內部部署 mailNickName 屬性 | Active Directory 的屬性,其值代表 Exchange 組織使用者的別名。 |
| 內部部署郵件屬性 | Active Directory 的屬性,其值代表使用者的電子郵件地址 |
| 主要 SMTP 位址 | Exchange 收件者物件的主要電子郵件地址。 例如,“SMTP:user@contoso.com”。 |
| 替代登入識別碼 | UserPrincipalName 以外的內部部署屬性,例如用於登入的郵件屬性。 |
何謂 UserPrincipalName?
UserPrincipalName 是依據網際網路標準 RFC 822 所定義的一個屬性,可作為使用者的網際網路樣式登入名稱。
UPN 格式
UPN 是由 UPN 前置詞 (使用者帳戶名稱) 和 UPN 尾碼 (DNS 網域名稱) 所組成。 前綴會使用「@」符號來與後綴連結。 例如,"someone@example.com"。 在目錄樹系的所有安全性主體物件之間,UPN 必須是唯一的。
Microsoft Entra ID 中的 UPN
MICROSOFT Entra ID 會使用 UPN 來允許使用者登入。 用戶可以使用的UPN取決於網域是否經過驗證。 如果已驗證網域,則允許具有該後綴的使用者登入Microsoft Entra ID。
此屬性由 Microsoft Entra Connect 同步。 在安裝期間,您可以檢視已驗證的網域,以及未驗證的網域。
替代登入識別碼
在某些環境中,使用者僅能得知其電子郵件地址,而無法得知其 UPN。 使用電子郵件地址可能是基於公司政策或內部部署業務應用程式的依賴性。
替代登入標識碼可讓您設定登入體驗,讓使用者可以使用UPN以外的屬性登入,例如郵件。
若要使用 Microsoft Entra ID 啟用替代登入標識碼,使用 Microsoft Entra Connect 時不需要額外的設定步驟。 您可以直接從精靈設定替代識別碼。 在「同步處理」章節下查看使用者的 Microsoft Entra 登入設定。在 [使用者主體名稱] 下拉式清單中,選取作為替代登入 ID 的屬性。
![醒目提示 [使用者主體名稱] 清單的螢幕擷取畫面,您可以在該清單中選取 [替代登入識別碼] 屬性。](media/plan-connect-userprincipalname/altloginid.png)
如需詳細資訊,請參閱 設定替代登入標識碼 和 Microsoft Entra 登入組態。
未驗證的 UPN 後綴
如果內部部署 UserPrincipalName 屬性或替代登入標識符後綴未與 Microsoft Entra 租戶進行驗證,則 Microsoft Entra 的 UserPrincipalName 屬性值不能有此網域後綴。 Microsoft Entra ID 會根據 Microsoft Entra MailNickName 屬性值作為前綴來計算新的 UPN,而 Microsoft Entra 初始網域作為網域後綴(<MailNickName>@<初始網域>)。
已驗證的 UPN 尾碼
如果內部部署的 UserPrincipalName 屬性/替代登入 ID 尾碼已通過 Microsoft Entra 租戶的驗證,那麼 Microsoft Entra 的 UserPrincipalName 屬性值將與內部部署的 UserPrincipalName 屬性/替代登入 ID 值相同。
警告
內部部署 UserPrincipalName 中的任何無效字元(例如空格符、換行符等)會使同步的 UPN 值失效。 在這種情況下,Microsoft Entra ID 會計算新的 UPN,這類似於當網域後綴未經 Microsoft Entra 租戶驗證的情況。
Microsoft Entra MailNickName 屬性值計算
由於 Microsoft Entra UserPrincipalName 屬性值可以重新計算為 <MailNickName>@<initial domain>,因此請務必瞭解如何計算 Microsoft Entra MailNickName 屬性值,這會成為 UPN 的前綴。
當使用者物件第一次同步到 Microsoft Entra 租用戶時,Microsoft Entra ID 會按照指定的順序檢查下列項目,並將 MailNickName 屬性值設為第一個現有項目:
- 內部部署 mailNickName 屬性
- 主要 SMTP 位址的前置詞
- 內部部署的電子郵件屬性的前置詞
- 內部部署環境 userPrincipalName 屬性的前置詞/替代登入識別碼
- 次要 SMTP 位址的首碼
當使用者物件的更新同步至 Microsoft Entra 租戶時,只有在內部部署的 mailNickName 屬性值有更新的情況下,Microsoft Entra ID 才會更新 MailNickName 屬性值。
重要
只有在內部部署的 UserPrincipalName 屬性或替代登入 ID 值的更新同步到 Microsoft Entra 租用戶時,Microsoft Entra ID 才會重新計算 UserPrincipalName 屬性值。
每當 Microsoft Entra ID 重新計算 UserPrincipalName 屬性,且使用者已指派 Exchange 授權時,新的 UserPrincipalName 值也會新增為次要 SMTP Proxy 位址。
如果已驗證的網域變更操作(例如,新增已驗證的網域或移除現有的網域),Microsoft Entra ID 也會重新計算租戶中所有使用者的使用者主體名稱屬性。 如需更多資訊,請參閱 疑難解答:已驗證網域變更的稽核資料
UPN 案例
以下是在給定案例的情況下,UPN 會如何計算的案例範例。
案例 1:未驗證的 UPN 後綴 – 初始同步處理
內部部署使用者物件:
mailNickName:<未設定>
proxyAddresses:{SMTP:user1@contoso.com}
mail:user2@contoso.com
userPrincipalName:user3@contoso.com
第一次將使用者對象同步到 Microsoft Entra 租用戶
- 將 Microsoft Entra MailNickName 屬性設定為主要 SMTP 位址首碼。
- 將 MOERA 設定為 <MailNickName>@<初始網域>。
- 將 Microsoft Entra UserPrincipalName 屬性設定為 MOERA。
Microsoft Entra 租戶使用者物件:
MailNickName: user1
UserPrincipalName:user1@contoso.onmicrosoft.com
情境 2:未驗證的 UPN 後綴 – 設定內部部署 mailNickName 屬性
內部部署使用者物件:
mailNickName:user4
proxyAddresses:{SMTP:user1@contoso.com}
郵件:user2@contoso.com
userPrincipalName :user3@contoso.com
同步更新內部部署的 mailNickName 屬性至 Microsoft Entra 租戶
- 將 Microsoft Entra 的 MailNickName 屬性與內部部署的 mailNickName 屬性同步更新。
- 因為內部部署的 userPrincipalName 屬性沒有更新,所以 Microsoft Entra 的 UserPrincipalName 屬性也不會發生變更。
Microsoft Entra 租戶使用者物件:
MailNickName:user4
使用者主要名稱:user1@contoso.onmicrosoft.com
案例 3:未驗證 UPN 後綴 – 更新本地 userPrincipalName 屬性
內部部署使用者對象:
mailNickName:user4
proxyAddresses:{SMTP:user1@contoso.com}
mail:user2@contoso.com
userPrincipalName:user5@contoso.com
將內部環境的 userPrincipalName 屬性的更新同步到 Microsoft Entra 租用戶
- 內部部署 userPrincipalName 屬性的更新會觸發 MOERA 和 Microsoft Entra UserPrincipalName 屬性的重新計算。
- 將 MOERA 設定為 <MailNickName>@<初始網域>。
- 將 Microsoft Entra UserPrincipalName 屬性設定為 MOERA。
Microsoft Entra 租戶使用者物件:
MailNickName:user4
使用者主體名稱:user4@contoso.onmicrosoft.com
案例 4:未驗證的 UPN 後綴 – 更新主要 SMTP 位址和內部部署郵件屬性
內部部署使用者物件:
mailNickName:user4
proxyAddresses:{SMTP:user6@contoso.com}
電子郵件:user7@contoso.com
userPrincipalName:user5@contoso.com
將內部部署的 mail 屬性和主要 SMTP 位址更新同步到 Microsoft Entra 租用戶
- 在用戶物件的初始同步處理之後,更新本機部署的郵件屬性和主要SMTP地址不會影響 Microsoft Entra 的 MailNickName 或 UserPrincipalName 屬性。
Microsoft Entra 租戶使用者物件:
MailNickName:user4
使用者主體名稱:user4@contoso.onmicrosoft.com
案例 5:已驗證的 UPN 尾碼 – 更新本地 userPrincipalName 屬性尾碼
內部部署使用者物件:
mailNickName:user4
proxyAddresses:{SMTP:user6@contoso.com}
郵件:user7@contoso.com
userPrincipalName: user5@verified.contoso.com
將本機 userPrincipalName 屬性的更新同步至 Microsoft Entra 租用戶
- 內部部署 userPrincipalName 屬性的更新會觸發 Microsoft Entra UserPrincipalName 屬性的重新計算。
- 將 Microsoft Entra 的 UserPrincipalName 屬性設定為內部部署的 userPrincipalName 屬性,因為 UPN 後綴已透過 Microsoft Entra 租用戶進行驗證。
Microsoft Entra 租戶使用者物件:
MailNickName:user4
UserPrincipalName:user5@verified.contoso.com