Schaduwkenmerken van Microsoft Entra Verbinding maken Sync-service
De meeste kenmerken worden op dezelfde manier weergegeven in Microsoft Entra-id als in uw on-premises Active Directory. Maar sommige kenmerken hebben een speciale verwerking en de kenmerkwaarde in Microsoft Entra-id kan afwijken van wat Microsoft Entra Verbinding maken synchroniseert.
Overzicht van schaduwkenmerken
Sommige kenmerken hebben twee weergaven in Microsoft Entra-id. Er worden zowel een on-premises waarde als een berekende waarde opgeslagen. Deze extra kenmerken worden schaduwkenmerken genoemd. De twee meest voorkomende kenmerken waarbij dit gedrag optreedt, zijn userPrincipalName en proxyAddress. De synchronisatie-engine in Microsoft Entra Verbinding maken en cloudsynchronisatie exporteert de waarde naar het schaduwkenmerk en vervolgens verwerkt Microsoft Entra ID dit kenmerk om de uiteindelijke waarde te berekenen. De synchronisatie-engine importeert ook waarden uit het schaduwkenmerk, dus zelfs als de uiteindelijke berekende waarde verschilt, vanuit het perspectief van de synchronisatie-engine, kan de oorspronkelijke waarde worden bevestigd die is geëxporteerd. U kunt de schaduwkenmerken niet zien met behulp van het Microsoft Entra-beheercentrum of met PowerShell, maar als u dit concept begrijpt, kunt u problemen oplossen met bepaalde scenario's waarbij het kenmerk verschillende waarden on-premises en in de cloud heeft.
Als u meer inzicht in dit gedrag wilt krijgen, bekijkt u dit voorbeeld van Fabrikam:
Ze hebben meerdere UPN-achtervoegsels (UserPrincipalName) in hun on-premises Active Directory, maar er wordt slechts één geverifieerd in Microsoft Entra ID.
userPrincipalName
Een gebruiker heeft de volgende kenmerkwaarden in een niet-geverifieerd domein:
| Kenmerk | Weergegeven als |
|---|---|
| on-premises userPrincipalName | lee.sperry@fabrikam.com |
| Microsoft Entra shadowUserPrincipalName | lee.sperry@fabrikam.com |
| Microsoft Entra userPrincipalName | lee.sperry@fabrikam.onmicrosoft.com |
Het kenmerk userPrincipalName is de waarde die u ziet bij het gebruik van PowerShell.
Omdat de werkelijke on-premises kenmerkwaarde wordt opgeslagen in Microsoft Entra ID, werkt Microsoft Entra ID bij wanneer u het fabrikam.com domein controleert, het kenmerk userPrincipalName bij met de waarde van de shadowUserPrincipalName. U hoeft geen wijzigingen van Microsoft Entra-Verbinding maken of cloudsynchronisatie te synchroniseren om deze waarden te kunnen bijwerken.
proxyAddresses
Hetzelfde proces voor alleen het opnemen van geverifieerde domeinen vindt ook plaats voor proxyAddresses, maar met extra logica. De controle op geverifieerde domeinen vindt alleen plaats voor postvakgebruikers. Een gebruiker of contactpersoon met e-mail vertegenwoordigt een gebruiker in een andere Exchange-organisatie en u kunt waarden in proxyAddresses aan deze objecten toevoegen.
Voor een postvakgebruiker, on-premises of in Exchange Online, worden alleen waarden voor geverifieerde domeinen weergegeven. Dit ziet er als volgt uit:
| Kenmerk | Weergegeven als |
|---|---|
| on-premises proxyAddresses | SMTP: smtp:abbie.spencer@fabrikamonline.com abbie.spencer@fabrikam.com smtp: smtp:abbie@fabrikamonline.com |
| proxyAddresses in Exchange Online | SMTP:abbie.spencer@fabrikamonline.com smtp:abbie@fabrikamonline.com SIP:abbie.spencer@fabrikamonline.com |
In dit geval is smtpabbie.spencer@fabrikam.com verwijderd omdat dat domein niet is geverifieerd. Maar Exchange heeft ook SIP:abbie.spencer@fabrikamonline.com toegevoegd. Fabrikam maakt mogelijk geen gebruik van on-premises Lync/Skype voor Bedrijven, maar Microsoft Entra ID en Exchange Online bereiden dit voor.
Deze logica voor proxyAddresses wordt ProxyCalc genoemd. ProxyCalc wordt aangeroepen bij elke wijziging voor een gebruiker in de volgende situatie:
- De gebruiker krijgt een serviceplan toegewezen dat Exchange Online bevat, zelfs als de gebruiker geen licentie heeft voor een Exchange-postvak. Als de gebruiker bijvoorbeeld de Office E3-SKU heeft toegewezen, maar alleen de SharePoint Online-service is geselecteerd. Deze voorwaarde geldt zelfs als het postvak van de gebruiker zich nog steeds on-premises bevindt.
- Het kenmerk msExchRecipientTypeDetails heeft een waarde.
- U maakt een wijziging in proxyAddresses of userPrincipalName.
Met het ProxyCalc-proces wordt een adres opgeschoond als ShadowProxyAddresses een niet-geverifieerd domein bevat en de gebruiker een van de volgende eigenschappen heeft geconfigureerd.
- De gebruiker heeft een licentie met een EXO-servicetype abonnement (met uitzondering van MyAnalytics)
- Voor de gebruiker is MSExchRemoteRecipientType ingesteld (niet null)
- De gebruiker wordt beschouwd als een gedeelde resource
De gebruiker wordt beschouwd als een gedeelde resource wanneer het kenmerk CloudMSExchRecipientDisplayType een van de volgende waarden heeft:
| Weergavetype object | Waarde (decimaal) |
|---|---|
| MailboxUser | 0 |
| PublicFolder | 2 |
| ConferenceRoomMailbox | 7 |
| EquipmentMailbox | 8 |
| ArbitrationMailbox | 10 |
| RoomList | 15 |
| TeamMailboxUser | 16 |
| GroupMailbox | 17 |
| SchedulingMailbox | 18 |
| ACLableMailboxUser | 1073741824 |
| ACLableTeamMailboxUser | 1073741840 |
Notitie
CloudMSExchRecipientDisplayType is niet zichtbaar aan de zijde van Microsoft Entra ID en kan alleen worden weergegeven met de Exchange Online-cmdlet Get-Recipient.
Voorbeeld:
Get-Recipient admin | fl *type*
ProxyCalc kan enige tijd in beslag nemen om een wijziging voor een gebruiker te verwerken en is niet synchroon met het Microsoft Entra Verbinding maken exportproces.
Notitie
De ProxyCalc-logica bevat andere gedragingen voor geavanceerde scenario's die niet in dit onderwerp worden beschreven. Dit onderwerp is bedoeld om u inzicht te geven in het gedrag en niet om alle interne logica te documenteren.
Kenmerkwaarden in quarantaine
Schaduwkenmerken worden ook gebruikt wanneer er dubbele kenmerkwaarden zijn. Zie tolerantie van dubbele kenmerken voor meer informatie.