Microsoft Entra Csatlakozás Szinkronizálási szolgáltatás árnyékattribútumai
A legtöbb attribútum ugyanúgy jelenik meg a Microsoft Entra-azonosítóban, mint a helyi Active Directory. Egyes attribútumok azonban speciális kezeléssel rendelkeznek, és a Microsoft Entra ID attribútumértéke eltérhet attól, amit a Microsoft Entra Csatlakozás szinkronizál.
Az árnyékattribútumok bemutatása
Egyes attribútumok két reprezentációval rendelkeznek a Microsoft Entra-azonosítóban. A rendszer a helyszíni és a számított értéket is tárolja. Ezeket az extra attribútumokat árnyékattribútumoknak nevezzük. A két leggyakoribb attribútum, ahol ezt a viselkedést látja, a userPrincipalName és a proxyAddress. A Microsoft Entra szinkronizálási motorja Csatlakozás és a felhőszinkronizálás exportálja az értéket az árnyékattribútumba, majd a Microsoft Entra ID feldolgozza ezt az attribútumot a végső érték kiszámításához. A szinkronizálási motor az árnyékattribútumból is importál értékeket, így még ha a végső számított érték is eltér, a szinkronizálási motor szempontjából képes megerősíteni az exportált eredeti értéket. Az árnyékattribútumok nem láthatók a Microsoft Entra felügyeleti központban vagy a PowerShellben, de ennek a koncepciónak a megértése segít elhárítani azokat a forgatókönyveket, amelyekben az attribútum különböző értékekkel rendelkezik a helyszínen és a felhőben.
A viselkedés jobb megértéséhez tekintse meg a Fabrikam alábbi példáját:
A helyi Active Directory több UserPrincipalName (UPN) utótagot is használnak, de csak egyet ellenőriznek a Microsoft Entra-azonosítóban.
userPrincipalName
A felhasználó a következő attribútumértékekkel rendelkezik egy nem ellenőrzött tartományban:
| Attribútum | Érték |
|---|---|
| helyszíni userPrincipalName | lee.sperry@fabrikam.com |
| Microsoft Entra shadowUserPrincipalName | lee.sperry@fabrikam.com |
| Microsoft Entra userPrincipalName | lee.sperry@fabrikam.onmicrosoft.com |
A userPrincipalName attribútum a PowerShell használatakor látható érték.
Mivel a valós helyszíni attribútumérték a Microsoft Entra-azonosítóban van tárolva, a fabrikam.com tartomány ellenőrzésekor a Microsoft Entra ID frissíti a userPrincipalName attribútumot a shadowUserPrincipalName értékével. Ezeknek az értékeknek a frissítéséhez nem kell szinkronizálnia a Microsoft Entra Csatlakozás vagy a felhőbeli szinkronizálás módosításait.
proxyAddresses
A proxyAddresses esetében ugyanez a folyamat csak az ellenőrzött tartományok beleszámítása esetén történik, de némi extra logikával. Az ellenőrzött tartományok ellenőrzése csak a postaláda-felhasználók esetében történik. Az e-mail-kompatibilis felhasználók vagy kapcsolattartók egy másik Exchange-szervezetben lévő felhasználót jelölnek, és a proxyAddressesben bármilyen értéket hozzáadhat ezekhez az objektumokhoz.
A helyszíni vagy az Exchange Online-beli postaláda-felhasználók esetében csak az ellenőrzött tartományok értékei jelennek meg. A következőhöz hasonlóan nézhet ki:
| Attribútum | Érték |
|---|---|
| helyszíni proxyAddresses | SMTP:abbie.spencer@fabrikamonline.com smtp:abbie.spencer@fabrikam.com smtp:abbie@fabrikamonline.com |
| Exchange Online proxyAddresses | SMTP:abbie.spencer@fabrikamonline.com smtp:abbie@fabrikamonline.com SIP:abbie.spencer@fabrikamonline.com |
Ebben az esetben az smtp:abbie.spencer@fabrikam.com el lett távolítva, mivel a tartomány nincs ellenőrizve. De az Exchange is hozzáadott SIP:abbie.spencer@fabrikamonline.com. Előfordulhat, hogy a Fabrikam nem a helyszíni Lyncet/Skype Vállalati verzió használja, de a Microsoft Entra ID és az Exchange Online felkészül rá.
Ezt a proxyAddresses logikát ProxyCalc-nek nevezzük. A ProxyCalc meghívása a felhasználó minden módosításával történik, amikor:
- A felhasználó olyan szolgáltatáscsomagot kap, amely az Exchange Online-t is tartalmazza, még akkor is, ha a felhasználó nem rendelkezik Exchange-postaládához licencelve. Ha például a felhasználóhoz az Office E3 termékváltozat van hozzárendelve, de csak a SharePoint Online szolgáltatás van kiválasztva. Ez a feltétel akkor is igaz, ha a felhasználó postaládája még a helyszínen van.
- Az msExchRecipientTypeDetails attribútumnak van értéke.
- Módosítja a proxyAddresses vagy a userPrincipalName nevet.
A ProxyCalc folyamat megtisztít egy címet, ha a ShadowProxyAddresses nem hitelesített tartományt tartalmaz, és a felhasználó az alábbi tulajdonságok egyikét konfigurálta.
- A felhasználó engedélyezett EXO-szolgáltatástípus-csomaggal rendelkezik (a MyAnalytics kivételével)
- A felhasználó M Standard kiadás xchRemoteRecipientType készlettel rendelkezik (nem null)
- A felhasználó megosztott erőforrásnak minősül
A felhasználó megosztott erőforrásnak minősül, ha a CloudM Standard kiadás xchRecipientDisplayType attribútuma az alábbi értékek egyikével rendelkezik:
| Objektum megjelenítési típusa | Érték (decimális) |
|---|---|
| Postaládafelhasználó | 0 |
| PublicFolder | 2 |
| ConferenceRoomMailbox | 7 |
| EquipmentMailbox | 8 |
| ArbitrationMailbox | 10 |
| Szobalista | 15 |
| TeamMailboxUser | 16 |
| GroupMailbox | 17 |
| SchedulingMailbox | 18 |
| ACLableMailboxUser | 1073741824 |
| ACLableTeamMailboxUser | 1073741840 |
Feljegyzés
A CloudM Standard kiadás xchRecipientDisplayType nem látható a Microsoft Entra ID oldalán, és csak az Exchange Online Get-Recipient parancsmaggal tekinthető meg.
Példa:
Get-Recipient admin | fl *type*
A ProxyCalc eltarthat egy ideig, amíg feldolgoz egy módosítást egy felhasználón, és nem szinkronizálódik a Microsoft Entra Csatlakozás exportálási folyamatával.
Feljegyzés
A ProxyCalc-logika további viselkedésekkel rendelkezik a jelen témakörben nem dokumentált speciális forgatókönyvekhez. Ebben a témakörben megismerheti a viselkedést, és nem dokumentálhatja az összes belső logikát.
Karanténba helyezett attribútumértékek
Az árnyékattribútumok akkor is használhatók, ha ismétlődő attribútumértékek vannak. További információ: duplikált attribútum rugalmassága.