Active Directory : comment ajouter un suffixe UPN ?
Sommaire
I. Présentation
Lorsque l'on crée un domaine Active Directory, nous définissons un nom de domaine, par exemple : it-connect.local. Ce nom de domaine sera utilisé pour contacter les différentes ressources et notamment résoudre les noms des serveurs sous la forme "serveur1.it-connect.local". Ce nom de domaine est également utilisé pour construire l'attribut UserPrincipalName (UPN) de chaque utilisateur, sous la forme "<login>@it-connect.local".
Pour plusieurs raisons, notamment la mise en oeuvre d'Azure AD Connect pour synchroniser les utilisateurs de l'Active Directory vers Office 365, il peut être nécessaire de déclarer un nouveau suffixe UPN afin d'utiliser cet attribut pour créer l'adresse e-mail associée au compte Cloud. L'intérêt c'est d'avoir le même identifiant pour l'utilisateur que ce soit pour se connecter en local sur un poste ou sur le Cloud Microsoft : l'utilisateur pourra se connecter partout avec son adresse e-mail ?
Ainsi, sur le domaine it-connect.local, nous pouvons créer un nouveau suffixe UPN "it-connect.fr" pour que l'UPN d'un utilisateur soit "<login>@it-connect.fr" : à la fois son identifiant et son e-mail, plutôt bien, non ?
Voyons comment créer un nouveau suffixe UPN sur un domaine Active Directory.
? SamAccountName VS UserPrincipalName
II. Créer un suffixe UPN
Ouvrez la console "Domaines et approbations Active Directory", et faites un clic droit sur cette même phrase dans le haut à gauche de la console. Cliquez sur "Propriétés".
Nous arrivons directement dans l'onglet "Suffixes UPN". Au niveau de "Autres suffixes UPN", indiquez votre nouveau suffixe et cliquez sur "Ajouter". Validez...
III. Attribuer le suffixe sur un utilisateur
Puisqu'un utilisateur peut avoir seulement un suffixe UPN, il va falloir lui attribuer le nouveau que l'on vient de lui déclarer, car ce n'est pas automatique. Il n'y a pas de notion d'alias comme pour une adresse e-mail.
Ouvrez la console "Utilisateurs et ordinateurs Active Directory". Effectuez un clic droit sur un compte utilisateur et cliquez sur "Propriétés".
Dans l'onglet "Compte", vous allez pouvoir modifier le domaine associé à son UPN, comme ceci :
Validez : le tour est joué pour cet utilisateur. Bien sûr, cette manipulation peut être réalisée également à partir du Centre d'administration Active Directory (ADAC).
IV. Modifier l'UPN en masse
Pour modifier l'UPN sur plusieurs utilisateurs, PowerShell va être bien utile : pas question de repasser sur l'ensemble des utilisateurs à la main...! La commande ci-dessous va définir le domaine "it-connect.fr" dans l'UPN de tous les utilisateurs de l'OU "OU=Personnel,DC=IT-CONNECT,DC=LOCAL".
Attention : dans cet exemple, pour reconstruire l'UPN, on reprend le SamAccountName de l'utilisateur et on ajoute le domaine ➡ si vous utilisez une valeur différente pour votre identifiant UPN et votre SamAccountName, vous devez faire autrement (voir deuxième méthode).
Get-ADUser -Filter * -SearchBase "OU=Personnel,DC=IT-CONNECT,DC=LOCAL" | Foreach{ Set-ADUser -UserPrincipalName "$($_.SamAccountName)@it-connect.fr" -Identity $_.SamAccountName }
Pour remplacer simplement le domaine dans l'UPN et conserver l'identifiant actuel, on préfèrera cette méthode (domaine à adapter) :
Get-ADUser -Filter * -SearchBase "OU=Personnel,DC=IT-CONNECT,DC=LOCAL" | Foreach{
$UPNNew = $_.UserPrincipalName -replace "@it-connect.local","@it-connect.fr"
Set-ADUser -UserPrincipalName $UPNNew -Identity $_.SamAccountName
}
Vous pouvez laisser un commentaire sur cet article si vous avez besoin d'aide pour votre commande de modification des UPN avec PowerShell.
V. Routage des suffixes UPN
Si vous utilisez des relations d'approbations, il est nécessaire d'inclure le routage de votre nouveau suffixe UPN sinon les requêtes d'authentification échoueront. En effet, elles ne seront pas routées correctement, car le suffixe UPN ne sera pas inclus dans la relation d'approbation.
Si vous créez une relation d'approbation après avoir créé votre suffixe UPN, alors il faudra penser à le cocher au sein de l'assistant de création d'une nouvelle approbation. Si votre relation d'approbation existe déjà, vous devez activer le routage depuis la forêt approuvée.
➡ Au sein de la console "Domaines et approbation Active Directory", effectuez un clic droit sur le domaine puis cliquez sur "Propriétés".
➡ Dans l'onglet "Approbations", sélectionnez le domaine approuvé et cliquez sur "Propriétés".
➡ Dans les propriétés, vous retrouvez l'onglet "Routage des suffixes de noms" : sélectionnez le nouveau suffixe UPN dans la liste et cliquez sur le bouton "Activé".
➡ Il ne reste plus qu'à valider en cliquant sur "OK" !
Si vous n'activez pas le routage du suffixe UPN, l'authentification reste toujours possible au travers d'une relation d'approbation en utilisant l'identifiant sous la forme "DOMAINE\identifiant" où "DOMAINE" correspond au nom NETBIOS du domaine.
Ca sert dans la cas d’utilisation du SSO avec azure AD
je l’avais mis en place avec l’aide d’un presta
Bonjour Florian,
Merci pour cet article très utile. Je souhaite l’appliquer pour ma société afin de prévoir une migration vers AZURE/O365. J’ai une petite préoccupation cependant concernant les utilisateurs identifiés sur leurs postes au moment du changement.
Sur les postes clients, Windows (en l’occurrence 10 ou 11) enregistre le SamAccountName pour l’ouverture de session utilisateur ou le UserPrincipalName? Mes utilisateurs n’auront pas à se connecter en « autre utilisateur » pour retaper leur login et mot de passe?
Bonjour Fabien,
Si tu modifies l’attribut UserPrincipalName cela n’impacte pas les sessions Windows car c’est la valeur SamAccountName qui est utilisée. Voilà 🙂