Änderung des UPN für einen Office 365 Account zwischen zwei SSO Domains schlägt fehl
Nachdem Sie für einen Benutzer den UPN (UserPrincipalName) geändert haben, erhalten Sie eine Fehlermeldung bei der Synchronisierung mit Microsoft AzureAD.
Fehlerbeschreibung
Dieses Objekt kann in Azure Active Directory nicht aktualisiert werden, da das Attribut „FederatedUser.UserPrincipalName“ ungültig ist. Aktualisieren Sie den Wert in Ihren lokalen Verzeichnisdiensten.
Dirsync bzw AzureADConnect sind nicht in der Lage den UPN bei einer Synchronisation zu ändern. Sie müssen daher den UPN selbst umstellen.
Bitte beachten Sie, dass sich damit für den Anwender der Anmeldename auch in den Cloud Diensten von Microsoft ändert.
Via Powershell können Sie dies leicht durchführen:
Verbinden Sie sich zuerst
$UserCredential = Get-Credential Connect-MsolService -Credential $UserCredential
Ändern Sie dann den UPN Suffix. Da eine direkte Änderung nicht möglich ist, stellen Sie den UPN kurzfristig auf die Defaultdomain Ihres Azure AD Tenants.
$oldUPN = 'vorname.nachname@alterupn.de' $newUPN = 'vorname.nachname@neuerupn.de' $tempupn = "vorname.nachname@tenant.onmicrosoft.com" Set-MsolUserPrincipalName -UserPrincipalName $oldUPN -NewUserPrincipalName $tempUPN Set-MsolUserPrincipalName -UserPrincipalName $tempUPN -NewUserPrincipalName $newUPN
Führen Sie nun eine manuelle Synchronisierung über Dirysync bzw. AzureADConnect durch.