Catatan
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba masuk atau mengubah direktori.
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba mengubah direktori.
Artikel ini menjelaskan skenario umum di mana log audit menampilkan banyak UserPrincipalName pembaruan yang dipicu oleh perubahan domain terverifikasi. Artikel ini menjelaskan penyebab dan pertimbangan untuk pembaruan UserManagement dalam log audit yang terjadi selama perubahan domain terverifikasi. Artikel ini menyediakan penyelaman mendalam tentang operasi backend yang memicu perubahan objek massal di ID Microsoft Entra.
Gejala
Log audit Microsoft Entra menunjukkan beberapa pembaruan pengguna yang terjadi di penyewa Microsoft Entra saya. Informasi Aktor untuk peristiwa ini kosong atau menunjukkan N/A.
Pembaruan massal melibatkan mengubah domain pada UserPrincipalName yang diubah dari domain pilihan organisasi menjadi akhiran domain default *.onmicrosoft.com.
Contoh detail log audit
Tanggal Aktivitas (UTC): 2022-01-27 07:44:05
Aktivitas: Memperbarui pengguna
Jenis Aktor: Lainnya
Actor UPN: N/A
Status: berhasil
Kategori: UserManagement
Layanan: Direktori Inti
Target Id: aaaaaaaaa-bbbb-0000-11111-bbbbbbbbbbbbb
Nama Target: user@contoso.com
Tipe Target: Pengguna
Dalam detail lengkap entri log audit, cari bagian modifiedProperties. Bagian ini memperlihatkan perubahan yang dilakukan pada objek pengguna. Bidang oldValue dan newValue memperlihatkan perubahan domain.
"modifiedProperties":
"displayName": "UserPrincipalName",
"oldValue": "[\"user@contoso.onmicrosoft.com\"]",
"newValue": "[\"user@contoso.com\"]"
Penyebab
Salah satu alasan umum di balik perubahan objek massal adalah karena operasi backend nonsinkron. Operasi ini menentukan UserPrincipalName dan proxyAddresses yang tepat untuk diperbarui pada pengguna, grup, atau kontak Microsoft Entra.
Tujuan operasi backend ini adalah untuk memastikan bahwa UserPrincipalName dan proxyAddresses konsisten dalam ID Microsoft Entra setiap saat. Perubahan eksplisit, seperti perubahan domain terverifikasi, memicu operasi ini.
Misalnya, jika Anda menambahkan domain terverifikasi Fabrikam.com ke penyewa Contoso.onmicrosoft.com Anda, tindakan ini memicu operasi backend pada semua objek di penyewa. Kejadian ini diambil dalam log audit Microsoft Entra sebagai peristiwa Perbarui Pengguna yang didahului oleh peristiwa Tambahkan domain terverifikasi.
Jika Fabrikam.com dihapus dari penyewa Contoso.onmicrosoft.com, maka semua peristiwa Perbarui Pengguna didahului oleh peristiwa Hapus domain terverifikasi.
Resolusi
Jika Anda mengalami masalah ini, Anda mungkin mendapat manfaat menggunakan Microsoft Entra Connect untuk menyinkronkan data antara direktori lokal Anda dan ID Microsoft Entra. Tindakan ini memastikan bahwa UserPrincipalName dan proxyAddresses konsisten di kedua lingkungan.
Ketika Anda mencoba menambahkan atau memelihara objek ini secara manual, Anda menghadapi risiko bahwa proses di belakang layar lainnya dapat menyebabkan perubahan besar.
Tinjau artikel berikut agar terbiasa dengan konsep-konsep ini:
Pertimbangan
Operasi backend ini tidak menyebabkan perubahan pada objek tertentu yang:
- tidak memiliki lisensi Microsoft Exchange aktif
- telah
MSExchRemoteRecipientTypediatur ke null - tidak dianggap sebagai sumber daya bersama
Sumber daya bersama adalah ketika CloudMSExchRecipientDisplayType berisi salah satu nilai berikut:
-
MailboxUser(dibagikan) PublicFolderConferenceRoomMailboxEquipmentMailboxArbitrationMailboxRoomListTeamMailboxUserGroupMailboxSchedulingMailboxACLableMailboxUserACLableTeamMailboxUser
Untuk membangun lebih banyak korelasi antara kedua peristiwa yang berbeda ini, Microsoft sedang berupaya memperbarui info Actor di log audit untuk mengidentifikasi perubahan ini sebagaimana dipicu oleh perubahan domain terverifikasi. Tindakan ini membantu memeriksa kapan peristiwa perubahan domain terverifikasi berlangsung dan mulai memperbarui objek secara massal di penyewa.
Dalam kebanyakan kasus, tidak ada perubahan pada pengguna karena UserPrincipalName dan proxyAddresses mereka konsisten, jadi kami bekerja untuk menampilkan di log-log audit hanya pembaruan yang menyebabkan perubahan nyata pada objek. Tindakan ini mencegah kebisingan dalam log audit dan membantu admin menghubungkan perubahan pengguna yang tersisa ke peristiwa perubahan domain terverifikasi.
Penjelajahan Mendalam
Ingin mempelajari lebih lanjut tentang apa yang terjadi di balik layar? Berikut adalah penyelaman mendalam tentang operasi backend yang memicu perubahan objek massal di ID Microsoft Entra. Sebelum Anda mulai, lihat artikel mengenai atribut bayangan layanan Sinkronisasi Microsoft Entra Connect untuk memahami atribut bayangan tersebut.
NamaUtamaPengguna
Untuk pengguna khusus cloud, UserPrincipalName diatur ke akhiran domain terverifikasi. Ketika UserPrincipalName yang tidak konsisten diproses, operasi mengonversinya ke akhiran onmicrosoft.com default, misalnya: username@Contoso.onmicrosoft.com.
Untuk pengguna yang disinkronkan, UserPrincipalName diatur ke akhiran domain terverifikasi dan cocok dengan nilai lokal, ShadowUserPrincipalName. Ketika UserPrincipalName yang tidak konsisten diproses, operasi kembali ke nilai yang sama seperti ShadowUserPrincipalName atau, dalam kasus di mana akhiran domain dihapus dari penyewa, mengonversinya ke akhiran domain default dari *.onmicrosoft.com.
Alamat Proksi
Untuk pengguna yang hanya menggunakan layanan cloud, konsistensi berarti cocok dengan proxyAddresses akhiran domain terverifikasi. Ketika proxyAddresses yang tidak konsisten diproses, operasi backend mengonversinya ke akhiran domain default *.onmicrosoft.com , misalnya: SMTP:username@Contoso.onmicrosoft.com.
Untuk pengguna yang disinkronkan, konsistensi berarti bahwa proxyAddresses cocok dengan nilai proxyAddresses lokal (yaitu ShadowProxyAddresses). ProxyAddresses diharapkan sinkron dengan ShadowProxyAddresses. Jika pengguna yang disinkronkan memiliki lisensi Exchange yang ditetapkan, maka nilai cloud dan lokal harus cocok. Nilai-nilai ini juga harus cocok dengan akhiran domain terverifikasi.
Dalam skenario ini, operasi backend menyaring proxyAddresses yang tidak konsisten dengan akhiran domain yang belum diverifikasi dan dihilangkan dari objek di Microsoft Entra ID. Jika domain yang tidak diverifikasi tersebut diverifikasi nanti, operasi backend menghitung ulang dan menambahkan proxyAddresses dari ShadowProxyAddresses kembali ke objek di Microsoft Entra ID.
Catatan
Untuk objek yang disinkronkan, untuk menghindari logika operasi backend menghitung hasil yang tidak terduga, yang terbaik adalah mengatur proxyAddresses ke domain terverifikasi Microsoft Entra pada objek lokal.
Konten terkait
Atribut bayangan layanan Sinkronisasi Microsoft Entra Connect