Schattenattribute für den Microsoft Entra Connect-Synchronisierungsdienst
Die meisten Attribute werden in Microsoft Entra ID genauso wie in Ihrem lokalen Azure Directory dargestellt. Einige Attribute werden jedoch besonders verarbeitet, weshalb sich der Attributwert in Microsoft Entra ID davon unterscheiden kann, was mit Microsoft Entra Connect synchronisiert wird.
Was sind Schattenattribute?
Für einige Attribute gibt es in Microsoft Entra ID zwei Darstellungen. Sowohl der lokale Wert als auch ein berechneter Wert werden gespeichert. Diese zusätzlichen Attribute werden Schattenattribute genannt. Die beiden gängigsten Attribute, bei denen dieses Verhalten erkennbar ist, heißen userPrincipalName und proxyAddress. Das Synchronisierungsmodul in Microsoft Entra Connect und der Cloudsynchronisierung exportiert den Wert in das Schattenattribut, und dann verarbeitet Microsoft Entra ID dieses Attribut, um den endgültigen Wert zu berechnen. Das Synchronisierungsmodul importiert auch Werte aus dem Schattenattribut. Selbst wenn sich der endgültige berechnete Wert von der Perspektive des Synchronisierungsmoduls unterscheidet, kann er den ursprünglichen Wert bestätigen, der exportiert wurde. Sie können die Schattenattribute nicht mithilfe des Microsoft Entra Admin Centers oder mit PowerShell sehen, aber das Verstehen dieses Konzepts hilft Ihnen bei der Problembehandlung bestimmter Szenarien, in denen das Attribut lokal und in der Cloud unterschiedliche Werte aufweist.
Um das Verhalten besser zu verstehen, betrachten Sie dieses Beispiel für Fabrikam:
Sie verfügen über mehrere UserPrincipalName (UPN)-Suffixe in ihrem lokalen Active Directory, aber nur ein Suffix wird in der Microsoft Entra ID überprüft.
userPrincipalName
Ein Benutzer hat die folgenden Attributwerte in einer nicht bestätigten Domäne:
| attribute | value |
|---|---|
| „userPrincipalName“ lokal | lee.sperry@fabrikam.com |
| Microsoft Entra shadowUserPrincipalName | lee.sperry@fabrikam.com |
| Microsoft Entra userPrincipalName | lee.sperry@fabrikam.onmicrosoft.com |
Das Attribut „userPrincipalName“ ist der Wert, den Sie bei Verwenden von PowerShell sehen.
Da der tatsächliche lokale Attributwert in Microsoft Entra ID gespeichert ist, aktualisiert Microsoft Entra ID beim Bestätigen der Domäne „fabrikam.com“ das Attribut „userPrincipalName“ mit dem Wert von „shadowUserPrincipalName“. Sie müssen keine aus Microsoft Entra Connect oder der Cloudsynchronisierung stammenden Änderungen synchronisieren, damit diese Werte aktualisiert werden.
proxyAddresses
Dasselbe Verfahren zum ausschließlichen Einbeziehen bestätigter Domänen erfolgt auch für „proxyAddresses“, jedoch mit zusätzlicher Logik. Die Suche nach bestätigten Domänen erfolgt nur für Postfachbenutzer. Ein E-Mail-aktivierter Benutzer oder Kontakt stellt einen Benutzer in einer anderen Exchange-Organisation dar. In „proxyAddresses“ können Sie diesen Objekten beliebige Werte hinzufügen.
Für einen Postfachbenutzer, ob lokal oder in Exchange Online, werden nur Werte für bestätigte Domänen angezeigt. Diese können wie folgt aussehen:
| attribute | value |
|---|---|
| „proxyAddresses“ lokal | SMTP:abbie.spencer@fabrikamonline.com smtp:abbie.spencer@fabrikam.com smtp:abbie@fabrikamonline.com |
| „proxyAddresses“ in Exchange Online | SMTP:abbie.spencer@fabrikamonline.com smtp:abbie@fabrikamonline.com SIP:abbie.spencer@fabrikamonline.com |
In diesem Fall wurde smtp:abbie.spencer@fabrikam.com entfernt, da diese Domäne nicht überprüft ist. Doch Exchange hat auch SIP:abbie.spencer@fabrikamonline.com hinzugefügt. Fabrikam verwendet möglicherweise nicht lokale Lync/Skype for Business, aber Microsoft Entra ID und Exchange Online bereiten sich darauf vor.
Diese Logik für „proxyAddresses“ wird als ProxyCalc bezeichnet. „ProxyCalc“ wird bei jeder Änderung für einen Benutzer aufgerufen, wenn Folgendes gilt:
- Der Benutzer erhält einen Dienstplan, der Exchange Online enthält, auch wenn der Benutzer nicht für ein Exchange-Postfach lizenziert wurde. Wenn dem Benutzer beispielsweise die SKU Office E3 zugewiesen wurde, aber nur der SharePoint Online-Dienst ausgewählt ist. Diese Bedingung gilt auch, wenn das Postfach des Benutzers weiterhin lokal ist.
- Das Attribut „msExchRecipientTypeDetails“ hat einen Wert.
- Sie nehmen eine Änderung an „proxyAddresses“ oder „userPrincipalName“ vor.
Der ProxyCalc-Prozess bereinigt eine Adresse, wenn ShadowProxyAddresses eine nicht verifizierte Domäne enthält und für den Benutzer eine der folgenden Eigenschaften konfiguriert ist.
- Der Benutzer ist mit einem aktivierten EXO-Diensttypplan lizenziert (mit Ausnahme von MyAnalytics).
- Für den Benutzer wurde „MSExchRemoteRecipientType“ festgelegt (nicht NULL).
- Der Benutzer wird als freigegebene Ressource betrachtet.
Der Benutzer wird als freigegebene Ressource betrachtet, wenn das Attribut „CloudMSExchRecipientDisplayType“ einen der folgenden Werte aufweist:
| Objektanzeigetyp | Wert (dezimal) |
|---|---|
| MailboxUser | 0 |
| PublicFolder | 2 |
| ConferenceRoomMailbox | 7 |
| EquipmentMailbox | 8 |
| ArbitrationMailbox | 10 |
| RoomList | 15 |
| TeamMailboxUser | 16 |
| GroupMailbox | 17 |
| SchedulingMailbox | 18 |
| ACLableMailboxUser | 1073741824 |
| ACLableTeamMailboxUser | 1073741840 |
Hinweis
CloudMSExchRecipientDisplayType ist von der Microsoft Entra ID-Seite aus nicht sichtbar und kann nur mithilfe des Exchange Online-Cmdlets Get-Recipient angezeigt werden.
Beispiel:
Get-Recipient admin | fl *type*
ProxyCalc benötigt möglicherweise eine gewisse Zeit zum Verarbeiten einer Änderung für einen Benutzer und ist nicht synchron mit dem Microsoft Entra Connect-Exportvorgang.
Hinweis
Die „ProxyCalc“-Logik weist verschiedene zusätzliche Verhaltensweisen für erweiterte Szenarien auf, die in diesem Artikel nicht dokumentiert werden. Dieses Thema dient zum Erläutern des Verhaltens und nicht zum Dokumentieren der gesamten internen Logik.
Isolierte Attributwerte
Schattenattribute werden auch verwendet, wenn Attributwerte doppelt vorhanden sind. Weitere Informationen finden Sie unter Resilienz bei doppelten Attributen.