субъект не соответствует доменному имени что это

Решение проблем с доменами

Я подтверждаю домен, но его статус не меняется

Если вы выполнили все необходимые действия для подтверждения домена, но при нажатии копки Проверить домен не приобретает статус «Подтвержден» :

Если вы убедились, что необходимые данные (метатег, HTML-файл или DNS-запись) добавлены, но статус домена не меняется, обратитесь в службу поддержки.

После делегирования домена перестали работать почта и сайт

Делегирование домена — это передача управления доменом на выбранный DNS-сервер. Если после делегирования на домене перестали работать почта и сайт, проверьте DNS-записи домена:

Проверить и настроить DNS-записи можно на сайте провайдера DNS-хостинга — компании, которая предоставляет DNS-серверы для вашего домена. Если вы делегировали домен на серверы Яндекса, управляйте DNS-записями домена с помощью DNS-редактора Коннекта.

Мой домен подключили в другой организации: домен откреплен

Вместо моего домена появился домен вида domain-12345-yaconnect.com

Чтобы вернуть организации основной домен, снова подключите его.

Как вернуть почтовые ящики на прежний домен

Почтовые ящики и письма в них автоматически переносятся на технический домен вида domain-12345-yaconnect.com в том случае, если ваш основной домен был подключен к новой организации.

Чтобы вернуть почтовые ящики на прежний домен, снова подключите его к организации.

Не могу удалить домен

Вы можете удалить только неосновной или неподтвержденный домен. Чтобы удалить основной домен, сначала нужно сделать основным какой-нибудь другой. Если к организации подключен только один домен, его можно удалить только вместе с организацией.

Домен вида yaconnect.com удалить нельзя — это технический домен, который поможет сохранить данные организации, если вы, например, забудете продлить регистрацию основного домена.

Подробнее читайте в разделе Удалить домен.

По адресу домена не открывается сайт

Если вы хотите, чтобы по адресу вашего домена открывался сайт, для этого домена нужно настроить A-запись.

Вы можете настроить A-запись на сайте компании, которая предоставляет вам услугу DNS-хостинга. Если вы делегировали домен на серверы Яндекса, настройте A-запись в DNS-редакторе Коннекта.

Проблемы с доступом к организации или домену

Если вы потеряли доступ к управлению организацией или доменом, вы можете попробовать:

Советы не помогли

Если на этой странице нет решения вашей проблемы, напишите в службу поддержки.

Источник

SSL-как общие имена (CN) и альтернативные имена субъектов (SAN) работают вместе?

предполагая, что свойство Subject Alternative Name (SAN) сертификата SSL содержит два DNS-имени

EDIT:

как недавно узнал ответ Евгения, что поведение отличается от реализации, я хочу получить более конкретный: как это OpenSSL 0.9.8 b+ обрабатывать данный сценарий?

3 ответов:

Это зависит от реализации, но общее правило заключается в том, что домен проверяется на все SANs и общее имя. Если домен найден там, то сертификат подходит для подключения.

RFC 5280, в разделе 4.1.2.6 говорится: «имя субъекта может быть перенесено в поле субъекта и/или расширение subjectAltName». Это означает, что доменное имя должно быть проверено как на расширение SubjectAltName, так и на свойство Subject (а именно на общее имя параметр) сертификата. Эти два места дополняют друг друга, а не дублировать его. И SubjectAltName-это подходящее место для размещения дополнительных имен, таких как www.domain.com или www2. domain.com

обновление: по состоянию на RFC 6125, опубликованный в ‘ 2011 валидатор должен сначала проверить SAN, и если SAN существует, то CN не должен быть проверен. Обратите внимание, что RFC 6125 относительно недавно и все еще существуют сертификаты и CAs, которые выдают сертификаты, которые включают «основное» доменное имя в CN и альтернативные доменные имена в SAN. Т. е., исключив CN из проверки, если SAN присутствует, вы можете запретить какой-либо другой действительный сертификат.

чтобы быть абсолютно правильным, Вы должны поместить все имена в поле SAN.

поле CN должно содержать имя субъекта, а не доменное имя, но когда Netscape обнаружил эту вещь SSL, они пропустили, чтобы определить ее самый большой рынок. Просто не было поля сертификата, определенного для URL сервера.

Это было решено поместить домен в поле CN, и в настоящее время использование поля CN устарело, но все еще широко используется. CN может содержать только один домен имя.

общие правила для этого: CN-поместите здесь свой основной URL (для совместимости) SAN-поместите весь свой домен здесь, повторите CN, потому что он не в нужном месте, но используется для этого.

Если вы нашли правильную реализацию, ответы на ваши вопросы будут следующими:

имеет ли эта настройка особое значение или какие-либо преимущества [dis]по сравнению с настройкой обеих ЦНС? Вы не можете установить оба CNs, потому что CN может содержать только одно имя. Вы можно сделать с 2 простых сертификата CN вместо одного сертификата CN + SAN, но вам нужно 2 IP-адреса для этого.

Что происходит на стороне сервера, если другой хозяин.домен.tld, запрашивается ли? Неважно, что происходит на стороне сервера.

короче: Когда клиент браузера подключается к этому серверу, то браузер отправляет зашифрованные пакеты, которые шифруются с помощью открытого ключа сервера. Сервер расшифровывает пакет, и если сервер может расшифровать, затем он был зашифрован для сервера.

сервер ничего не знает от клиента перед расшифровкой, потому что только IP-адрес не шифруется через соединение. Вот почему вам нужно 2 IP для 2 сертификатов. (Забудьте SNI, там все еще слишком много XP.)

на стороне клиента браузер получает CN, затем SAN, пока все не будут проверены. Если одно из имен совпадает с именем сайта, то проверка URL была выполнена браузер. (я не говорю о проверке сертификата, конечно, много запросов ocsp, crl, aia и ответов путешествует по сети каждый раз.)

Базовые Требования CABForum

Я вижу, что никто еще не упомянул раздел в базовых требованиях. Я чувствую, что они важны.

(Так это означает, что я не могу ответить на «Редактировать» на ваш вопрос. Только исходный вопрос.)

9.2.2 Поля Отличительного Имени Субъекта
а. Общее Поле Имя
Сертификат Поле: тема: commonName (OID 2.5.4.3)
Обязательный/Необязательный: осуждается (поощряется, но не запрещено)
содержание: если имеется, это поле должно содержать один IP-адрес или полное доменное имя, которое является одним из значений, содержащихся в расширении subjectAltName сертификата (см. раздел 9.2.1).

редактировать: ссылки из комментария @Bruno’s

если расширение subjectAltName типа dnsname-это подарок, который должен Используйте как личность. В противном случае (наиболее конкретное) общее имя необходимо использовать поле в поле Тема сертификата. Несмотря на то использование общего имени-это существующая практика, она устарела и Центры сертификации рекомендуется использовать DNS-имя.

RFC 6125:представление и проверка доменной службы приложений Удостоверение в открытом ключе Интернета Инфраструктура с использованием X. 509 (PKIX) Сертификаты в контексте безопасности транспортного уровня (TLS), 2011, раздел 6.4.4: проверка общих имен:

[. ] если и только если предъявленный идентификатор не входит ДНС-идентификатор, СРВ-идентификатор, идентификатор-ID, или любое приложение-конкретные типы идентификаторов поддерживается клиентом, то клиент может в крайнем случае проверить для строки, форма которой соответствует форме полного домена DNS имя в поле общего имени Поля субъекта (т. е. CN-ID).

Источник

Доменные споры: актуальные тенденции

dacianlogan / Depositphotos.com

Доменные споры относятся к сфере нарушения права интеллектуальной собственности в Интернете. Злоумышленники с целью получения выгоды создают сайты, используя товарные знаки компаний, заслуживших на рынке высокую репутацию. Разногласия по вопросу соотношения доменного имени и средства индивидуализации, а также неправомерного использования средств индивидуализации на сайте в Интернете без разрешения правообладателя провоцируют возникновение доменных споров. Увеличение их числа приводит к росту различных дискуссий по вопросу способов защиты нарушенного права. Разберемся в правовой природе доменных споров, а также выделим способы защиты нарушенного права в названной категории споров.

Виды доменных споров

Следует обратить внимание, что подход к определению понятия «доменные споры» не является однозначным.

Однако, следует учитывать, что в то же время к доменным спорам относятся споры в отношении сайта и контента на нем. Руководитель юридического отдела REG.RU Павел Патрикеев отмечает, что при широком подходе к определению доменных споров к ним относят не только юридические прения правообладателя с администратором домена, но и смежные споры. К данной категории споров относятся неправомерное использование результатов интеллектуальной деятельность (например, нелегальное размещение контента, копирование дизайна сайта) без разрешения правообладателя, а также споры о блокировке сайтов, на которых есть нарушение авторских прав. Некоторые эксперты относят к данной категории споры по размещению запрещенной законом информации, а также информации, порочащей честь и достоинство или деловую репутацию, однако в рамках нашего материала мы рассмотрим только споры, относящиеся к сфере интеллектуальной собственности.

Устройство доменной зоны

Для определения способа защиты нарушенного исключительного права в доменном споре в первую очередь следует понимать устройство доменной зоны, отмечает руководитель отдела претензионной работы и судебного представительства юридического департамента Наталья Туркина RU-CENTER Group на конференции «Distant & Digital». Эксперт разъясняет иерархию устройства доменной зоны:

Способы защиты исключительного права

Понимание структуры уровней доменного имени принципиально важно при решении вопроса определения способа защиты нарушенного права. Причина заключается в том, процедуры решения доменного спора домена международного и национального (в данном случае, российского) отличаются.

Таким образом, регулирование споров в отношении доменов российской доменной зоны осуществляется в порядке судебного производства.

Одним из наиболее важных вопросов для разрешения при защите нарушенного права при доменном споре является определение зоны ответственности субъектов. Основная проблема заключается в том, что участники процесса путают понятия. Так, Павел Патрикеев приводит в пример случаи обращения правообладателей в Мосгорсуд о блокировке сайтов, нарушающих авторские права. По заявлению эксперта, в таких спорах происходит постоянная путаница между регистраторами и хостинг-провайдерами. Управляющий партнер PATENTUS, патентный поверенный РФ Дмитрий Марканов отмечает, что в понимании определений путаются даже опытные юристы, в связи с чем следует точно разобраться с соотношением понятий «сайт» и «домен».

Закон содержит следующие определения. Домен (доменное имя) представляет собой обозначение символами, предназначенное для адресации сайтов в Интернете в целях обеспечения доступа к информации, размещенной в сети Интернет (п. 15 ст. 2 Федерального закона от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации»; далее – Закон об информации). Сайт в сети Интернет – совокупность программ для ЭВМ и иной информации, содержащейся в информационной системе, доступ к которой обеспечивается посредством Интернета по доменным именам и (или) по сетевым адресам, позволяющим идентифицировать сайты в Интернете (п. 13 ст. 2 Закона об информации). Наталья Туркина отдельно обращает внимание, что регистрация домена не влечет автоматического создания сайта в сети Интернет. Для создания сайта администратор домена должен заключить договор с хостинг-провайдером, который предоставит свои технические мощности для размещения сайта в информационной системе, постоянно подключенной к сети Интернет (п. 18 ст. 2 Закона об информации).

В соответствии со сложившейся судебной практикой, владелец домена и владелец сайта при нарушении прав на товарный знак (средство индивидуализации в широком понимании) несут солидарную ответственность, если это не одно и тоже лицо. Данный вывод следует из положений постановления президиума СИП, которые содержат норму о том, что требование о возмещении убытков за незаконное использование товарного знака при использовании доменного имени, а равно требование о взыскании компенсации может быть предъявлено к администратору соответствующего доменного имени и к лицу, фактически использовавшему доменное имя, тождественное или сходное до степени смешения с товарным знаком, в отношении товаров, однородных тем, в отношении которых предоставлена правовая охрана этому товарному знаку (п. 1.2 Справки). При этом такие лица отвечают перед правообладателем солидарно. Дмитрий Марканов подчеркнул, что данный подход в некоторых случаях не представляется целесообразным. Эксперт приводит в пример случай, когда администратором домена выступает физическое лицо, которое является системным администратором в компании, зарегистрировавшей домен. В таких случаях физическое лицо несет равную ответственность наравне с владельцем сайта. Однако Дмитрий Марканов объясняет, что данная норма была введена с целью борьбы с недобросовестными ответчиками, в случаях, когда администратор может остаться безнаказанным (например, при аренде сайта).

На практике также встречаются случаи, когда правообладатели обращаются с исковыми заявлениями к регистраторам в качестве ответчиков, выдвигая требования прекратить делегирование доменного имени. Наталья Туркина считает, что такие действия не помогают в защите нарушенного исключительного права, так как сайт продолжает отображаться в Интернете сроком от двух недель до нескольких месяцев. Более того, администратор домена может передать домен третьему лицу, поменять регистратора домена или аннулировать регистрацию домена. С соответствующими выводами согласен Дмитрий Марканов. Эксперт объяснил возникновение тенденции подачи иска к регистратором тем, что правообладатели первоначально считали данный способ надежным для целей избежания сложностей с территориальной подсудностью, обеспечивая рассмотрение споров в Арбитражном суде г. Москвы. Однако в настоящее время практика поменялась: некоторые доменные споры были переданы в подведомственность судов общей юрисдикции.

***
Рост числа отношений в Интернете прямо пропорционален увеличению доменных споров. Несмотря на то, что определенные вопросы были разрешены судебной практикой, некоторые моменты остались открытыми. Так, например, Постановление Пленума Верховного Суда РФ от 23 апреля 2019 г. № 10 определило подведомственность доменных споров арбитражным судам (в соответствии с п. 4 Постановления Пленума), в то время как вопрос разрешения споров, связанных с нарушением авторских и смежных прав на контент на сайте, остается открытым. Однако в целом эксперты оценивают судебную практику как установленную.

Источник

Добавление альтернативного имени субъекта в безопасный сертификат LDAP

В этой статье описывается, как добавить альтернативное имя субъекта (SAN) в безопасный сертификат протокола доступа к легкому каталогу (LDAP).

Применяется к: Windows Server 2012 R2
Исходный номер КБ: 931351

Сводка

Сертификат LDAP подан в орган сертификации (CA), настроенный на компьютере Windows Server 2003. San позволяет подключаться к контроллеру домена с помощью имени системы доменных имен (DNS), кроме имени компьютера. В этой статье содержатся сведения о добавлении атрибутов SAN в запрос сертификации, отправленный в корпоративный ЦС, автономный ЦС или сторонний ЦС.

В этой статье также обсуждаются следующие действия:

Создание и отправка запроса сертификата

При отправке запроса сертификата в корпоративный ЦС шаблон сертификата должен быть настроен на использование SAN в запросе, а не на использование сведений из службы каталогов Active Directory. Шаблон Веб-сервера версии 1 можно использовать для запроса сертификата, который будет поддерживать LDAP над слоем безопасных розеток (SSL). Шаблоны версии 2 можно настроить для получения SAN либо из запроса сертификата, либо из Active Directory. Чтобы выдавать сертификаты, основанные на шаблонах версии 2, корпоративный ЦС должен работать на компьютере с Windows Server 2003 выпуск Enterprise.

При отправке запроса в автономный ЦС шаблоны сертификатов не используются. Поэтому САН всегда должен быть включен в запрос сертификата. Атрибуты SAN можно добавить в запрос, созданный с помощью Certreq.exe программы. Или атрибуты SAN могут быть включены в запросы, отправленные с помощью веб-страниц регистрации.

Используйте страницы веб-регистрации для отправки запроса сертификата в корпоративный ЦС

Чтобы отправить запрос сертификата, содержащий SAN в корпоративном ЦС, выполните следующие действия:

Откройте Internet Explorer.

Местообладатель представляет имя веб-сервера, который работает Windows Server 2003 и имеет ЦС, к нему необходимо получить доступ.

Нажмите кнопку Запрос сертификата.

Щелкните расширенный запрос сертификата.

Щелкните Создать и отправить запрос в этот ЦС.

В списке шаблонов сертификатов щелкните Веб-сервер.

ЦС должен быть настроен для выпуска сертификатов веб-сервера. Возможно, вам придется добавить шаблон веб-сервера в папку Шаблоны сертификатов в оснастке сертификационного органа, если ЦС еще не настроен на выпуск сертификатов веб-сервера.

Предоставление необходимых сведений.

В поле Имя введите полное доменное имя контроллера домена.

В статье Ключевые параметры установите следующие параметры:

В статье Расширенные параметры установите формат запроса cmC.

В поле Атрибуты введите нужные атрибуты SAN. Атрибуты SAN принимают следующую форму:

Нажмите кнопку Отправить.

Если вы видите веб-страницу сертификата, нажмите кнопку Установите этот сертификат.

Используйте страницы веб-регистрации для отправки запроса сертификата в автономный ЦС

Чтобы отправить запрос сертификата, который включает САН в автономный ЦС, выполните следующие действия:

Откройте Internet Explorer.

Местообладатель представляет имя веб-сервера, который работает Windows Server 2012 R2 и имеет ЦС, к нему необходимо получить доступ.

Нажмите кнопку Запрос сертификата.

Щелкните расширенный запрос сертификата.

Щелкните Создать и отправить запрос в этот ЦС.

Предоставление необходимых сведений.

В поле Имя введите полное доменное имя контроллера домена.

В списке Type of Certificate Needed Server щелкните Сертификат проверки подлинности сервера.

В статье Ключевые параметры установите следующие параметры:

В статье Расширенные параметры установите формат запроса как CMC.

В поле Атрибуты введите нужные атрибуты SAN. Атрибуты SAN принимают следующую форму:

Несколько имен DNS разделены ampersand (&). Например, если имя контроллера домена corpdc1.fabrikam.com и псевдоним ldap.fabrikam.com, оба имени должны быть включены в атрибуты SAN. В результате строка атрибута отображается следующим образом:

Нажмите кнопку Отправить.

Если ЦС не настроен на автоматический выпуск сертификатов, отображается веб-страницу Certificate Pending и запрашивается, чтобы администратор выдал запрашиваемый сертификат.

Чтобы получить сертификат, выданный администратором, подключите его к и нажмите кнопку http:// /certsrv Проверка на ожидаемом сертификате. Щелкните запрашиваемую справку и нажмите кнопку Далее.

Если сертификат был выдан, отображается веб-страницу сертификата. Нажмите кнопку Установите этот сертификат, чтобы установить сертификат.

Используйте Certreq.exe для создания и отправки запроса сертификата, который включает SAN

Чтобы использовать Certreq.exe для создания и отправки запроса сертификата, выполните следующие действия:

Сохраните файл в качестве Request.inf.

Откройте окно командной строки.

В командной строке введите следующую команду, а затем нажмите клавишу ВВОД:

В командной строке введите следующую команду, а затем нажмите клавишу ВВОД:

computername\Certification Authority Name

Если этот ЦС является корпоративным ЦС и если пользователь, который передает запрос сертификата, имеет разрешения на чтение и регистрацию для шаблона, запрос передается. Выданный сертификат сохранен в файле Certnew.cer. Если ЦС является автономным ЦС, запрос сертификата будет в состоянии ожидания до тех пор, пока он не будет утвержден администратором ЦС. Вывод из команды certreq-submit содержит номер ID запроса отправленного запроса. После утверждения сертификата его можно получить с помощью номера запроса.

Чтобы получить сертификат, используйте номер запроса, выдав следующую команду:

В командной строке введите следующую команду, а затем нажмите клавишу ВВОД:

После получения сертификата необходимо установить его. Эта команда импортирует сертификат в соответствующий магазин, а затем связывает сертификат с закрытым ключом, созданным на шаге 4.

Отправка запроса сертификата в сторонний ЦС

Если вы хотите отправить запрос сертификата в сторонний ЦС, сначала используйте Certreq.exe для создания файла запроса сертификата. Затем можно отправить запрос в сторонний ЦС с помощью любого метода, подходящего для этого поставщика. Сторонний ЦС должен иметь возможность обрабатывать запросы сертификатов в формате CMC.

Большинство поставщиков ссылаются на запрос сертификата как на запрос подписи сертификатов (CSR).

Ссылки

Дополнительные сведения о том, как включить LDAP над SSL вместе с сторонним органом сертификации, см. в этой ссылке Как включить LDAP над SSLс помощью сторонних органов сертификации.

Дополнительные сведения о том, как запросить сертификат с настраиваемой альтернативной именем субъекта, см. в справке «Как запросить сертификат с настраиваемой альтернативной именем субъекта».

Дополнительные сведения о том, как использовать задачи сертификации для управления сертификационным органом (CA), перейдите на следующий веб-сайт Microsoft Developer Network msDN: Certutil tasks for managing a Certification Authority (CA)

Источник

Планирование изменений имен участников-пользователей в Azure Active Directory и устранение неполадок

Имя участника-пользователя (UPN) — это атрибут, который представляет собой стандарт интернет-коммуникаций для учетных записей пользователей. Имя участника-пользователя состоит из префикса (имя участника-пользователя) и суффикса (имя субъекта-пользователя). Префикс объединяется с суффиксом с помощью символа @. Например, someone@example.com. Имя участника-пользователя должно быть уникальным среди всех объектов субъекта безопасности в пределах леса каталога.

В этой статье предполагается, что UPN используется в качестве идентификатора пользователя. Он предназначен для планирования изменений имен участников-пользователей и восстановления после неполадок, которые могут возникнуть в результате изменений имен участников-пользователей.

Разработчикам рекомендуется использовать идентификатор пользователя (objectID) в качестве неизменяемого идентификатора вместо имени участника-пользователя или адреса электронной почты, так как их значения можно изменить.

Сведения об именах участников-пользователей и их изменениях

На страницах входа у пользователей часто запрашивается ввод адреса электронной почты, когда требуемое значение фактически является их именем участника-пользователя. Поэтому при изменении основного адреса электронной почты следует обязательно изменить UPN пользователей.

Изменение основных адресов электронной почты пользователей возможно по многим причинам:

переход сотрудников в разные подразделения компании;

слияния и приобретения;

изменение имени сотрудника.

Типы изменений имен участников-пользователей

Имя участника-пользователя можно изменить, изменив префикс, суффикс или и то, и другое.

Изменение префикса.

Например, если имя пользователя изменилось, можно изменить имя его учетной записи:
‎BSimon@contoso.com на BJohnson@contoso.com

Также можно изменить корпоративный стандарт для префиксов:
‎Bsimon@contoso.com на Britta.Simon@contoso.com

Изменение суффикса.

Например, если пользователь сменил подразделение, может потребоваться изменить его домен:

Рекомендуется изменять UPN пользователя при каждом обновлении его основного адреса электронной почты.

Во время начальной синхронизации из Active Directory в Azure Active Directory убедитесь, что адреса электронной почты пользователей идентичны их именам участников-пользователей.

Имена участников-пользователей каталога в Active Directory

В Active Directory суффиксом имени участника-пользователя по умолчанию служит DNS-имя домена, в котором создана учетная запись пользователя. В большинстве случаев это доменное имя, зарегистрированное в Интернете как домен предприятия. При создании учетной записи пользователя в домене contoso.com имя участника-пользователя по умолчанию имеет вид

Тем не менее с помощью оснастки «Active Directory — домены и доверие» можно добавить дополнительные суффиксы имен участников-пользователей.

Например, может потребоваться добавить labs.contoso.com и учесть такое изменение в именах участников-пользователей и сообщениях электронной почты пользователей. Затем они приобретут следующий вид

Имена участников-пользователей в Azure Active Directory

Пользователи входят в Azure Active Directory с данным значением в их атрибуте userPrincipalName.

При использовании Azure Active Directory совместно с локальной службой Active Directory учетные записи пользователей синхронизируются с помощью службы Azure AD Connect. По умолчанию мастер Azure AD Connect использует атрибут userPrincipalName из локальной службы Active Directory в качестве имени участника-пользователя в Azure Active Directory. Его можно сменить на другой атрибут в пользовательской установке.

При обновлении имени участника-пользователя (UPN) одного пользователя или всей организации важно иметь определенный процесс.

Ознакомьтесь с известными проблемами и обходными решениями в этом документе.

При синхронизации учетных записей пользователей из Active Directory в Azure Active Directory убедитесь, что имена участников-пользователей в Active Directory сопоставляются с проверенными доменами в Azure Active Directory.

Развертывание массовых изменений имен участников-пользователей

Следуйте рекомендациям по пилотным проектам для массового изменения имен участников-пользователей. Также имеется проверенный план отката для восстановления имен участников-пользователей при обнаружении проблем, которые невозможно быстро устранить. После запуска пилотного проекта можно начать целевую настройку небольших наборов пользователей с различными ролями в организации и их конкретных наборов приложений или устройств.

Прохождение этого первого подмножества пользователей даст хорошее представление о том, что пользователям следует ожидать в рамках изменения. Используйте эти сведения для взаимодействия с пользователями.

Создайте определенную процедуру изменения имен участников-пользователей в рамках обычных операций. Рекомендуется использовать проверенную процедуру, включающую документацию по известным проблемам и обходным решениям.

В последующих разделах описаны потенциальные известные проблемы и способы их обходного решения при изменении имен участников-пользователей.

Известные проблемы приложений и обходные решения

Программное обеспечение как услуга (SaaS) и бизнес-приложения часто используют имена участников-пользователей для поиска пользователей и хранения сведений о профилях пользователей, включая роли. На приложения, использующие JIT-подготовку для создания профиля пользователя при первом входе пользователей в приложение, могут повлиять изменения имен участников-пользователей.

Известная проблема
Изменение UPN пользователя может нарушить связь между пользователем Azure Active Directory и профилем пользователя, созданным в приложении. Если приложение использует JIT-подготовку, оно может создать совершенно новый профиль пользователя. В результате от администратора приложения потребуется внести изменения вручную, чтобы исправить эту связь.

Обходное решение
Автоматическая подготовка пользователей Azure Active Directory позволяет автоматически создавать, обслуживать и удалять удостоверения пользователей в поддерживаемых облачных приложениях. Если в приложениях настроить автоматическую подготовку пользователей, имена участников-пользователей автоматически обновятся в приложениях. Протестируйте приложения в рамках последовательного развертывания, чтобы убедиться, что на них не влияет изменение имен участников-пользователей. Если вы разработчик, попробуйте добавить в приложение поддержку SCIM, чтобы включить автоматическую подготовку пользователей из Azure Active Directory.

Известные проблемы и обходные решения для управляемых устройств

Размещение устройств в Azure Active Directory позволяет увеличить эффективность работы пользователей благодаря выполнению единого входа для облачных и локальных ресурсов.

Устройства, присоединенные к Azure AD

Присоединенные к Azure Active Directory устройства присоединяются непосредственно к Azure Active Directory и позволяют пользователям входить в устройство, используя удостоверение своей организации.

Известные проблемы
Пользователи могут столкнуться с проблемами единого входа в приложениях, которые зависят от Azure Active Directory при проверке подлинности.

Решение
Проблемы, упомянутые в этом разделе, исправлены в обновлении Windows 10 в мае 2020 года (2004).

Обходное решение
Подождите достаточно времени, чтобы изменения имен участников-пользователей синхронизировались с Azure Active Directory. Убедившись, что новое имя участника-пользователя отражается на портале Azure Active Directory, попросите пользователя выбрать плитку «Другой пользователь», чтобы войти в систему с новым именем участника-пользователя. Проверку также можно выполнить с помощью PowerShell. После входа в систему с новым именем участника-пользователя ссылки на старое имя участника-пользователя могут все еще появляться в настройке Windows «Доступ к учетной записи места работы или учебного заведения».

Гибридные устройства, присоединенные к Azure AD

Устройства с гибридным присоединением к Azure Active Directory присоединены к Active Directory и Azure Active Directory. Если в вашей среде действует локальная служба Active Directory и вы также хотите получить выгоду от возможностей, предоставляемых Azure Active Directory, можно использовать гибридное присоединение к Azure Active Directory.

Известные проблемы

Устройства Windows 10 с гибридным присоединением к Azure Active Directory могут столкнуться с непредвиденными перезапусками и проблемами доступа.

Если пользователи входят в Windows перед синхронизацией нового имени участника-пользователя с Azure Active Directory или продолжают использовать существующий сеанс Windows, они могут столкнуться с проблемами единого входа в приложениях, использующих Azure Active Directory для проверки подлинности, если условный доступ настроен на принудительное использование устройств с гибридным присоединением для доступа к ресурсам.

Кроме того, отображается следующее сообщение о принудительной перезагрузке через одну минуту:

«Ваш ПК автоматически перезагрузится через одну минуту. Windows обнаружена проблема, необходима перезагрузка. Закройте это сообщение сейчас и сохраните работу.»

Решение
Проблемы, упомянутые в этом разделе, исправлены в обновлении Windows 10 в мае 2020 года (2004).

Обходное решение

Устройство необходимо отсоединить от Azure Active Directory и перезапустить. После перезагрузки устройство автоматически присоединяется к Azure Active Directory, а пользователь должен войти с использованием нового имени участника-пользователя, выбрав плитку «Другой пользователь». Чтобы отсоединить устройство от Azure Active Directory, выполните в командной строке следующую команду:

dsregcmd /leave

Если используется Windows Hello для бизнеса, пользователю потребуется повторно зарегистрироваться для этой службы. После изменения имен участников-пользователей данная проблема не возникает на устройствах под управлением Windows 7 и 8.1.

Известные проблемы Microsoft Authenticator и обходные решения

В организации может потребоваться использование приложения Microsoft Authenticator для входа и доступа к организационным приложениям и данным. Хотя в приложении может появиться имя пользователя, учетная запись не настроена для работы в качестве метода проверки, пока пользователь не завершит процесс регистрации.

многофакторная проверка подлинности с помощью push-уведомления или кода проверки;

брокер проверки подлинности на устройствах iOS и Android для предоставления единого входа в приложениях, использующих аутентификацию через брокера;

регистрация устройства (также известная как Workplace Join) в Azure Active Directory, это обязательное требование для других функций, таких как Защита приложений Intune, регистрация устройств и управление ими;

вход с телефона, для которого требуется многофакторная проверка подлинности и регистрация устройства.

Многофакторная проверка подлинности на устройствах Android

Приложение Microsoft Authenticator предлагает возможность внеполосной проверки. Вместо автоматического телефонного вызова или отправки SMS пользователю при входе в систему Многофакторная проверка подлинности отправляет push-уведомление приложению Microsoft Authenticator, которое установлено на смартфоне или планшете пользователя. Чтобы завершить вход, пользователю в приложении нужно просто коснуться элемента «Проверить» (или ввести ПИН-код и коснуться элемента «Проверить подлинность»).

Известные проблемы

Если изменить имя участника-пользователя, старое UPN по-прежнему отображается в учетной записи пользователя, а уведомление может быть не получено. Коды проверки продолжают работать.

Обходное решение

Если уведомление получено, поручите пользователю закрыть уведомление, откройте приложение Authenticator, коснитесь пункта «Проверить наличие уведомлений» и утвердите запрос многофакторной проверки подлинности. После этого обновляется имя участника-пользователя, отображаемое в учетной записи. Обратите внимание, что обновленное имя участника-пользователя может отображаться как новая учетная запись. Это связано с использованием другой функции приложения Authenticator. Другие сведения см. в описании дополнительных известных проблем в этой статье.

Аутентификация через брокера

В ОС Android и iOS брокеры, такие как Microsoft Authenticator, предоставляют следующие возможности:

единый вход (SSO) — пользователям не потребуется входить в каждое приложение;

идентификация устройств — брокер обращается к сертификату устройства, созданному в устройстве при его подключении к рабочему месту;

проверка идентификации приложения — когда приложение вызывает брокер, ему передается URL-адрес перенаправления, и брокер проверяет его.

Кроме того, брокер позволяет приложениям участвовать в более сложных функциях, таких как Условный доступ, и поддерживает сценарии Microsoft Intune.

Известные проблемы
Пользователю предлагается больше интерактивных запросов на проверку подлинности в новых приложениях, использующих вход с брокером, из-за несоответствия между значением login_hint, переданным приложением, и именем участника-пользователя, хранящимся в брокере.

Обходное решение
Пользователю необходимо вручную удалить учетную запись из Microsoft Authenticator и начать новый вход из приложения с брокером. Учетная запись автоматически добавляется после первоначальной проверки подлинности.

Регистрация устройства

Приложение Microsoft Authenticator отвечает за регистрацию устройства в Azure Active Directory. Регистрация устройств позволяет устройству проходить проверку подлинности в Azure Active Directory. Это обязательно для следующих сценариев:

Защита приложений Intune

Регистрация устройств в Intune

Вход с помощью телефона

Известные проблемы
Если изменить имя участника-пользователя, в приложении Microsoft Authenticator отображается новая учетная запись с новым UPN, в то время как учетная запись со старым UPN все еще присутствует в списке. Кроме того, старое имя участника-пользователя отображается в разделе «Регистрация устройств» в настройках приложения. Обычные функциональные возможности регистрации устройств или зависимых сценариев не изменились.

Обходное решение
Чтобы удалить все ссылки на старое имя участника-пользователя в приложении Microsoft Authenticator, поручите пользователю вручную удалить старую и новую учетные записи из Microsoft Authenticator, повторно зарегистрироваться для многофакторной проверки подлинности и заново присоединить устройство.

Вход с помощью телефона

Вход с помощью телефона позволяет пользователям входить в Azure Active Directory без пароля. Чтобы включить вход с помощью телефона, пользователю необходимо зарегистрироваться для использования многофакторной проверки подлинности с использованием приложения Authenticator, а затем включить вход с помощью телефона непосредственно в этом приложении. В рамках данной конфигурации устройство регистрируется в Azure Active Directory.

Известные проблемы
Пользователи не могут использовать вход с помощью телефона, так как они не получают никаких уведомлений. Если пользователи нажимают «Проверить наличие уведомлений», они получают сообщение об ошибке.

Обходное решение
Пользователю необходимо в учетной записи, для которой разрешен вход с помощью телефона, открыть раскрывающееся меню и выбрать команду «Отключить вход с помощью телефона». При желании вход с помощью телефона можно снова включить.

Известные проблемы ключа безопасности (FIDO2) и обходные решения

Известные проблемы
Если на одном ключе зарегистрировано несколько пользователей, на экране входа отображается страница в чем разница» rel=dofollow»>страница выбора учетной записи, где отображается старое имя участника-пользователя. На вход в систему с использованием ключей безопасности изменения имен участников-пользователей не влияют.

Обходное решение
Чтобы удалить ссылки на старые имена участников-пользователей, пользователям необходимо сбросить ключ безопасности и повторно зарегистрироваться.

Известные проблемы OneDrive и обходные решения

Известно, что после изменения имен участников-пользователей пользователи OneDrive сталкиваются с проблемами. Дополнительные сведения см. в статье Влияние изменений имен участников-пользователей на URL-адрес и функции OneDrive.

Источник