Memahami pembaruan pengguna massal selama perubahan domain terverifikasi
Artikel ini menjelaskan skenario umum di mana log audit menampilkan banyak UserPrincipalName pembaruan yang dipicu oleh perubahan domain terverifikasi. Artikel ini menjelaskan penyebab dan pertimbangan untuk pembaruan UserManagement dalam log audit yang terjadi selama perubahan domain terverifikasi. Artikel ini menyediakan penyelaman mendalam tentang operasi backend yang memicu perubahan objek massal di ID Microsoft Entra.
Gejala
Log audit Microsoft Entra menunjukkan beberapa pembaruan pengguna yang terjadi di penyewa Microsoft Entra saya. Informasi Aktor untuk peristiwa ini kosong atau menunjukkan N/A.
Pembaruan massal melibatkan perubahan domain untuk UserPrincipalName perubahan dari domain pilihan organisasi ke akhiran domain default *.onmicrosoft.com .
Contoh detail log audit
Tanggal Aktivitas (UTC): 2022-01-27 07:44:05
Aktivitas: Memperbarui pengguna
Jenis Aktor: Lainnya
Actor UPN: N/A
Status: berhasil
Kategori: UserManagement
Layanan: Direktori Inti
Id Target: aaaaaaaaaa-bbbb-0000-11111-bbbbbbbbbbb
Nama Target: user@contoso.com
Jenis Target: Pengguna
Dalam detail lengkap entri log audit, cari bagian tersebut modifiedProperties . Bagian ini memperlihatkan perubahan yang dilakukan pada objek pengguna. Bidang oldValue dan newValue memperlihatkan perubahan domain.
"modifiedProperties":
"displayName": "UserPrincipalName",
"oldValue": "[\"user@contoso.onmicrosoft.com\"]",
"newValue": "[\"user@contoso.com\"]"
Penyebab
Salah satu alasan umum di balik perubahan objek massal adalah karena operasi backend nonsinkron. Operasi ini menentukan yang sesuai UserPrincipalName dan proxyAddresses yang diperbarui di pengguna, grup, atau kontak Microsoft Entra.
Tujuan operasi backend ini memastikan bahwa UserPrincipalName dan proxyAddresses konsisten dalam ID Microsoft Entra kapan saja. Perubahan eksplisit, seperti perubahan domain terverifikasi, memicu operasi ini.
Misalnya, jika Anda menambahkan domain terverifikasi Fabrikam.com ke penyewa Contoso.onmicrosoft.com Anda, tindakan ini memicu operasi backend pada semua objek di penyewa. Kejadian ini diambil dalam log audit Microsoft Entra sebagai peristiwa Perbarui Pengguna yang didahului oleh peristiwa Tambahkan domain terverifikasi.
Jika Fabrikam.com dihapus dari penyewa Contoso.onmicrosoft.com, maka semua peristiwa Perbarui Pengguna didahului oleh peristiwa Hapus domain terverifikasi.
Resolusi
Jika Anda mengalami masalah ini, Anda mungkin mendapat manfaat menggunakan Microsoft Entra Koneksi untuk menyinkronkan data antara direktori lokal Anda dan ID Microsoft Entra. Tindakan ini memastikan bahwa UserPrincipalName dan proxyAddresses konsisten di kedua lingkungan.
Ketika Anda mencoba menambahkan atau memelihara objek ini secara manual, Anda menjalankan risiko operasi backend lain yang memicu perubahan massal.
Tinjau artikel berikut agar terbiasa dengan konsep-konsep ini:
Pertimbangan
Operasi backend ini tidak menyebabkan perubahan pada objek tertentu yang:
- tidak memiliki lisensi Microsoft Exchange aktif
- telah
MSExchRemoteRecipientTypediatur ke Null - tidak dianggap sebagai sumber daya bersama
Sumber daya bersama adalah ketika CloudMSExchRecipientDisplayType berisi salah satu nilai berikut:
MailboxUser(dibagikan)PublicFolderConferenceRoomMailboxEquipmentMailboxArbitrationMailboxRoomListTeamMailboxUserGroupMailboxSchedulingMailboxACLableMailboxUserACLableTeamMailboxUser
Untuk membangun lebih banyak korelasi antara kedua peristiwa yang berbeda ini, Microsoft sedang berupaya memperbarui info Actor di log audit untuk mengidentifikasi perubahan ini sebagaimana dipicu oleh perubahan domain terverifikasi. Tindakan ini membantu memeriksa kapan peristiwa perubahan domain terverifikasi berlangsung dan mulai memperbarui objek secara massal di penyewa.
Dalam kebanyakan kasus, tidak ada perubahan pada pengguna karena mereka UserPrincipalName dan proxyAddresses konsisten, jadi kami bekerja untuk hanya menampilkan di log audit pembaruan yang menyebabkan perubahan aktual pada objek. Tindakan ini mencegah kebisingan dalam log audit dan membantu admin menghubungkan perubahan pengguna yang tersisa ke peristiwa perubahan domain terverifikasi.
Mendalami
Ingin mempelajari lebih lanjut tentang apa yang terjadi di balik layar? Berikut adalah penyelaman mendalam tentang operasi backend yang memicu perubahan objek massal di ID Microsoft Entra. Sebelum Anda menyelam, lihat artikel atribut bayangan layanan Microsoft Entra Koneksi Sync untuk memahami atribut bayangan.
UserPrincipalName
Untuk pengguna khusus cloud, UserPrincipalName diatur ke akhiran domain terverifikasi. Ketika UserPrincipalName yang tidak konsisten diproses, operasi mengonversinya ke akhiran onmicrosoft.com default, misalnya: username@Contoso.onmicrosoft.com.
Untuk pengguna yang disinkronkan, UserPrincipalName diatur ke akhiran domain terverifikasi dan cocok dengan nilai lokal, ShadowUserPrincipalName. Ketika UserPrincipalName yang tidak konsisten diproses, operasi kembali ke nilai yang sama dengan ShadowUserPrincipalName atau, dalam kasus akhiran domain dihapus dari penyewa, mengonversinya ke akhiran domain default *.onmicrosoft.com .
ProxyAddresses
Untuk pengguna khusus cloud, konsistensi berarti cocok dengan proxyAddresses akhiran domain terverifikasi. Ketika proxyAddresses yang tidak konsisten diproses, operasi backend mengonversinya ke akhiran domain default *.onmicrosoft.com , misalnya: SMTP:username@Contoso.onmicrosoft.com.
Untuk pengguna yang disinkronkan, konsistensi berarti bahwa proxyAddresses cocok dengan nilai proxyAddresses lokal (yaitu ShadowProxyAddresses). ProxyAddresses diharapkan sinkron dengan ShadowProxyAddresses. Jika pengguna yang disinkronkan memiliki lisensi Exchange yang ditetapkan, maka nilai cloud dan lokal harus cocok. Nilai-nilai ini juga harus cocok dengan akhiran domain terverifikasi.
Dalam skenario ini, operasi backend membersihkan proxyAddresses yang tidak konsisten dengan akhiran domain yang tidak diverifikasi dan dihapus dari objek di ID Microsoft Entra. Jika domain yang tidak diverifikasi tersebut diverifikasi nanti, operasi backend mengolah ulang dan menambahkan proxyAddresses dari ShadowProxyAddresses kembali ke objek di MICROSOFT Entra ID.
Catatan
Untuk objek yang disinkronkan, untuk menghindari logika operasi backend menghitung hasil yang tidak terduga, yang terbaik adalah mengatur proxyAddresses ke domain terverifikasi Microsoft Entra pada objek lokal.