Au cours d’un déploiement d’Office 365 en cours, nous avons identifié un problème : les clients d’Office 365 ne sont pas en mesure de modifier le nom d’utilisateur principal (UPN, User Principal Name) d’un utilisateur si les deux noms UPN sont dans des domaines fédérés. Nous avons déterminé et validé une solution de contournement, dont vous pouvez consulter les instructions ci-dessous.  Remerciements : Marcus Hass et Dmitry Kazantsev, qui ont rédigé ce dossier.

Renommer un nom UPN dans un autre domaine fédéré

  1. Nous ne pouvons pas renommer le nom UPN d’un utilisateur si son compte d’utilisateur passe d’un domaine fédéré à un autre domaine du même type (par exemple, john@contoso1.com vers john@contoso2.com).
  2. Nous pouvons renommer le nom UPN d’un utilisateur si son compte d’utilisateur passe d’un domaine fédéré à un domaine standard (non fédéré) (par exemple, john@contoso1.com vers john@contosofoo.com).
  3. En raison d’un défaut, il est impossible d’utiliser la synchronisation d’annuaires pour renommer un nom UPN d’un domaine fédéré en nom UPN d’un domaine géré. Un correctif est en voie d’élaboration, mais n’est pas encore disponible.
  4. L’interface graphique utilisateur (GUI) du portail Office 365 ne peut pas être utilisée pour renommer un nom UPN d’un domaine fédéré en nom UPN d’un domaine géré, car l’objet est soumis à une synchronisation d’annuaires et l’interface GUI ne vous permet pas de modifier les objets de ce type. Le module Microsoft Online Services pour Windows Powershell permet de renommer le nom UPN d’un utilisateur dans Office 365.

Par conséquent, pour que nous puissions fournir à nos clients une fonctionnalité de changement de nom UPN, nous devons concevoir un type de processus de déploiement qui permettra un changement de nom en deux étapes via un domaine standard (non fédéré). Les étapes indiquées ci-dessous illustrent un tel processus avec un cas pratique appliqué à la société fictive, Contoso. Nous supposons que Contoso possède un domaine standard par défaut (non fédéré), contoso.onmicrosoft.com, et contoso1.com et contoso2.com, qui sont tous les deux des domaines fédérés. Nous supposons également que Contoso exécute la synchronisation d’annuaires :

  1. Le nom UPN de John, qui travaille dans la filiale de Contoso, Contoso1, est actuellement défini sur John@contoso1.com. Contoso1.com est un domaine fédéré.
  2. John accède à sa nouvelle mission dans la filiale de Contoso, Contoso2 ; son nom UPN doit donc être remplacé par John@contoso2.com. Contoso2.com est un domaine fédéré.
  3. Nous allons renommer le nom UPN Office 365 de John dans un domaine fédéré via le module Microsoft Online Services pour Windows PowerShell à l’aide de la commande : set-msoluserprincipalname – UserPrincipalName john@contoso1.com -new UserPrincipalName john@contoso.onmicrosoft.com  
  4. La boîte aux lettres de John est préservée, mais un nouveau mot de passe doit être défini pour le compte géré de John s’il doit accéder immédiatement aux ressources. Dans le cas contraire, cette étape peut être ignorée.
  5. À présent, l’administrateur Active Directory local doit modifier le compte de John en utilisant le nouveau nom UPN, john@contoso2.com.
  6. Forcez la synchronisation d’annuaires afin de propager la modification dans Office 365 (ou patientez pendant 3 heures au plus). 
    1. La synchronisation d’annuaires met à jour la valeur dans le cloud et redéplace le compte de John vers un compte fédéré, à partir du domaine standard contoso.onmicrosoft.com. La boîte aux lettres de John est toujours préservée et il peut y accéder en utilisant son nouveau nom UPN et son mot de passe Active Directory.