Attributs fantômes du service Microsoft Entra Connect Sync
La plupart des attributs sont représentés de la même manière dans Microsoft Entra ID que dans votre Active Directory sur site. Mais certains attributs ont un traitement spécial et la valeur de l'attribut dans Microsoft Entra ID peut être différente de celle synchronisée par Microsoft Entra Connect.
Présentation des attributs des clichés instantanés
Certains attributs ont deux représentations dans Microsoft Entra ID. La valeur locale et une valeur calculée sont stockées. Ces attributs supplémentaires sont appelés attributs de clichés instantanés. Les deux attributs les plus courants pour lesquels vous voyez ce comportement sont userPrincipalName et proxyAddress. Le moteur de synchronisation dans Microsoft Entra Connect et la synchronisation cloud exporte la valeur vers l’attribut d’ombre, puis Microsoft Entra ID traite cet attribut pour calculer la valeur finale. Le moteur de synchronisation importe également des valeurs à partir de l’attribut d’ombre. Ainsi, même si la valeur calculée finale est différente, du point de vue du moteur de synchronisation, il est en mesure de confirmer la valeur d’origine exportée. Vous ne pouvez pas voir les attributs d’ombre à l’aide des Centre d’administration Microsoft Entra ou avec PowerShell, mais la compréhension de ce concept vous permet de résoudre certains scénarios où l’attribut a des valeurs différentes localement et dans le cloud.
Pour mieux comprendre le comportement, observez cet exemple de Fabrikam :
Ils ont plusieurs suffixes UserPrincipalName (UPN) dans leur Active Directory sur site, mais un seul est vérifié dans Microsoft Entra ID.
userPrincipalName
Un utilisateur a les valeurs d’attribut suivantes dans un domaine non vérifié :
| Attribut | Valeur |
|---|---|
| userPrincipalName local | lee.sperry@fabrikam.com |
| Microsoft Entra Shadow UserPrincipalName | lee.sperry@fabrikam.com |
| Microsoft Entra userPrincipalName | lee.sperry@fabrikam.onmicrosoft.com |
L’attribut userPrincipalName est la valeur que vous voyez lors de l’utilisation de PowerShell.
Étant donné que la valeur réelle de l'attribut sur site est stockée dans Microsoft Entra ID, lorsque vous vérifiez le domaine fabrikam.com, Microsoft Entra ID met à jour l'attribut userPrincipalName avec la valeur de shadowUserPrincipalName. Vous n’avez pas besoin de synchroniser les modifications de Microsoft Entra Connect ou de synchronisation cloud pour que ces valeurs soient mises à jour.
proxyAddresses
Le même processus pour inclure uniquement les domaines vérifiés se produit également pour proxyAddresses, mais avec une logique supplémentaire. La confirmation des domaines vérifiés se produit uniquement pour les utilisateurs de boîtes aux lettres. Un utilisateur ou un contact utilisant une boîte aux lettres représente un utilisateur dans une autre organisation Exchange, et vous pouvez ajouter toute valeur présente dans proxyAddresses à ces objets.
Pour un utilisateur de boîte aux lettres, en local ou dans Exchange Online, seules les valeurs pour les domaines vérifiés s’affichent. Vous devriez voir quelque chose de semblable à ceci :
| Attribut | Valeur |
|---|---|
| proxyAddresses local | SMTP :abbie.spencer@fabrikamonline.com smtp :abbie.spencer@fabrikam.com smtp :abbie@fabrikamonline.com |
| proxyAddresses dans Exchange Online | SMTP :abbie.spencer@fabrikamonline.com smtp :abbie@fabrikamonline.com SIP :abbie.spencer@fabrikamonline.com |
Dans ce cas, smtp :abbie.spencer@fabrikam.com a été supprimé, car ce domaine n’est pas vérifié. Mais Exchange a également ajouté SIP:abbie.spencer@fabrikamonline.com. Fabrikam n’utilise peut-être pas Lync/Skype Entreprise local, mais Microsoft Entra ID et Exchange Online se préparent à l’utiliser.
Cette logique pour proxyAddresses est appelée ProxyCalc. ProxyCalc est appelé à chaque modification d’un utilisateur lorsque :
- L'utilisateur reçoit un plan de service qui inclut Exchange Online même s'il ne dispose pas de licence pour une boîte aux lettres Exchange. Par exemple, si l’utilisateur reçoit la référence SKU Office E3, mais que seul le service SharePoint Online est sélectionné. Cette condition est vraie même si la boîte aux lettres de l’utilisateur est toujours locale.
- L'attribut msExchRecipientTypeDetails a une valeur.
- Vous apportez une modification à proxyAddresses ou userPrincipalName.
Le processus ProxyCalc nettoie une adresse si ShadowProxyAddresses contient un domaine non vérifié et que l’utilisateur possède l’une des propriétés suivantes configurées.
- L’utilisateur dispose d’une licence avec un plan de type de service EXO activé (à l’exception de MyAnalytics)
- L’utilisateur a un ensemble de MSExchRemoteRecipientType (non null)
- L’utilisateur est considéré comme une ressource partagée
L’utilisateur est considéré comme une ressource partagée lorsque son attribut CloudMSExchRecipientDisplayType a l’une des valeurs suivantes :
| Type d’affichage de l’objet | Valeur (format décimal) |
|---|---|
| MailboxUser | 0 |
| Dossier public | 2 |
| ConferenceRoomMailbox | 7 |
| EquipmentMailbox | 8 |
| ArbitrationMailbox | 10 |
| RoomList | 15 |
| TeamMailboxUser | 16 |
| GroupMailbox | 17 |
| SchedulingMailbox | 18 |
| ACLableMailboxUser | 1073741824 |
| ACLableTeamMailboxUser | 1073741840 |
Remarque
CloudMSExchRecipientDisplayType n'est pas visible du côté Microsoft Entra ID et ne peut être affiché qu'à l'aide de la cmdlet Exchange Online Get-Recipient.
Exemple :
Get-Recipient admin | fl *type*
ProxyCalc peut prendre un certain temps pour traiter une modification sur un utilisateur et n’est pas synchrone avec le processus d’exportation Microsoft Entra Connect.
Remarque
La logique de ProxyCalc a des comportements supplémentaires pour des scénarios avancés qui ne sont pas documentés dans cette rubrique. Cette rubrique est fournie pour vous aider à comprendre le comportement et non pour détailler l’ensemble de la logique interne.
Valeurs d’attribut en quarantaine
Les attributs de clichés instantanés sont également utilisés lorsque des valeurs d’attribut sont en double. Pour plus d’informations, consultez Résilience d’attribut en double.