Usuários de domínios federados que se autenticam por SAML, como por exemplo autenticações iniciadas na Microsoft que são realizadas no Google, utilizam o ImmutableID como identificador de comunicação entre as plataformas, porém, quando um usuário é renomeado na plataforma que realiza as autenticações, seu ImmutableID não é alterado na Microsoft, ocasionando falha de autenticação realizados pela Microsoft para esses usuários.
Para corrigir isso, basta corrigir o ImmutableID do usuário para seu novo nome de usuário, porém, a Microsoft não permite que o ImmutableID seja alterado em usuários de domínios federados. Para contornar essa limitação, devemos mudar o domínio do login do usuário para um domínio não federado, fazer a alteração do seu ImmutableID, e em seguida reverter o domínio do seu login. Segue abaixo o passo-a-passo para realizar essa mudança:
Se conecte no Azure Active Directory através do PowerShell, ele pedirá as credenciais de administração do tenant (requer a instalação do módulo MSOnline):
Connect-MsolService
Faça o download de todos os usuários e seus ImmutableID para ver quem está com o registro errado ou visualize as informações no PowerShell, para isso:
Comando para baixar as informações em CSV:
$exportUsers = Get-MsolUser -All | Select-Object UserprincipalName,ImmutableID,WhenCreated,LastDirSyncTime | Export-Csv users.csv
Comando para visualizar o ImmutableID no PowerShell:
Get-MsolUser -All | Select-Object UserprincipalName,ImmutableID,WhenCreated,LastDirSyncTime
Altere o ID do usuário para um domínio não federado, pode ser utilizado o tenant onmicrosoft.com:
Set-MsolUserPrincipalName -UserPrincipalName [user]@[federateddomain.com] -NewUserPrincipalName [user]@[tenant].onmicrosoft.com
Defina o ImmutableId correto do usuário:
Get-MsolUser -UserPrincipalName [user]@[tenant].onmicrosoft.com | Set-MsolUser -ImmutableId [user]@[federateddomain.com]
Reverta o ID do usuário para o domínio federado:
Set-MsolUserPrincipalName -UserPrincipalName [user]@[tenant].onmicrosoft.com -NewUserPrincipalName [user]@[federateddomain.com]
E faça o download novamente de todos os ImmutableID para verificar se o ImmutableID do usuário foi corrigido:
$exportUsers = Get-MsolUser -All | Select-Object UserprincipalName, ImmutableID | Export-Csv users.csv