A tömeges felhasználói frissítések megismerése ellenőrzött tartománymódosítások során

Ez a cikk egy gyakori forgatókönyvet ismertet, amelyben az auditnaplók számos UserPrincipalName , ellenőrzött tartománymódosítás által aktivált frissítést jelenítenek meg. Ez a cikk ismerteti az ellenőrzött tartománymódosítások során előforduló, a UserManagement-frissítések okait és szempontjait. A cikk részletes áttekintést nyújt a háttérműveletről, amely tömeges objektummódosításokat indít el a Microsoft Entra ID-ban.

Hibajelenségek

A Microsoft Entra naplózási naplóiban több felhasználói frissítés is történt a Microsoft Entra-bérlőmben. Az események szereplőinek adatai üresek, vagy n/A-t mutatnak.

A tömeges frissítések magukban foglalják a UserPrincipalName szervezet által előnyben részesített tartomány tartományának módosítását az alapértelmezett *.onmicrosoft.com tartomány utótagjára.

Naplózási napló részleteinek mintája

Tevékenység dátuma (UTC):2022-01-27 07:44:05

Tevékenység: Felhasználó frissítése

Aktor típusa: Egyéb

Actor UPN: N/A

Állapot: sikeres

Kategória: UserManagement

Szolgáltatás: Core Directory

Célazonosító: aaaaaaaaa-bbbb-0000-11111-bbbbbbbbbbb

Célnév: user@contoso.com

Céltípus: Felhasználó

A naplóbejegyzés teljes részletei között keresse meg a szakaszt modifiedProperties . Ez a szakasz a felhasználói objektumon végrehajtott módosításokat mutatja be. Az oldValue és newValue a mezők a tartományváltozást mutatják.

"modifiedProperties":
  "displayName": "UserPrincipalName",
  "oldValue": "[\"user@contoso.onmicrosoft.com\"]",
  "newValue": "[\"user@contoso.com\"]"

Okok

A tömeges objektummódosítások egyik gyakori oka egy nem aszinkron háttérművelet. Ez a művelet határozza meg a megfelelőt UserPrincipalName , és proxyAddresses a Microsoft Entra felhasználói, csoportjai vagy névjegyei frissülnek.

Ennek a háttérműveletnek a célja biztosítja, hogy a UserPrincipalName és a proxyAddresses bármikor konzisztens legyen a Microsoft Entra-azonosítóban. Egy explicit módosítás, például egy ellenőrzött tartománymódosítás aktiválja ezt a műveletet.

Ha például egy ellenőrzött tartományt Fabrikam.com ad hozzá a Contoso.onmicrosoft.com-bérlőhöz, ez a művelet elindítja a háttérműveletet a bérlő összes objektumán. Ezt az eseményt a Microsoft Entra auditnaplói rögzítik, mint az Ellenőrzött tartomány hozzáadása esemény előtti frissítési felhasználói eseményeket.

Ha Fabrikam.com el lett távolítva a Contoso.onmicrosoft.com-bérlőből, akkor az összes frissítési felhasználói eseményt megelőzi az Ellenőrzött tartomány eltávolítása esemény.

Resolution (Osztás)

Ha ezt a problémát észlelte, a Microsoft Entra Csatlakozás használatával szinkronizálhatja az adatokat a helyszíni címtár és a Microsoft Entra-azonosító között. Ez a művelet biztosítja, hogy mindkét UserPrincipalNameproxyAddresses környezetben konzisztensek legyenek.

Amikor manuálisan próbálja hozzáadni vagy karbantartani ezeket az objektumokat, fennáll annak a kockázata, hogy egy másik háttérművelet aktivál tömeges módosítást.

Tekintse át az alábbi cikkeket az alábbi fogalmak megismeréséhez:

• Microsoft Entra UserPrincipalName populáció

• A proxyAddresses attribútum feltöltése a Microsoft Entra-azonosítóban

Megfontolások

Ez a háttérművelet nem okoz módosításokat bizonyos objektumokon, amelyek:

• nem rendelkezik aktív Microsoft Exchange-licenccel
• null értékre van MSExchRemoteRecipientType állítva
• nem tekinthető megosztott erőforrásnak

A megosztott erőforrás akkor van, ha CloudMSExchRecipientDisplayType az alábbi értékek egyikét tartalmazza:

• MailboxUser (megosztott)
• PublicFolder
• ConferenceRoomMailbox
• EquipmentMailbox
• ArbitrationMailbox
• RoomList
• TeamMailboxUser
• GroupMailbox
• SchedulingMailbox
• ACLableMailboxUser
• ACLableTeamMailboxUser

A két különálló esemény közötti további korreláció kialakítása érdekében a Microsoft azon dolgozik, hogy frissítse az Aktor adatait az auditnaplókban, hogy azonosítsa ezeket a módosításokat egy ellenőrzött tartománymódosítás által kiváltott módon. Ez a művelet segít ellenőrizni, hogy mikor történt az ellenőrzött tartománymódosítási esemény, és megkezdte a bérlő objektumainak tömeges frissítését.

A legtöbb esetben a felhasználók UserPrincipalName nem változnak, és proxyAddresses konzisztensek, ezért dolgozunk azon, hogy csak azokat a frissítéseket jelenítsük meg az auditnaplókban, amelyek tényleges változást okoztak az objektumon. Ez a művelet megakadályozza a naplózási naplók zaját, és segít a rendszergazdáknak korrelálni a fennmaradó felhasználói módosításokat az ellenőrzött tartománymódosítási eseményekhez.

Részletes bemutatás

Szeretne többet megtudni arról, hogy mi történik a színfalak mögött? Íme egy részletes elemzés a háttérműveletről, amely tömeges objektummódosításokat indít el a Microsoft Entra ID-ban. Mielőtt belekezd, tekintse meg a Microsoft Entra Csatlakozás Sync szolgáltatás árnyékattribútumait ismertető cikket az árnyékattribútumok megismeréséhez.

UserPrincipalName

Csak felhőalapú felhasználók esetén a UserPrincipalName egy ellenőrzött tartomány utótagjára van állítva. Inkonzisztens UserPrincipalName feldolgozásakor a művelet átalakítja azt az alapértelmezett onmicrosoft.com utótagra, például: username@Contoso.onmicrosoft.com.

Szinkronizált felhasználók esetén a UserPrincipalName egy ellenőrzött tartomány utótagjára van állítva, és megfelel a helyszíni értéknek. ShadowUserPrincipalName Inkonzisztens UserPrincipalName feldolgozásakor a művelet a ShadowUserPrincipalName értékével megegyező értékre tér vissza, vagy abban az esetben, ha a tartomány utótagja el lett távolítva a bérlőből, átalakítja az alapértelmezett *.onmicrosoft.com tartomány utótagjára.

ProxyAddresses

A csak felhőalapú felhasználók esetében a konzisztencia azt jelenti, hogy az proxyAddresses ellenőrzött tartomány utótagja megegyezik. Inkonzisztens proxyAddresses feldolgozásakor a háttérművelet átalakítja azt az alapértelmezett *.onmicrosoft.com tartomány utótagjára, például: SMTP:username@Contoso.onmicrosoft.com.

Szinkronizált felhasználók esetében a konzisztencia azt jelenti, hogy a proxyAddresses értéke megegyezik a helyszíni proxyAddresses értékével (azaz ShadowProxyAddresses). A proxyAddresses várhatóan szinkronizálva lesz a ShadowProxyAddressesszal. Ha a szinkronizált felhasználóhoz Exchange-licenc van hozzárendelve, akkor a felhő és a helyszíni értékeknek egyeznie kell. Ezeknek az értékeknek meg kell egyezniük egy ellenőrzött tartomány utótagjával is.

Ebben a forgatókönyvben a háttérművelet megtisztítja a nem ellenőrzött tartomány utótaggal rendelkező inkonzisztens proxyAddresses fájlt, és eltávolítja az objektumból a Microsoft Entra ID azonosítójában. Ha ezt a nem ellenőrzött tartományt később ellenőrzik, a háttérművelet újrakomponálódik, és hozzáadja a ShadowProxyAddresses proxyAddresses elemét az objektumhoz a Microsoft Entra-azonosítóban.

Feljegyzés

Szinkronizált objektumok esetén, hogy a háttérműveleti logika ne számítson ki váratlan eredményeket, a legjobb, ha a proxyAddresses értéket egy Microsoft Entra által ellenőrzött tartományra állítja be a helyszíni objektumon.

Következő lépések

Microsoft Entra Csatlakozás Szinkronizálási szolgáltatás árnyékattribútumai