Microsoft Entra Connect Sync サービスシャドウ属性
ほとんどの属性は、Microsoft Entra ID のオンプレミスの Active Directory の場合と同じように表現されます。 ただし、一部の属性には特別な処理が必要であるため、Microsoft Entra ID の属性値が Microsoft Entra Connect で同期された値と異なる場合があります。
シャドウ属性の概要
一部の属性には、Microsoft Entra ID に 2 つの表現があります。 オンプレミスの値と計算された値の両方が格納されます。 これらの特別な属性を、シャドウ属性と呼びます。 この動作が見られる最も一般的な 2 つの属性に、userPrincipalName と proxyAddress があります。 Microsoft Entra Connect とクラウド同期の同期エンジンで値をシャドウ属性にエクスポートしてから、Microsoft Entra ID ではこの属性を処理して最終的な値を計算します。 同期エンジンではシャドウ属性からも値をインポートするため、最終的な計算値が異なる場合でも、同期エンジンの観点からは、エクスポートされた元の値を確認できます。 Microsoft Entra 管理センターまたは PowerShell を使用してシャドウ属性を表示することはできませんが、この概念を理解することは、属性がオンプレミスとクラウドで異なる値を持つ特定のシナリオのトラブルシューティングに役立ちます。
この動作を理解するには、次の Fabrikam の例をご覧ください。
オンプレミスの Active Directory には複数の UserPrincipalName (UPN) サフィックスがありますが、Microsoft Entra ID で確認されるのは 1 つだけです。
userPrincipalName
ユーザーの未確認ドメイン内には、次の属性値があります。
| 属性 | 値 |
|---|---|
| オンプレミスの userPrincipalName | lee.sperry@fabrikam.com |
| Microsoft Entra shadowUserPrincipalName | lee.sperry@fabrikam.com |
| Microsoft Entra userPrincipalName | lee.sperry@fabrikam.onmicrosoft.com |
userPrincipalName 属性は、PowerShell を使用しているときに表示される値です。
実際のオンプレミスの属性値は Microsoft Entra ID に格納されるため、ユーザーが fabrikam.com ドメインを確認するときに、Microsoft Entra ID は shadowUserPrincipalName の値で userPrincipalName 属性を更新します。 これらの値を更新するために Microsoft Entra Connect またはクラウド同期の変更を同期する必要はありません。
proxyAddresses
確認済みドメインのみを含めるための同じプロセスは proxyAddresses でも発生しますが、いくつかの追加のロジックが使用されます。 確認済みドメインのチェックは、メールボックスのユーザーに対してのみ発生します。 メールが有効なユーザーまたは連絡先は別の Exchange 組織内のユーザーであることを意味するため、proxyAddresses のあらゆる値をこれらのオブジェクトに追加することができます。
オンプレミスまたは Exchange Online のメールボックスのユーザーの場合、確認済みドメインの値のみが表示されます。 次のようになります。
| Attribute | 値 |
|---|---|
| オンプレミスの proxyAddresses | SMTP:abbie.spencer@fabrikamonline.com smtp:abbie.spencer@fabrikam.com smtp:abbie@fabrikamonline.com |
| Exchange Online の proxyAddresses | SMTP:abbie.spencer@fabrikamonline.com smtp:abbie@fabrikamonline.com SIP:abbie.spencer@fabrikamonline.com |
この場合、smtp:abbie.spencer@fabrikam.com は、そのドメインが確認されていないため、削除されました。 ただし、Exchange では SIP:abbie.spencer@fabrikamonline.com の追加も行われています。 Fabrikam ではオンプレミスの Lync/Skype for Business を使用していない可能性がありますが、Microsoft Entra ID と Exchange Online ではその準備が行われます。
proxyAddresses のこのロジックは、ProxyCalc と呼ばれます。 ProxyCalc は、ユーザーに対する以下の変更のたびに呼び出されます。
- ユーザーが、Exchange メールボックスのライセンスを与えられていなかったとしても、Exchange Online を含むサービス プランを割り当てられたとき。 たとえば、ユーザーに Office E3 SKU が割り当てられているが、SharePoint Online サービスしか選択されていない場合です。 この条件は、ユーザーのメールボックスがまだオンプレミスの場合でも当てはまります。
- 属性 msExchRecipientTypeDetails に値が指定されているとき。
- proxyAddresses または userPrincipalName に変更を加えるとき。
ShadowProxyAddresses に未確認ドメインが含まれ、ユーザーに次のプロパティのいずれかが構成されている場合、ProxyCalc プロセスではアドレスをサニタイズします。
- ユーザーが EXO サービスの種類のプランが有効な状態でライセンスされている (MyAnalytics を除く)
- ユーザーに MSExchRemoteRecipientType が設定されている (null 以外)
- ユーザーが共有リソースと見なされている
CloudMSExchRecipientDisplayType 属性に次のいずれかの値がある場合、ユーザーは共有リソースと見なされます。
| オブジェクトの表示の種類 | 値 (10 進数) |
|---|---|
| MailboxUser | 0 |
| PublicFolder | 2 |
| ConferenceRoomMailbox | 7 |
| EquipmentMailbox | 8 |
| ArbitrationMailbox | 10 |
| RoomList | 15 |
| TeamMailboxUser | 16 |
| GroupMailbox | 17 |
| SchedulingMailbox | 18 |
| ACLableMailboxUser | 1073741824 |
| ACLableTeamMailboxUser | 1073741840 |
Note
CloudMSExchRecipientDisplayType は Microsoft Entra ID 側には表示されず、Exchange Online コマンドレット Get-Recipient を使用してのみ表示できます。
例:
Get-Recipient admin | fl *type*
ProxyCalc は、ユーザーの変更処理に時間がかかる場合があるため、Microsoft Entra Connect のエクスポート プロセスと同期されません。
Note
この ProxyCalc のロジックは、高度なシナリオでその他の動作を行いますが、このトピックには記載していません。 このトピックは動作の説明を目的とするため、文書化されているのは一部の内部ロジックのみです。
検疫済みの属性値
シャドウ属性は、属性値が重複している場合にも使用されます。 詳細については、重複属性の回復性に関するページを参照してください。