21 gen 2016

Office 365: Azure Ad Connect, Impossibile cambiare nome utente o UPN

Introduzione:

L'integrazione della directory on-premise (locale) con Azure AD fornisce un'identità comune di accesso sia per il cloud che per le risorse locali, fornendo agli utenti un'identità "ibrida" unica tra on-premise con Windows Server Active Directory  ed i servizi cloud-based con Azure Active Directory.
Gli utenti possono sfruttare la loro identità comune per accedere ad Office 365Intune, applicazioni SaaS e applicazioni di terze parti.

Modificare UPN o user name:

Una volta sincronizzata Active Directory on-premise con Azure tramite Microsoft Azure Active Directory Connect  e quindi con il tenant di Office 365 noterete che non è possibile modificare un nome utente o un ID che sia stato sincronizzato.
In caso si renda necessario modificare i dati di cui sopra dovremo attenerci alla procedura seguente:
Effettuare l'installazione di  Microsoft Online Services Sign-In Assistant for IT Professionals RTW e successivamente del Modulo di Microsoft Azure Active Directory  per Windows PowerShell che potrete scaricare dai link seguenti:

Microsoft Online Services Sign-In Assistant for IT Professionals RTW
Dopo aver soddisfatto i requisiti necessari dovremo attestarci al nostro tenant tramite una sessione di PowerShell eseguendo Windows Azure Active Directory Module for Windows PowerShell come amministratore. Verrà richiesto di immettere le credenziali, ma se lo si desidera sarà possibile fornire le credenziali in anticipo, come nell'esempio seguente:
 
 
$msolcred = get-credential
connect-msolservice -credential $msolcred

 
A questo punto passiamo il comando seguente che ci consentirà di modificare  l'id/upn interessato con un id provvisorio
 
Set-MsolUserPrincipalName -UserPrincipalName name@contoso.com -NewUserPrincipalName xx@contoso.onmicrosoft.com
Ora settiamo l'upn corretto passando il comando PowerShell successivo:
 

 
Set-MsolUserPrincipalName –UserPrincipalName xx@contoso.onmicrosoft.com -NewUserPrincipalName correctid@contoso.com
 
Non resta che forzare la sincronizzazione utilizzando il cmdlet di Windows PowerShell per la sincronizzazione della directory.

Import-Module DirSync, quindi premere INVIO. Poi  Start-OnlineCoexistenceSync quindi premere INVIO.

Abbiamo visto come sia stato possibile modificare gli UPN nonostante siano in fase di sincronizzazione con Azure AD servendoci di Microsoft Online Services Sign-In Assistant Windows Azure Active Directory Module for Windows PowerShell. Questi comandi semplificheranno la gestione di eventuali variazioni di oggetti, in particolare per quanto riguarda Office 365 ed Exchange online.