Principy hromadných aktualizací uživatelů během ověřených změn domény
Tento článek popisuje běžný scénář, kdy protokoly auditu zobrazují mnoho UserPrincipalName aktualizací aktivovaných ověřenou změnou domény. Tento článek vysvětluje příčiny a aspekty aktualizací UserManagement v protokolech auditu, ke kterým dochází během ověřených změn domény. Tento článek obsahuje podrobné informace o back-endové operaci, která aktivuje změny hromadných objektů v ID Microsoft Entra.
Příznaky
Protokoly auditu Microsoft Entra ukazují, že v mém tenantovi Microsoft Entra došlo k více aktualizacím uživatelů. Informace objektu Actor pro tyto události jsou prázdné nebo zobrazují není k dispozici.
Hromadné aktualizace zahrnují změnu domény pro UserPrincipalName změnu z upřednostňované domény organizace na výchozí *.onmicrosoft.com příponu domény.
Ukázkové podrobnosti protokolu auditu
Datum aktivity (UTC): 2022-01-27 07:44:05
Aktivita: Aktualizace uživatele
Typ objektu actor: Jiné
Hlavní název uživatele (UPN) objektu actor: N/A
Stav: úspěch
Kategorie: UserManagement
Služba: Základní adresář
ID cíle: aaaaa-bbbb-0000-11111-bbbbbbbbb
Cílový název: user@contoso.com
Typ cíle: Uživatel
V úplných podrobnostech položky protokolu auditu vyhledejte modifiedProperties oddíl. Tato část ukazuje změny provedené v objektu uživatele. V oldValue polích se newValue zobrazuje změna domény.
"modifiedProperties":
"displayName": "UserPrincipalName",
"oldValue": "[\"user@contoso.onmicrosoft.com\"]",
"newValue": "[\"user@contoso.com\"]"
Příčiny
Jedním z běžných důvodů změny hromadných objektů je nesynchronní back-endová operace. Tato operace určuje vhodné UserPrincipalName a proxyAddresses aktualizované v uživatelích, skupinách nebo kontaktech Microsoft Entra.
Účelem této back-endové operace je zajistit, aby userPrincipalName a proxyAddresses byly v Microsoft Entra ID vždy konzistentní. Tato operace aktivuje explicitní změnu, například ověřenou změnu domény.
Pokud například přidáte ověřenou doménu Fabrikam.com do tenanta Contoso.onmicrosoft.com, tato akce aktivuje operaci back-endu pro všechny objekty v tenantovi. Tato událost je zaznamenána v protokolech auditu Microsoft Entra jako události aktualizace uživatele před událostí Přidat ověřenou doménu .
Pokud Fabrikam.com byla odebrána z tenanta Contoso.onmicrosoft.com, před všemi událostmi aktualizovat uživatele se zobrazí událost Odebrat ověřenou doménu .
Rozlišení
Pokud k tomuto problému došlo, můžete využít microsoft Entra Připojení k synchronizaci dat mezi místním adresářem a Id Microsoft Entra. Tato akce zajistí, že v obou prostředích budou UserPrincipalName konzistentní a proxyAddresses konzistentní.
Když se pokusíte tyto objekty přidat nebo udržovat ručně, riskujete další back-endovou operaci, která aktivuje hromadnou změnu.
Projděte si následující články a seznamte se s těmito koncepty:
Důležité informace
Tato back-endová operace nezpůsobí změny určitých objektů, které:
- nemá aktivní licenci Microsoft Exchange
- nastavená
MSExchRemoteRecipientTypena hodnotu Null - nejsou považovány za sdílený prostředek.
Sdílený prostředek je v případech, kdy CloudMSExchRecipientDisplayType obsahuje jednu z následujících hodnot:
MailboxUser(sdíleno)PublicFolderConferenceRoomMailboxEquipmentMailboxArbitrationMailboxRoomListTeamMailboxUserGroupMailboxSchedulingMailboxACLableMailboxUserACLableTeamMailboxUser
Aby se mezi těmito dvěma různorodými událostmi vytvořily další korelace, microsoft pracuje na aktualizaci informací o objektu Actor v protokolech auditu, aby tyto změny identifikoval jako aktivované ověřenou změnou domény. Tato akce pomáhá zkontrolovat, kdy proběhla ověřená událost změny domény, a začala hromadně aktualizovat objekty v tenantovi.
Ve většiněpřípadůchm UserPrincipalNameproxyAddresses uživatelům se ve většině případů neprovádějí žádné změny, takže pracujeme jenom v protokolech auditu, které způsobily skutečnou změnu objektu. Tato akce zabraňuje šumu v protokolech auditu a pomáhá správcům korelovat zbývající změny uživatelů s ověřenými událostmi změn domény.
Podrobně
Chcete se dozvědět více o tom, co se děje na pozadí? Tady je podrobný přehled o back-endové operaci, která aktivuje změny hromadných objektů v ID Microsoft Entra. Než se ponoříte do článku o stínových atributech služby Microsoft Entra Připojení Sync, seznamte se se stínovými atributy.
UserPrincipalName
Pro uživatele jen v cloudu je vlastnost UserPrincipalName nastavená na ověřenou příponu domény. Při zpracování nekonzistentního userPrincipalName ji operace převede na výchozí příponu onmicrosoft.com, například: username@Contoso.onmicrosoft.com.
Pro synchronizované uživatele je UserPrincipalName nastavena na ověřenou příponu domény a odpovídá místní hodnotě. ShadowUserPrincipalName Při zpracování nekonzistentního userPrincipalName se operace vrátí ke stejné hodnotě jako ShadowUserPrincipalName nebo v případě odebrání přípony domény z tenanta ji převede na výchozí *.onmicrosoft.com příponu domény.
ProxyAddresses
U uživatelů, kteří jsou jenom v cloudu, konzistence znamená, že proxyAddresses odpovídá ověřené příponě domény. Při zpracování nekonzistentního proxyAddresses ji back-endová operace převede na výchozí *.onmicrosoft.com příponu domény, například: SMTP:username@Contoso.onmicrosoft.com.
Pro synchronizované uživatele konzistence znamená, že proxyAddresses odpovídá místní hodnotě proxyAddresses (to znamená ShadowProxyAddresses). Očekává se, že proxyAddresses budou synchronizované se StínProxyAddresses. Pokud má synchronizovaný uživatel přiřazenou licenci Exchange, musí se hodnoty cloudu a místních hodnot shodovat. Tyto hodnoty musí také odpovídat ověřené příponě domény.
V tomto scénáři operace back-endu sanitizuje nekonzistentní proxyAddresses s neověřenou příponou domény a je odebrán z objektu v Microsoft Entra ID. Pokud se tato neověřená doména ověří později, back-endová operace znovu zkompiuje a přidá proxyAddresses z ShadowProxyAddresses zpět do objektu v Microsoft Entra ID.
Poznámka:
Aby se zabránilo výpočtu neočekávaných výsledků logiky operace back-endu, je nejlepší nastavit proxyAddresses na doménu ověřenou Microsoft Entra v místním objektu.