Změna uživatelského jména v hybridním prostředí, např. po svatbě

Vdala se nám kolegyně. Kromě gratulací k této nové velké životní změně jsme museli vyřešit zdánlivě banální problém. Po sňatku si totiž ženy většinou mění příjmení.

Naše prostředí ve firmě je takzvaně hybridní. Máme lokální doménový řadič s Active Directory a v něm všechny uživatele. E-maily a další služby však máme v Microsoft 365 cloudu. Uživatele do Azure AD synchronizujeme pomocí nástroje AD Connect. Párovací parametr mezi on-prem AD a Azure AD je User Principal Name (UPN).

Naši uživatelé mají stejné přihlašovací jméno do lokálního AD, jako e-mailovou adresu. Skládá se z prvního písmene jména a celého příjmení, samozřejmě bez diakritiky. I když je lokální doména neroutovatelná (s koncovkou .local), máme pro doménu zadané aliasy, které používáme jako domény pro e-maily. Naše primární e-mailová doména je @artex-is.cz. Abych zachoval důvěrnost naší kolegyně, nazveme ji před svatbou třeba Tereza Svobodová s uživatelským jménem tsvobodova@artex-is.cz a po svatbě Tereza Vdaná tvdana@artex-is.cz.

Přejmenování v lokálním AD je standardní procedura. Pravé tlačítko na uživateli v konzoli Active Directory Users and Computers na doménovém řadiči, volba Rename. Po změně jména na Tereza Vdaná vyskočí následující okno, kde je třeba upravit řádky Full name, Last name, Display name, User logon name a User logon name (pre-Windows 2000):

Cílový stav tedy vypadá takto:

Po potvrzení tlačítkem OK se musí uživatelka přihlásit znovu na svém PC. Profil zůstane stejný, dokonce se nepřejmenuje ani ve složce Users na PC. Heslo se také nezmění. Přihlašovací jméno je však nové. Pod starým se již nepřihlásí. V Microsoft 365 vypadají atributy uživatelky před přejmenováním takto:

Vidíte, že uživatelka nemá žádné e-mailové aliasy mimo defaultního na doméně onmicrosoft.com.

Po přejmenování v Azure AD a synchronizaci, která probíhá v intervalu 30 minut, vypadá profil uživatelky v Microsoft 365 takto:

Poznámka: pokud nechcete čekat 30 minut, můžete synchronizaci vyvolat v PowerShellu na serveru, kde je nainstalovaný AD Connect, příkazem: Start-ADSyncSyncCycle

Vidíte, že se změnilo příjmení a zobrazované jméno (Display name), ale Username zůstalo stejné, i když jsme v on-prem AD uživatelské jméno změnili na tvdana@artex-is.cz.

Bohužel toto je vlastnost AD Connect a synchronizace identit. Je to ochrana před tím, aby uživatelce nepřestaly fungovat po přejmenování online služby (Exchange, OneDrive a další).

Pro přejmenování synchronizovaného uživatele v Admin centru Microsoft 365 budeme muset použít PowerShell, protože pokus o změnu Username v GUI na webu admin.microsoft.com selže s hláškou, že uživatel je synchronizovaný z lokální domény a všechny změny je třeba provádět tam.

Pro změnu Username pomocí PowerShellu můžeme použít tyto příkazy. Záleží, zda používáme PowerShell modul Azure AD V1 nebo V2.

Azure AD V1 module

Set-MsolUserPrincipalName -UserPrincipalName tsvobodova@artex-is.cz -NewUserPrincipalName tvdana@artex-is.cz

Azure AD V2 module

Set-AzureADUser -ObjectId tsvobodova@artex-is.cz -UserPrincipalName tvdana@artex-is.cz

Po této změně bude Username uživatele v Microsoft 365 již stejné jako v on-prem AD.

Na závěr by bylo fajn zajistit, aby uživatelce dále chodila pošta i na starou e-mailovou adresu tsvobodova@artex-is.cz.

Zaprvé, pokud má uživatel vyplněn v AD parametr mail, je vhodné ho přepsat na novou hodnotu:

Přidání aliasu (druhé e-mailové adresy) uživatelce zajistíme pomocí parametru ProxyAddresses.

Primární e-mailovou adresu zadáme s velkými písmeny SMTP:tvdana@artex-is.cz a alias s malými smtp:tsvobodova@artex-is.cz.

Po synchronizaci bude alias u uživatelky vyplněný a bude přijímat poštu na nové i staré adrese s tím, že odpovídat bude z adresy nové, tedy tvdana@artex-is.cz.