• Active Directory
    • AD Consulting
    • AD Design
      • Domain Name festlegen
      • Domain Struktur einrichten
      • Forest Struktur definieren
    • AD Management
    • AD Automation
      • Dynamic Access Control (DAC)
    • AD Federation Services
      • ADFS Betrieb
      • ADFS und Office365
      • ADFS und Cisco Unified Communications Manager
      • SAML und ADFS 2.0
  • Azure / M365
    • Azure AD
    • Microsoft 365 (O365)
  • Migration
    • Active Directory Migration
    • Exchange Migration
    • File Server Migration
    • Lotus Notes Migration
    • Novell Migration
  • Wissen
    • Alle Beiträge
    • Administration
    • PowerShell
    • Migration
    • Exchange
    • Tools
  • Kontakt
    • Wir über uns
    • Kontakt
  • EN
info@firstattribute.com
by FirstAttribute
Active Directory FAQActive Directory FAQ
  • Active Directory
    • AD Consulting
    • AD Design
      • Domain Name festlegen
      • Domain Struktur einrichten
      • Forest Struktur definieren
    • AD Management
    • AD Automation
      • Dynamic Access Control (DAC)
    • AD Federation Services
      • ADFS Betrieb
      • ADFS und Office365
      • ADFS und Cisco Unified Communications Manager
      • SAML und ADFS 2.0
  • Azure / M365
    • Azure AD
    • Microsoft 365 (O365)
  • Migration
    • Active Directory Migration
    • Exchange Migration
    • File Server Migration
    • Lotus Notes Migration
    • Novell Migration
  • Wissen
    • Alle Beiträge
    • Administration
    • PowerShell
    • Migration
    • Exchange
    • Tools
  • Kontakt
    • Wir über uns
    • Kontakt
  • EN

Azure Basics: Azure AD User Pricipal Name – UPN

Nov 29, 2021 (Letztes Update) | Posted by Jens Künzler Administration, Azure AD, Cloud, KnowHow, PowerShell |

 

Azure Basics: Azure AD User Pricipal Name – UPN

Auch beim Thema Azure AD User Principal Name gilt: Eine sorgfältige Planung ist, wie fast immer in der IT, eine Grundvoraussetzung für eine erfolgreiche Implementierung. Dies gilt auch für die Einrichtung und Anbindung von Cloud Services. Der Cloud Hype verspricht uns eine problemlose und einfache Umsetzung. In der Praxis zeigt sich dann, dass es von Vorteil ist, sich im Vorfeld ein paar Gedanken zu machen. Aus diesem Grund möchte heute das Thema Azure AD „User Principal Name“ kurz UPN etwas näher betrachten.

Inhaltsverzeichnis

  • 1 Azure AD User Principal Name (UPN) und sAMAccountName
    • 1.1 Azure AD User Principal Name zur Anmeldung
    • 1.2 Registrieren des UPN Suffixes
  • 2 UPN Suffix in SSL Zertifikat für die Federation hinterlegen
    • 2.1 Ein brauchbarer Domain Name
    • 2.2 Neuer UPN in lokaler AD Domain
    • 2.3 Neuer UPN in Benutzerkonten
    • 2.4 Eine zusätzliche Domain in Azure AD
  • 3 Zusammenfassung
  • 4 Fazit zu Azure AD User Principal Name

Azure AD User Principal Name (UPN) und sAMAccountName

In der OnPremise Active Directory Domain ist der sAMAccountName innerhalb einer Domain eindeutig, er kann nicht doppelt vorkommen. Eine Art sAMAccountName gibt es in der Azure AD Domain nicht, hier ist der UPN das eindeutige Merkmal eines Benutzerkontos.

In der Standardkonfiguration setzt sich also der Azure AD UPN so zusammen:
username@<tenant>.onmicrosoft.com.

Mit Tenant ist der Tenant gemeint, mit dem die Azure Subscription initial eingerichtet wurde.

Azure AD User Principal Name zur Anmeldung

Die Anmeldung an Azure Cloud Services, wie z.B. O365, erfolgt über den UPN. Spätestens hier stellt man fest, dass eine Planung des Namensraums wichtig ist. Es sei denn, man möchte den Anwendern zumuten sich mit „vorname.nachname@tenant.onmicrosoft.com“ anzumelden. Noch wichtiger wird dieser Punkt, wenn man über die Einrichtung einer Federation mittels ADFS nachdenkt. Bei sog. Federated Accounts wird die Anmeldung an die lokale Active Directory Domain mittels ADFS (oder einem Federation Service anderer Anbieter) weitergeleitet. Diese Weiterleitung erfolgt aufgrund des UPN Suffix des Azure AD Benutzerkontos, was uns zum nächsten wichtigen Punkt führt:

Registrieren des UPN Suffixes

Viele Unternehmen folgen der Empfehlung und registrieren den DNS Namen der lokalen Active Directory Domain „im Internet“. Dies stellt sich bei der Anbindung an Cloud Services als Vorteil heraus, da diese Domains registriert und somit auflösbar sind. Daher können sie für das Routing genutzt werden. In diesem Fall kann der automatisch gebildete UPN (sAMAccountName@AD-Domain) bereits für die ADFS Delegation in Azure AD genutzt werden.

UPN Suffix in SSL Zertifikat für die Federation hinterlegen

Damit die Federation mit Azure AD eingerichtet werden kann, muss unter anderem ein SSL Zertifikat für den UPN Suffix erstellt werden. Da dieses Zertifikat von einer öffentlichen Zertifizierungsstelle (CA) ausgestellt werden muss, steht man mit einer nicht registrierten DNS Domain erneut vor Problemen.

Ein brauchbarer Domain Name

Wenn die lokale AD Domain z.B. einen DNS Namen wie „firma.local“ trägt, steht man vor den oben genannten Problemen. Die Domain lässt sich nicht registrieren und es werden keine „offiziellen“ SSL Zertifikate dafür ausgestellt. Man könnte die lokale AD Domain umbenennen und den neuen Namen registrieren – Scherz bei Seite, es gibt eine einfacherer Möglichkeit. Wir fügen der lokalen AD Domain eine weiteren UPN Suffix hinzu, welcher im Internet registriert werden kann. Die einfachste Möglichkeit ist hier oft die Nutzung der E-Mail Adresse. Der DNS Suffix der E-Mail Adresse ist bereits registriert, die Adressen sind bereits eindeutig und die Anwender kennen es bereits. Der letzte Punkt ist ein wichtiges Argument, da die Anwender diese Adresse nutzen werden um sich an den Cloud Services anzumelden. Je besser diese Adresse bekannt ist, desto einfacher wird die Umstellung.

Neuer UPN in lokaler AD Domain

Die Einrichtung ist sehr einfach, wenn auch etwas versteckt. Die Verwaltungskonsole „Active Directory Domains and Trusts“ ermöglicht die Einrichtung. Die Eigenschaften des obersten Knotens „Active Directory Domains and Trusts“ eröffnen einen Dialog zum Hinzufügen eines weiteren Suffix. (Ja, richtig, nicht die Eigenschaften der Domain, sondern darüber).

In diesem Beispiel wurde der UPN Suffix „univice.net“ hinzugefügt:

Azure AD User Principal Name UPN-local

Neuer UPN in Benutzerkonten

Damit der UPN zur Anmeldung genutzt werden kann, muss den Benutzerkonten in der lokalen AD Domain dieser Suffix als UPN hinzugefügt werden. Dies kann manuell über die Verwaltungskonsole „Active Directory Users and Computers“ erfolgen oder aber natürlich per PowerShell.

Azure AD User Principal Name UPN-Benutzerkonto

Mit dem PowerShell cmdLet Set-ADUser kann über den Parameter „-UserPricipalName“ ein neuer UPN hinzugefügt werden. Dieser TechNet Blog beschreibt sehr anschaulich, wie diese Änderung z.B. für aller Benutzerkonten einer OU angewendet werden kann: Link zum Technet Blog

Eine zusätzliche Domain in Azure AD

Der DNS Suffix, welcher für den lokalen UPN genutzt wird, muss aber ebefalls im Azure AD bekannt gemacht werden. Microsoft hat hier eine Sicherheitsüberprüfung eingebaut, um zu verhindern das Domains falsch oder unberechtigt zugeordnet werden. In der Azure Verwaltungskonsole (classic) kann unter „Standardverzeichnis\Domänen > Benutzerdefinierte Domäne hinzufügen“ eine zusätzliche DNS Domain hinzugefügt werden. Der Dialog zeigt im nächsten Schritt einen TXT Eintrag an, welcher in der DNS Zone im Internet registriert werden muss. Dieser Eintrag wird von der Azure Verwaltungskonsole abgefragt. Sobald der Eintrag erfolgreich per DNS aufgelöst werden kann, gilt die DNS Zone als erfolgreich in Azure AD registriert. Wer berechtigt ist neue Einträge in einer DNS Zone vorzunehmen ist aus Microsoft Sicht auch berechtigt die Zone in Azure AD zu registrieren.

Beispiel einer Nslookup Abfrage mit dem Type TXT:

Azure AD User Principal Name nslookup-txt

Zusammenfassung

Das Übersichtsbild zeigt die DNS Namensauflösung für den UPN „@univice.net“ und das Routing der Anmeldung über den lokalen ADFS Server an den Domain Controller. (Der Web Application Proxy WAP wurde zur besseren Übersicht weggelassen).

Azure AD User Principal Name UPN-Routing

Fazit zu Azure AD User Principal Name

Die Planung des DNS Namensraums für eine Azure AD Anbindung ist wichtig und hat Auswirkungen auf die Darstellung für den Anwender. Wenn Sie Unterstützung für die Planung und Umsetzung Ihrer Cloud-Anbindung suchen, sprechen Sie uns an, die Experten der Firstattribute AG unterstützen Sie gerne.  Somit sollte das Thema Azure AD User Principal Name und ADFS  also keine Schwierigkeit mehr für Sie sein. Sollten Sie Fragen haben, kontaktieren Sie uns.


FirstAttribute AG

FirstAttribute AG – Ihr Microsoft Consulting Partner

Wir unterstützen Sie bei AZURE Fragen
Nehmen Sie Kontakt zu uns auf, wir hören Ihnen gern zu.

Artikel weiterempfehlen:
  • teilen
  • tweeten
  • sharen
  • xingen
  • mailen
Artikel erstellt am: 27.10.2016
Tags: ADFSAzure ADUPN
2

You also might be interested in

ADFS-3.0-Neuerungen

Neuerungen in ADFS 3.0 (Active Directory Federation Services)

Jan 12, 2015

ADFS 3.0 ist Bestandteil von Windows Server 2012 R2. Die[...]

windows-365-azure-virtual-desktop

Windows 365 und Azure AD verstehen in Theorie und Praxis

Aug 31, 2021

Mit Windows 365 stellt Microsoft seinen neuen Cloud-PC zur Verfügung,[...]

Zeichenfolgen in Passwörtern vermeiden

Zeichenfolgen in Passwörtern vermeiden

Mrz 2, 2021

In diesem Beitrag erfahren Sie, wie man Zeichenfolgen in Passwörtern[...]

Leave a Reply

<p>Danke für Ihre Anregungen, Fragen und Hinweise.<br/>Infos zum <a href="https://www.active-directory-faq.dekontakt/">Datenschutz</a></p>
Cancel Reply

FirstWare IDM-Portal im Test: IT-Administrator 08-2022

 

ADFAQ-FirstAttribute

Wer schreibt ?

Team der FirstAttribute AG

Consultants und Entwickler der FirstAttribute arbeiten seit mehr als 20 Jahren in IAM- und Cloud-Transition-Projekten.
Zusammen verfügen Sie über einen wertvollen Erfahrungsschatz im Bereich Active Directory und Azure AD und teilen diesen auf Active Directory FAQ.

Neueste Artikel

  • 8 Tipps für mehr Sicherheit in Active Directory und Backups von AD
  • Azure AD Custom Security Attributes ermöglichen flexible Berechtigungsstrukturen
  • Dateiberechtigungen in MS Teams und SharePoint Online verwalten – So funktioniert es
  • AD-Gruppen in Microsoft Teams verwenden – Dynamische Gruppen in der Praxis
  • Verbindung zwischen Microsoft 365 und SharePoint Online zu Azure AD

Unsere IAM-Lösungen

Ihre IAM-Lösung: FirstWare IDM-Portal

 

my-IAM für Cloud Identity Management in Microsoft Teams

Kontakt aufnehmen

Sie haben eine Frage oder Anmerkung? Schicken Sie uns schnell eine Nachricht.

Nachricht senden
Jetzt AD Tasks vereinfachen und delegieren: FirstWare IDM-Portal

Folgen Sie uns

Kontakt

  • FirstAttribute AG
  • Am Büchele 18, 86928 Hofstetten, Germany
  • +49 89 215 442 400
  • https://www.firstattribute.com

Schlagwörter

.Net ACL Active Directory AD LDS AD Objekt Azure AD Berechtigung Cloud cmdlets Delegation Domain Controller dynamicgroup dynamische Gruppen Exchange Exchange-Ordner Exchange-Postfach Exchange Migration Federation FirstWare Get-Mailbox Global Catalog Group Policy Gruppen Gruppenmitgliedschaft IDM-Portal LDAP m365 Microsoft Azure Migration New-ADUser Novell NTFS Office 365 PowerShell QMM QMM AD QMM Exchange Quest Migration Manager Schema Set-ADUser SID SID History Update Windows 10 Windows Server 2012 R2

Neueste Kommentare

  • activedirectoryfaq.com sharepoint login - infoslist bei Windows 365 und Azure AD verstehen in Theorie und Praxis
  • Domäne Letzte Anmeldung - ObenGesichert.com bei LastLogon vs. LastLogonTimestamp
  • Teams Code Zur Anmeldung - ObenGesichert.com bei Authentifizierung für MS Teams in hybriden Netzwerken
Login
Impressum
Datenschutzerklärung

© 2023 · Active-Directory-FAQ by firstattribute.com

Prev Next