最近問い合わせが多いのでメモ
代替UPNサフィックスとは
ADのドメインが「.local」等のEntra IDのカスタムドメインに登録できない形で運用されている場合
ADとEntra IDの同期ができないため、大きく分けて2つの解決策があるとおもっています。
- AD FSを使った認証
- 代替UPNサフィックスを使ったAD側のドメイン変更 ←今回はこっちの話
代替UPNサフィックスとは、簡単に言うと
「abcd@xxx.local」というUPN(ユーザーネーム)を「abcd@xxx.com」のようなインターネットでルーティングできるUPNに置き換える
という作業です。
ディレクトリ同期用にルーティング不可能なドメインを準備する - Microsoft 365 Enterprise
Microsoft 365 テナントと同期する前に、オンプレミスのユーザー アカウントに関連付けられているルーティングできないドメインがある場合の対処方法について説明します。
learn.microsoft.com
会社のプライマリドメインを変更するわけではなく、あくまでUPNを代替する形です。
代替UPNサフィックスの設定に伴って考えなければいけない事
・ユーザー名が変わるので、WindowsのログインIDが変わる
・マルチマスターADの場合、AD間の複製が正常に動作しないと、ログインや接続周りで障害が起きる
「ドメイン名前付けマスター」の役割を持っているDCと疎通ができている必要があるみたいです。
・UPNの変更前情報がクライアント側でキャッシュされており、メールアプリなどで不具合が起こる
・アプリケーションとADが同期しておらず、UPNの違いで接続できなくなる
・UPNを変更する前に取得したユーザー証明書を利用した認証に失敗する
802.1X認証(LAN接続するための認証)やスマートカードログオンに使用するユーザー証明書の項目でUPNが使われているため、証明書の再取得が必要。
その他
UPNを変更することによるオンプレサーバ(ファイルサーバなど)のSSO失敗とかもありそうな気がしており、調査中。
都度追記します。
コメント