UPN-Bereinigung vor Entra Connect: Typische Stolpersteine bei Microsoft 365 Migrationen

von

Bei fast jeder Microsoft 365 Migration spielt die User Principal Name (UPN)-Struktur eine zentrale Rolle.

Technisch ist die Synchronisation mit Entra Connect schnell eingerichtet.
Die eigentlichen Probleme entstehen meist vorher – im Active Directory.

1. UPN ist nicht gleich E-Mail-Adresse

In gewachsenen Umgebungen sehe ich häufig:

  • UPN: vorname.nachname@firma.local
  • E-Mail: vorname.nachname@firma.ch

Solange Benutzer intern arbeiten, fällt das kaum auf.

Nach der Migration führt es jedoch zu:

  • Verwirrung beim Login
  • Inkonsistenter Identität
  • unnötigen Supportfällen
  • Problemen bei Single Sign-On

Eine klare Zielstruktur sollte vor der Migration definiert werden.

2. Nicht-routbare Domänen

Domänen wie:

  • firma.local
  • firma.intern
  • alte Subdomains

sind in Microsoft 365 nicht verwendbar.

Vor der Synchronisation muss:

  • eine verifizierte, öffentliche Domäne definiert werden
  • das UPN-Suffix im AD ergänzt werden
  • Benutzerkonten entsprechend angepasst werden

Diese Änderung sollte geplant erfolgen – insbesondere bei grösseren Umgebungen.

3. Inkonsistente Namenskonventionen

Typische Altlasten:

  • gemischte Schreibweisen
  • Sonderzeichen
  • alte Namensformate
  • ehemalige Domains

Beispiele:

  • hans.mueller
  • h.mueller
  • muellerh
  • hansm

In der Cloud wirkt eine inkonsistente Identitätsstruktur sofort sichtbar.

Ich empfehle, vor der Migration:

  • eine klare Namenskonvention zu definieren
  • zukünftige Benutzerstruktur festzulegen
  • Ausnahmen bewusst zu dokumentieren

4. Technische Prüfung vor der Synchronisation

Vor Aktivierung von Entra Connect prüfe ich mindestens:

  • Sind alle UPNs eindeutig?
  • Gibt es doppelte ProxyAddresses?
  • Existieren deaktivierte Alt-Konten?
  • Sind Service-Accounts korrekt gekennzeichnet?
  • Ist die Ziel-Domain verifiziert?

Fehler an dieser Stelle führen später zu:

  • Synchronisationskonflikten
  • Soft-Match-Problemen
  • Inkonsistenten Cloud-Identitäten

5. Soft Match und ImmutableID

Bei bestehenden Cloud-Konten (z.B. Test-Tenants oder Pilotmigrationen) kann es zu Konflikten kommen.

Besonders relevant:

  • Soft Match via ProxyAddress
  • ImmutableID bei vorherigen Synchronisationsversuchen

Diese Punkte sollten bewusst geprüft werden, bevor produktive Benutzer synchronisiert werden.

Fazit

Die UPN-Struktur ist kein Detail – sie ist die Grundlage der Identität in Microsoft 365.

Eine Migration ist der richtige Zeitpunkt, um:

  • Altlasten zu bereinigen
  • eine konsistente Namensstrategie einzuführen
  • Identitäten sauber auszurichten

Wer diesen Schritt überspringt, übernimmt bestehende Inkonsistenzen in die Cloud.