Active Directory : comment ajouter un suffixe UPN ?

I. Présentation

Lorsque l'on crée un domaine Active Directory, nous définissons un nom de domaine, par exemple : it-connect.local. Ce nom de domaine sera utilisé pour contacter les différentes ressources et notamment résoudre les noms des serveurs sous la forme "serveur1.it-connect.local". Ce nom de domaine est également utilisé pour construire l'attribut UserPrincipalName (UPN) de chaque utilisateur, sous la forme "<login>@it-connect.local".

Pour plusieurs raisons, notamment la mise en oeuvre d'Azure AD Connect pour synchroniser les utilisateurs de l'Active Directory vers Office 365, il peut être nécessaire de déclarer un nouveau suffixe UPN afin d'utiliser cet attribut pour créer l'adresse e-mail associée au compte Cloud. L'intérêt c'est d'avoir le même identifiant pour l'utilisateur que ce soit pour se connecter en local sur un poste ou sur le Cloud Microsoft : l'utilisateur pourra se connecter partout avec son adresse e-mail 😉

Ainsi, sur le domaine it-connect.local, nous pouvons créer un nouveau suffixe UPN "it-connect.fr" pour que l'UPN d'un utilisateur soit "<login>@it-connect.fr" : à la fois son identifiant et son e-mail, plutôt bien, non ?

Voyons comment créer un nouveau suffixe UPN sur un domaine Active Directory.

📌 SamAccountName VS UserPrincipalName

II. Créer un suffixe UPN

Ouvrez la console "Domaines et approbations Active Directory", et faites un clic droit sur cette même phrase dans le haut à gauche de la console. Cliquez sur "Propriétés".

Nous arrivons directement dans l'onglet "Suffixes UPN". Au niveau de "Autres suffixes UPN", indiquez votre nouveau suffixe et cliquez sur "Ajouter". Validez...

III. Attribuer le suffixe sur un utilisateur

Puisqu'un utilisateur peut avoir seulement un suffixe UPN, il va falloir lui attribuer le nouveau que l'on vient de lui déclarer, car ce n'est pas automatique. Il n'y a pas de notion d'alias comme pour une adresse e-mail.

Ouvrez la console "Utilisateurs et ordinateurs Active Directory". Effectuez un clic droit sur un compte utilisateur et cliquez sur "Propriétés".

Dans l'onglet "Compte", vous allez pouvoir modifier le domaine associé à son UPN, comme ceci :

Validez : le tour est joué pour cet utilisateur. Bien sûr, cette manipulation peut être réalisée également à partir du Centre d'administration Active Directory (ADAC).

IV. Modifier l'UPN en masse

Pour modifier l'UPN sur plusieurs utilisateurs, PowerShell va être bien utile : pas question de repasser sur l'ensemble des utilisateurs à la main...! La commande ci-dessous va définir le domaine "it-connect.fr" dans l'UPN de tous les utilisateurs de l'OU "OU=Personnel,DC=IT-CONNECT,DC=LOCAL".

Attention : dans cet exemple, pour reconstruire l'UPN, on reprend le SamAccountName de l'utilisateur et on ajoute le domaine ➡ si vous utilisez une valeur différente pour votre identifiant UPN et votre SamAccountName, vous devez faire autrement (voir deuxième méthode).

Get-ADUser -Filter * -SearchBase "OU=Personnel,DC=IT-CONNECT,DC=LOCAL" | Foreach{ Set-ADUser -UserPrincipalName "$($_.SamAccountName)@it-connect.fr" -Identity $_.SamAccountName }

Pour remplacer simplement le domaine dans l'UPN et conserver l'identifiant actuel, on préfèrera cette méthode (domaine à adapter) :

Get-ADUser -Filter * -SearchBase "OU=Personnel,DC=IT-CONNECT,DC=LOCAL" | Foreach{ 

   $UPNNew = $_.UserPrincipalName -replace "@it-connect.local","@it-connect.fr"
   Set-ADUser -UserPrincipalName $UPNNew -Identity $_.SamAccountName

}

Vous pouvez laisser un commentaire sur cet article si vous avez besoin d'aide pour votre commande de modification des UPN avec PowerShell.

V. Routage des suffixes UPN

Si vous utilisez des relations d'approbations, il est nécessaire d'inclure le routage de votre nouveau suffixe UPN sinon les requêtes d'authentification échoueront. En effet, elles ne seront pas routées correctement, car le suffixe UPN ne sera pas inclus dans la relation d'approbation.

Si vous créez une relation d'approbation après avoir créé votre suffixe UPN, alors il faudra penser à le cocher au sein de l'assistant de création d'une nouvelle approbation. Si votre relation d'approbation existe déjà, vous devez activer le routage depuis la forêt approuvée.

➡ Au sein de la console "Domaines et approbation Active Directory", effectuez un clic droit sur le domaine puis cliquez sur "Propriétés".

➡ Dans l'onglet "Approbations", sélectionnez le domaine approuvé et cliquez sur "Propriétés".

➡ Dans les propriétés, vous retrouvez l'onglet "Routage des suffixes de noms" : sélectionnez le nouveau suffixe UPN dans la liste et cliquez sur le bouton "Activé".

➡ Il ne reste plus qu'à valider en cliquant sur "OK" !

Si vous n'activez pas le routage du suffixe UPN, l'authentification reste toujours possible au travers d'une relation d'approbation en utilisant l'identifiant sous la forme "DOMAINE\identifiant" où "DOMAINE" correspond au nom NETBIOS du domaine.

Partagez cet article Partager sur Twitter Partager sur Facebook Partager sur Linkedin Partager sur Google+ Envoyer par mail

Florian B.

Consultant chez Délibérata le jour, blogueur pour IT-Connect la nuit, je souhaite partager mon expérience et mes découvertes au travers de mes articles. Généraliste avec une attirance particulière pour les solutions Microsoft et le scripting. Bonne lecture.

florian a publié 2896 articlesVoir toutes les publications de cet auteur

One thought on “Active Directory : comment ajouter un suffixe UPN ?

  • Ca sert dans la cas d’utilisation du SSO avec azure AD

    je l’avais mis en place avec l’aide d’un presta

    Répondre

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

 

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.