Microsoft Entra ID允许普通用户更新自己的UPN

微软允许非特权用户在Entra ID中更新自己的用户主体名称 (UPN) ，这引发了对安全和管理监督的担忧。

测试证实，普通用户可以通过Entra管理中心进入账户属性页面，直接编辑自己的UPN。也可以通过Microsoft Graph PowerShell SDK进行类似的更新，这两种接口都依赖于Microsoft Graph Users API。

Eric Hammond Entra帐户的属性

使用Microsoft Graph PowerShell SDK更新用户主体名称

作为访问微软服务的关键标识符，此前，UPN的更新通常仅限于管理员，但现在任何用户都可以修改自己的UPN。很难理解为何会有组织会故意允许用户修改如此重要的属性。

安全风险与应对措施

允许用户修改UPN带来了诸多安全风险。由于Entra ID与Exchange Online之间的双写同步，更改UPN会自动更新Exchange Online中的主SMTP地址。旧的主SMTP地址将保留为代理地址，以确保电子邮件传递的连续性。

更新用户主体名称和照片后的帐户属性

用户可以暂时更改UPN以冒充他人（如CEO@domain.com），获取该邮箱地址的访问权限，然后再恢复为原来的UPN。如果管理员没有积极监控审核日志，这种更改可能会被忽视。

此外，撤销UPN更改并不会自动删除在此过程中创建的额外邮件代理地址，如果管理员未明确处理，这可能会导致进一步的复杂情况或滥用。

对此功能感到担忧的组织可以采取措施限制用户访问：

• 限制对 Entra 管理中心的访问：管理员可以配置设置以阻止非管理用户访问 Entra 管理中心。虽然这并不能完全防止具有低级角色（例如报告阅读者）的用户进行更改，但可以减少随意访问。
• 保护 Microsoft Graph PowerShell SDK：默认情况下，任何用户都可以使用 Connect-MgGraph cmdlet 连接到 Microsoft Graph PowerShell SDK 。管理员可以通过限制相关企业应用程序的设置来保护此功能。如果没有适当的权限，尝试连接的用户将遇到 AADSTS50105 错误。

微软启用这一功能的原因尚不清楚。虽然微软通常会基于特定用例实施更改，但尚未提供允许无特权用户修改其UPN等基本属性的明确理由。这让IT管理员感到困惑，并担心潜在的滥用行为。

微软的行动与回应

截至2025年1月24日14:00 UTC，微软已采取措施阻止用户更新自己UPN。当用户尝试进行此类操作时，Entra管理中心现在会显示一条通知，限制此功能。

在微软对此变更的更多信息公布之前，建议组织实施控制措施以降低风险。阻止用户访问 Entra 管理中心和 Microsoft Graph PowerShell SDK 是维护安全的明智之举。