Doğrulanmış etki alanı değişiklikleri sırasında toplu kullanıcı güncelleştirmelerini anlama

Bu makalede, denetim günlüklerinin doğrulanmış bir etki alanı değişikliği tarafından tetiklenen birçok UserPrincipalName güncelleştirmesi görüntülediği yaygın bir senaryo açıklanmaktadır. Bu makalede, doğrulanmış etki alanı değişiklikleri sırasında oluşan denetim günlüklerindeki UserManagement güncelleştirmelerinin nedenleri ve dikkat edilmesi gerekenler açıklanmaktadır. Makale, Microsoft Entra Id'de toplu nesne değişikliklerini tetikleyen arka uç işlemine ayrıntılı bir bakış sağlar.

Belirtiler

Microsoft Entra denetim günlükleri, Microsoft Entra kiracımda birden çok kullanıcı güncelleştirmesinin gerçekleştiğini gösteriyor. Bu olaylar için Aktör bilgileri boş veya YOK gösteriyor.

Toplu güncelleştirmeler, değiştirilen etki alanının kuruluşun tercih edilen etki UserPrincipalName alanından varsayılan *.onmicrosoft.com etki alanı sonekine değiştirilmesini içerir.

Örnek denetim günlüğü ayrıntıları

Etkinlik Tarihi (UTC): 2022-01-27 07:44:05

Etkinlik: Kullanıcıyı güncelleştirme

Aktör Türü: Diğer

Aktör UPN'i: Yok

Durum: başarı

Kategori: UserManagement

Hizmet: Çekirdek Dizin

Hedef Kimliği: aaaaaaaaa-bbbb-0000-11111-bbbbbbbbbbbbbbb

Hedef Adı: user@contoso.com

Hedef Türü: Kullanıcı

Denetim günlüğü girdisinin tüm ayrıntılarında bölümünü arayın modifiedProperties . Bu bölümde kullanıcı nesnesinde yapılan değişiklikler gösterilir. oldValue ve newValue alanları etki alanı değişikliğini gösterir.

"modifiedProperties":
  "displayName": "UserPrincipalName",
  "oldValue": "[\"user@contoso.onmicrosoft.com\"]",
  "newValue": "[\"user@contoso.com\"]"

Nedenler

Yığın nesne değişikliklerinin ardındaki yaygın nedenlerden biri, zaman uyumsuz bir arka uç işleminden kaynaklanır. Bu işlem uygun UserPrincipalName olan ve proxyAddresses Microsoft Entra kullanıcılarında, gruplarında veya kişilerinde güncelleştirilenleri belirler.

Bu arka uç işleminin amacı, UserPrincipalName ve proxyAddresses'in microsoft entra kimliğinde her zaman tutarlı olmasını sağlar. Doğrulanmış etki alanı değişikliği gibi açık bir değişiklik bu işlemi tetikler.

Örneğin, Contoso.onmicrosoft.com kiracınıza doğrulanmış bir etki alanı Fabrikam.com eklerseniz, bu eylem kiracıdaki tüm nesnelerde arka uç işlemini tetikler. Bu olay Microsoft Entra denetim günlüklerinde, doğrulanmış etki alanı ekle olayının önündeki Kullanıcı Güncelleştirme olayları olarak yakalanır.

Contoso.onmicrosoft.com kiracısından Fabrikam.com kaldırıldıysa, tüm Kullanıcı Güncelleştirme olaylarının önünde Doğrulanmış etki alanını kaldır olayı bulunur.

Çözüm

Bu sorunla karşılaştıysanız, şirket içi dizininizle Microsoft Entra Kimliği arasında veri eşitlemek için Microsoft Entra Bağlan'ı kullanmanız yararlı olabilir. Bu eylem, ve proxyAddresses değerlerinin UserPrincipalName her iki ortamda da tutarlı olmasını sağlar.

Bu nesneleri el ile eklemeye veya bakımını yapmaya çalıştığınızda, toplu bir değişikliği tetikleyen başka bir arka uç işlemi riskiyle karşılaşırsınız.

Bu kavramları tanımak için aşağıdaki makaleleri gözden geçirin:

Dikkat edilmesi gereken noktalar

Bu arka uç işlemi, belirli nesnelerde aşağıdaki değişikliklere neden olmaz:

  • etkin bir Microsoft Exchange lisansına sahip değil
  • MSExchRemoteRecipientType Null olarak ayarlandı
  • paylaşılan kaynak olarak kabul edilmez

Paylaşılan kaynak aşağıdaki değerlerden birini içerdiğinde CloudMSExchRecipientDisplayType kullanılır:

  • MailboxUser (paylaşılan)
  • PublicFolder
  • ConferenceRoomMailbox
  • EquipmentMailbox
  • ArbitrationMailbox
  • RoomList
  • TeamMailboxUser
  • GroupMailbox
  • SchedulingMailbox
  • ACLableMailboxUser
  • ACLableTeamMailboxUser

Microsoft, bu iki farklı olay arasında daha fazla bağıntı oluşturmak için denetim günlüklerindeki Aktör bilgilerini güncelleştirerek bu değişiklikleri doğrulanmış bir etki alanı değişikliği tarafından tetiklenen şekilde belirlemeye çalışmaktadır. Bu eylem, doğrulanmış etki alanı değişikliği olayının ne zaman gerçekleştiğini denetlemeye ve kiracıdaki nesneleri toplu güncelleştirmeye başlamaya yardımcı olur.

Çoğu durumda, kullanıcılarda kendi UserPrincipalName değişiklikleri yoktur ve proxyAddresses tutarlıdırlar, bu nedenle yalnızca nesnede gerçek bir değişikliğe neden olan güncelleştirmeleri denetim günlüklerinde görüntülemeye çalışıyoruz. Bu eylem denetim günlüklerindeki gürültüyü önler ve yöneticilerin kalan kullanıcı değişikliklerini doğrulanmış etki alanı değişikliği olaylarıyla ilişkilendirmesine yardımcı olur.

Derin dalışlar

Arka planda neler olduğu hakkında daha fazla bilgi edinmek ister misiniz? Aşağıda, Microsoft Entra Id'de toplu nesne değişikliklerini tetikleyen arka uç işlemine ayrıntılı bir bakış bulabilirsiniz. İncelemeden önce, gölge öznitelikleri anlamak için Microsoft Entra Bağlan Eşitleme hizmeti gölge öznitelikleri makalesine göz atın.

UserPrincipalName

Yalnızca bulut kullanıcıları için UserPrincipalName doğrulanmış bir etki alanı soneki olarak ayarlanır. Tutarsız bir UserPrincipalName işlendiğinde, işlem bunu varsayılan onmicrosoft.com sonekine dönüştürür, örneğin: username@Contoso.onmicrosoft.com.

Eşitlenmiş kullanıcılar için, UserPrincipalName doğrulanmış bir etki alanı soneki olarak ayarlanır ve şirket içi değeriyle ShadowUserPrincipalNameeşleşir. Tutarsız bir UserPrincipalName işlendiğinde, işlem ShadowUserPrincipalName ile aynı değere geri döner veya etki alanı son ekinin kiracıdan kaldırılması durumunda, bunu varsayılan *.onmicrosoft.com etki alanı sonekine dönüştürür.

ProxyAddresses

Yalnızca bulut kullanıcıları için tutarlılık, doğrulanmış bir etki alanı soneki ile proxyAddresses eşleşmiş olduğu anlamına gelir. Tutarsız bir proxyAddresses işlendiğinde, arka uç işlemi bunu varsayılan *.onmicrosoft.com etki alanı sonekine dönüştürür, örneğin: SMTP:username@Contoso.onmicrosoft.com.

Eşitlenmiş kullanıcılar için tutarlılık, proxyAddresses değerinin şirket içi proxyAddresses değeriyle (ShadowProxyAddresses) eşleştiği anlamına gelir. proxyAddresses'in ShadowProxyAddresses ile eşitlenmiş olması beklenir. Eşitlenen kullanıcının atanmış bir Exchange lisansı varsa bulut ve şirket içi değerlerin eşleşmesi gerekir. Bu değerlerin doğrulanmış bir etki alanı sonekiyle de eşleşmesi gerekir.

Bu senaryoda, arka uç işlemi doğrulanmamış bir etki alanı soneki ile tutarsız proxyAddresses temizlenir ve Microsoft Entra Id nesneden kaldırılır. Bu doğrulanmamış etki alanı daha sonra doğrulanırsa, arka uç işlemi yeniden derlenir ve ShadowProxyAddresses'teki proxyAddresses değerini Microsoft Entra ID'deki nesneye geri ekler.

Not

Eşitlenmiş nesneler için, arka uç işlem mantığının beklenmeyen sonuçları hesaplamasını önlemek için proxyAddresses'i şirket içi nesnede Microsoft Entra doğrulanmış etki alanına ayarlamak en iyisidir.

Sonraki Adımlar

Microsoft Entra Bağlan Eşitleme hizmeti gölge öznitelikleri