UPN nachträglich ändern - alternative Login ID

[_Chris_ 0]

Hallo,

 

möglicherweise wurde dies schon diskutiert, dann bitte verlinken.

 

folgende Ausgangssituation:
 

• Server 2012 R2 AD
• kein ADFS
• UPN ist mit USERNAME@TLD configuriert
• die TLD ist keine Maildomain
• Azure AD Connect läuft seit einem Jahr
• Anmeldung bei Azure AD per UPN des AD

 

folgendes Ziel:
 

• Im Azure AD soll die UPN-Anmeldung auf Mail geändert werden.

 

Bei einer Neuinstallation könnte ich bei Azure AD Connect einfach das Azure AD Sign-in auf "mail" statt UPN ändern.

 

Was mache ich bei einem bereits laufenden connect?

Dieses Feature ist offenbar nur bei der Erstkonfiguration vorhanden.

 

Ich habe mich in verschiedene Lösungen eingelesen:

 

1. Azure AD Connect deinstallieren und wieder neu installieren, dabei neu konfigurieren.
    
2. ADFS installieren und dort alternative login names aktivieren
    
3. zusätzliche Domain im AD hinzufügen und die Logon-Names ändern, damit sie den Mailadressen entsprechen.
    
4. Das zu synchronisierende Attribut im Synchronisation Rules Editor auf "Mail"anpassen.

 

Was ist in der Praxis die richtige Lösung?

 

VG Chris

 

bearbeitet 27. Juli 2018 von _Chris_
Grammatik

[Necron 71]

Hi Chris,

 

schau mal in diesen Thread hier, dort hatte ich die entsprechenden Infos schon gepostet.

 

-> 

 

[_Chris_ 0]

Hi Daniel, 

 

danke dir.

 

Habe jetzt Azure AD Connect Deinstalliert, erneut installiert, und "mail" als alternative Login ID ausgewählt.

Grundsätzlich funktioniert es jetzt, nur leider nicht mit bereits bestehenden und wiederaufgenommenen Accounts in Visual Studio Team Services.

(Man landet nach der Anmeldung immer auf der Profiloberfläche des angemeldeten Users mit (korrekt) vorausgefüllten Feldern, kann diese aber nicht bestätigen, da das Feld mit der (korrekten) eMailadresse nicht akzeptiert wird. Support-Anfrage bei MS läuft.)

 

VG Chris

[_Chris_ 0]

Um dieses Thema hier einmal abzuschließen:

 

Offenbar gibt es bei MS einen Bug, der in in genau diesem Zusammenhang steht.

1. Die Anmeldenamen der User im AD entsprechen keinen echten eMailadressen (in meinem Fall: UPNs mit Funktions-TLD > Catch-All-Postfach für Systemmeldungen)
2. Man hat Azure AD Connect schon verwendet - das AD (oder Teile des AD) sind bereits mit Azure AD gesynct
3. man verwendet Visual Studio Team Services, bindet die VSTS als Tenant an das AD an und lädt User des Azure AD zur Arbeit an Projekten ein
4. die User erscheinen dann mit dem UPN des AD in der Userübersicht, welche immer noch keine eMailadressen sind
5. Da die UPNs keine echten eMailadressen sind, können der eMail-Einladung nicht direkt folgen. Daher habe ich ihnen die eMails aus dem Catch-All-PF an die entsprechenden User weitergeleitet.
6. Die User melden sich am VSTS per UPN des AD an und können ab jetzt ihren Code in VS Professional Arbeitsbereich mit dem Projekt der VSTS versionieren/abgleichen.
7. Ich möchte, dass die User im Web ihre eMailadresse des AD zur Anmeldung verwenden, daher deinstalliere das Azure AD Connect und installiere es neu - Diesmal mit der Alternate Login ID "mail"
8. Das Anmelde-Attribut "mail" wird von Azure AD Connect im Azure AD überschrieben - die User-IDs im Azure AD bleiben gleich.
9. User können sich nun an bestimmten MS-Diensten mit ihrem Company-Account anmelden.
10. Ab jetzt funktioniert die Anmeldung der User mit bereits bestehendem VSTS-Account nicht mehr. Die User kommen zu einer Profilbestätigungsseite, auf der Names-und eMailfelder bereits vorausgefüllt sind - das Klicken des "weiter"-Buttons generiert im korrekt ausgefüllten eMailfeld ein rotes Ausrufungszeichen ohne Beschreibung.
11. Laut Aussage von MS Support musste nun folgendes im Backend gemacht werden: Da die Visual Studio Online-Profile bereits bestanden, hat der MS Support für VSTS für jeden User einzeln die existierenden Profile mit der Azure AD ID neu verknüpft (?).
12. Eine Anmeldung der USER am VSTS-Projekt schlägt dann aber mit einer 401-Meldung fehl. Sie haben ein funktionierendes Visual Studio Online-Profil - aber keine Berechtigungen auf das Projekt.
13. Hiernach muss man als VSTS Admin die User aus der VSTS-Seite entfernen und die User neu zu ihren Projekten einladen.
14. Die User erhalten dann regulär ihre Einladungs-eMails, können sich einloggen und wieder ihren  Code in VS Professional Arbeitsbereich mit dem Projekt der VSTS versionieren/abgleichen.

Problem gelöst.

Chris

[Nobbyaushb 1.471]

Moin,

 

welcher User hat denn trotz UPN keine eigene Mailadresse?

 

Das ist bei MS so nicht vorgesehen. Vielleicht sollte man das ganze mal auf den Prüfstand stellen - eventuell ergibt sich mit einem Partner eine ganz andere Lösung.

[_Chris_ 0]

Hi,

eventuell liegt hier ein Missverständnis vor.

Die User haben alle eine funktionierende eMailadresse, welche im AD-Feld mit dem Attribut "mail" eingetragen ist.

Allerdings ist die AD-Domain keine eMail-Domain und somit sind die UPNs nicht (direkt) emailfähig.

Soweit ich das verstanden habe, hat MS für solche "non routable domains" die Alternate Login ID vorgesehen.

https://docs.microsoft.com/de-de/azure/active-directory/connect/active-directory-aadconnect-user-signin

VG Chris