Skuggattribut för Microsoft Entra Anslut Sync-tjänsten
De flesta attribut representeras på samma sätt i Microsoft Entra-ID som i din lokal Active Directory. Men vissa attribut har viss särskild hantering och attributvärdet i Microsoft Entra-ID kan skilja sig från vad Microsoft Entra Anslut synkroniserar.
Introduktion till skuggattribut
Vissa attribut har två representationer i Microsoft Entra-ID. Både det lokala värdet och ett beräknat värde lagras. Dessa extra attribut kallas skuggattribut. De två vanligaste attributen där du ser det här beteendet är userPrincipalName och proxyAddress. Synkroniseringsmotorn i Microsoft Entra Anslut och molnsynkronisering exporterar värdet till skuggattributet och sedan bearbetar Microsoft Entra ID det här attributet för att beräkna det slutliga värdet. Synkroniseringsmotorn importerar också värden från skuggattributet, så även om det slutliga beräknade värdet skiljer sig från synkroniseringsmotorns perspektiv kan det bekräfta det ursprungliga värdet som exporterades. Du kan inte se skuggattributen med hjälp av administrationscentret för Microsoft Entra eller med PowerShell, men om du förstår det här konceptet kan du felsöka vissa scenarier där attributet har olika värden lokalt och i molnet.
För att bättre förstå beteendet kan du titta på det här exemplet från Fabrikam:
De har flera UPN-suffix (UserPrincipalName) i sina lokal Active Directory, men endast ett verifieras i Microsoft Entra-ID.
userPrincipalName
En användare har följande attributvärden i en icke-verifierad domän:
Attribut | Värde |
---|---|
lokalt userPrincipalName | lee.sperry@fabrikam.com |
Microsoft Entra shadowUserPrincipalName | lee.sperry@fabrikam.com |
Microsoft Entra userPrincipalName | lee.sperry@fabrikam.onmicrosoft.com |
Attributet userPrincipalName är det värde du ser när du använder PowerShell.
Eftersom det verkliga lokala attributvärdet lagras i Microsoft Entra-ID uppdaterar Microsoft Entra-ID:t userPrincipalName med värdet från shadowUserPrincipalName när du verifierar fabrikam.com domänen. Du behöver inte synkronisera några ändringar från Microsoft Entra Anslut eller molnsynkronisering för att dessa värden ska uppdateras.
proxyAddresses
Samma process för att endast inkludera verifierade domäner sker också för proxyAddresses, men med lite extra logik. Kontrollen av verifierade domäner sker endast för postlådeanvändare. En e-postaktiverad användare eller kontakt representerar en användare i en annan Exchange-organisation och du kan lägga till alla värden i proxyAddresses till dessa objekt.
För en postlådeanvändare, antingen lokalt eller i Exchange Online, visas endast värden för verifierade domäner. Det kan se ut så här:
Attribut | Värde |
---|---|
lokal proxyAddresses | SMTP:abbie.spencer@fabrikamonline.com smtp:abbie.spencer@fabrikam.com smtp:abbie@fabrikamonline.com |
Exchange Online proxyAddresses | SMTP:abbie.spencer@fabrikamonline.com smtp:abbie@fabrikamonline.com SIP:abbie.spencer@fabrikamonline.com |
I det här fallet har smtp:abbie.spencer@fabrikam.com tagits bort eftersom domänen inte har verifierats. Men Exchange lade också till SIP:abbie.spencer@fabrikamonline.com. Fabrikam kanske inte använder lokala Lync/Skype för företag, men Microsoft Entra ID och Exchange Online förbereder sig för det.
Den här logiken för proxyAddresses kallas ProxyCalc. ProxyCalc anropas med varje ändring på en användare när:
- Användaren får en tilldelad tjänstplan som innehåller Exchange Online även om användaren inte har licensierats för en Exchange-postlåda. Om användaren till exempel har tilldelats Office E3 SKU, men endast SharePoint Online-tjänsten har valts. Det här villkoret gäller även om användarens postlåda fortfarande är lokal.
- Attributet msExchRecipientTypeDetails har ett värde.
- Du gör en ändring i proxyAddresses eller userPrincipalName.
ProxyCalc-processen sanerar en adress om ShadowProxyAddresses innehåller en icke-verifierad domän och användaren har någon av följande egenskaper konfigurerade.
- Användaren är licensierad med en EXO-tjänsttypsplan aktiverad (exklusive MyAnalytics)
- Användaren har MSExchRemoteRecipientType inställt (inte null)
- Användaren anses vara en delad resurs
Användaren betraktas som en delad resurs när dess CloudMSExchRecipientDisplayType-attribut har något av följande värden:
Objektvisningstyp | Värde (decimalt): |
---|---|
MailboxUser | 0 |
PublicFolder | 2 |
ConferenceRoomMailbox | 7 |
EquipmentMailbox | 8 |
ArbitrationMailbox | 10 |
RoomList | 15 |
TeamMailboxUser | 16 |
GroupMailbox | 17 |
SchemaläggningMailbox | 18 |
ACLableMailboxUser | 1073741824 |
ACLableTeamMailboxUser | 1073741840 |
Kommentar
CloudMSExchRecipientDisplayType visas inte från Microsoft Entra-ID-sidan och kan bara visas med Exchange Online-cmdleten Get-Recipient.
Exempel:
Get-Recipient admin | fl *type*
ProxyCalc kan ta lite tid att bearbeta en ändring för en användare och är inte synkron med Microsoft Entra-Anslut exportprocessen.
Kommentar
ProxyCalc-logiken har vissa ytterligare beteenden för avancerade scenarier som inte dokumenteras i det här avsnittet. Det här avsnittet ges för att du ska förstå beteendet och inte dokumentera all intern logik.
Attributvärden i karantän
Skuggattribut används också när det finns dubbla attributvärden. Mer information finns i duplicerad attributåterhämtning.