AzureAD synchronisatie mislukt na aanpassen van UPN

Het komt wel eens voor dat je de UPN (User Principal Name) van een user in je OnPrem Active Directory aanpast. Dit zijn trouwens geen aanpassingen die je dagelijks wilt doen. De UPN integreert vaak in applicaties. Hierdoor kan een aanpassing best wat impact hebben. Indien je gebruik maakt van een federated identity binnen AzureAD dan heeft het aanpassen van de UPN ook impact. Het zorgt er voor dat het synchroniseren niet meer juist lukt. Als Administrator krijg je dan de volgende foutmelding gemaild:

Dit object kan niet worden bijgewerkt in Azure Active Directory omdat het kenmerk [FederatedUser.UserPrincipalName] ongeldig is. Werk de waarde bij in uw lokale adreslijstservices.

Om dit op te lossen moet je de volgende stappen uitvoeren:

  1. Controleer onder welke UPN de user bekend is binnen AzureAD, bijvoorbeeld via portal.azure.com. Deze UPN wijkt dus af van de UPN in de OnPrem AD en in het mailtje met de foutmelding dat je gekregen hebt.
  2. Start PowerShell op bijvoorbeeld de AzureAD Connect server, er moet een Azure Active Directory powershell module geïnstalleerd zijn.
  3. Voor het volgende powershell commando uit: Connect-MsolServiceLogin met een account dat rechten heeft om users te muteren.
  4. Voor het volgende powershell commando uit: Get-MsolUser -UserPrincipalName UPN@AzureAD.nl. Hierbij is UPN@AzureAD.nl de UPN die je in stap 1 hebt opgezocht.
  5. Voor het volgende powershell commando uit: Set-MsolUserPrincipalName -UserPrincipalName UPN@AzureAD.nl -NewUserPrincipalName UPN@Tenant.onmicrosoft.com. Hierbij is UPN@Tenant.onmicrosoft.com een tijdelijke UPN. Vervant Tenant door de naam van je eigen tenant.
  6. Voor het volgende powershell commando uit: Get-MsolUser -UserPrincipalName UPN@Tenant.onmicrosoft.com. Hiermee controleer je of de aanpassing van UPN goed doorgekomen is.
  7. Voor het volgende powershell commando uit: Set-MsolUserPrincipalName -UserPrincipalName UPN@Tenant.onmicrosoft.com -NewUserPrincipalName UPN@ADonprem.nl. Hierbij is UPN@ADonprem.nl de UPN die de user heeft in je OnPrem Active Directory. Met deze stap breng je dus je on-prem Active Directory en Azure Active Directory weer met elkaar in Sync.
  8. Voor het volgende powershell commando uit: Get-MsolUser -UserPrincipalName UPN@ADonprem.nl. Hiermee controleer je of de aanpassing van UPN goed doorgekomen is.

De synchronisatie zou nu geen foutmeldingen meer mogen geven. het probleem is dan hiermee ook opgelost.

 

Geef een reactie