Zrozumienie aktualizacji zbiorczych użytkowników podczas zweryfikowanych zmian domeny

W tym artykule opisano typowy scenariusz, w którym dzienniki inspekcji wyświetlają wiele UserPrincipalName aktualizacji wyzwalanych przez zweryfikowaną zmianę domeny. W tym artykule wyjaśniono przyczyny i rozważania dotyczące aktualizacji UserManagement w dziennikach inspekcji, które pojawiają się podczas zweryfikowanych zmian domeny. Ten artykuł zawiera szczegółowe informacje na temat operacji zaplecza, która wyzwala masowe zmiany obiektów w systemie Microsoft Entra ID.

Objawy

Dzienniki inspekcji Microsoft Entra pokazują, że w mojej dzierżawie Microsoft Entra wystąpiło wiele aktualizacji użytkowników. Informacje o aktorze dla tych zdarzeń są puste lub są wyświetlane jako N/A.

Aktualizacje zbiorcze obejmują zmianę domeny UserPrincipalName z preferowanej domeny organizacji na domyślny sufiks domeny *.onmicrosoft.com.

Przykładowe szczegóły dziennika inspekcji

Data działania (UTC): 2022-01-27 07:44:05

Działanie: Aktualizowanie użytkownika

Typ aktora: inny

Aktor UPN: Brak danych

Stan: powodzenie

Kategoria: UserManagement

Usługa: katalog podstawowy

Identyfikator docelowy: aaaaaaaaa-bbbb-0000-11111-bbbbbbbbbbbbb

Nazwa docelowa: user@contoso.com

Typ docelowy: użytkownik

W pełnych szczegółach wpisu dziennika inspekcji poszukaj sekcji modifiedProperties. W tej sekcji przedstawiono zmiany wprowadzone w obiekcie użytkownika. Pola oldValue i newValue pokazują zmianę domeny.

"modifiedProperties":
  "displayName": "UserPrincipalName",
  "oldValue": "[\"user@contoso.onmicrosoft.com\"]",
  "newValue": "[\"user@contoso.com\"]"

Przyczyny

Jedną z typowych przyczyn zmian obiektu masowego jest brak synchronizacji operacji zaplecza. Ta operacja określa odpowiednie UserPrincipalName i proxyAddresses aktualizowane w użytkownikach, grupach lub kontaktach Microsoft Entra.

Cel tej operacji zaplecza gwarantuje, że atrybut UserPrincipalName i proxyAddresses są spójne w identyfikatorze Entra firmy Microsoft w dowolnym momencie. Jawna zmiana, taka jak zweryfikowana zmiana domeny, wyzwala tę operację.

Jeśli na przykład dodasz zweryfikowaną domenę Fabrikam.com do dzierżawy Contoso.onmicrosoft.com, ta akcja spowoduje wyzwolenie operacji zaplecza na wszystkich obiektach w dzierżawie. To zdarzenie jest przechwytywane w dziennikach inspekcji firmy Microsoft Entra jako Zdarzenia aktualizacji użytkownika poprzedzone zdarzeniem Dodaj zweryfikowaną domenę.

Jeśli Fabrikam.com została usunięta z dzierżawy Contoso.onmicrosoft.com, to wszystkie zdarzenia Aktualizuj użytkownika są poprzedzone zdarzeniem Usuń zweryfikowaną domenę.

Rozwiązanie

Jeśli napotkasz ten problem, możesz skorzystać z używania programu Microsoft Entra Connect do synchronizowania danych między katalogiem lokalnym i identyfikatorem Entra firmy Microsoft. Ta akcja gwarantuje, że obiekty UserPrincipalName i proxyAddresses są spójne w obu środowiskach.

Podczas próby ręcznego dodawania lub utrzymania tych obiektów, ryzykujesz, że inna operacja zaplecza wyzwoli zbiorczą zmianę.

Zapoznaj się z następującymi artykułami, aby zapoznać się z tymi pojęciami:

• Microsoft Entra UserPrincipalName — populacja

• Jak atrybut proxyAddresses jest wypełniany w identyfikatorze Entra firmy Microsoft

Kwestie wymagające rozważenia

Ta operacja zaplecza nie powoduje zmian w niektórych obiektach, które:

• nie masz aktywnej licencji programu Microsoft Exchange
• MSExchRemoteRecipientType ustawioną na wartość Null
• nie są traktowane jako zasób udostępniony

Zasób udostępniony jest wtedy, gdy CloudMSExchRecipientDisplayType zawiera jedną z następujących wartości:

• MailboxUser (udostępnione)
• PublicFolder
• ConferenceRoomMailbox
• EquipmentMailbox
• ArbitrationMailbox
• RoomList
• TeamMailboxUser
• GroupMailbox
• SchedulingMailbox
• ACLableMailboxUser
• ACLableTeamMailboxUser

Aby utworzyć większą korelację między tymi dwoma różnymi zdarzeniami, firma Microsoft pracuje nad aktualizowaniem informacji aktora w dziennikach inspekcji w celu zidentyfikowania tych zmian wyzwolonych przez zweryfikowaną zmianę domeny. Ta akcja pomaga sprawdzić, kiedy miało miejsce zweryfikowane zdarzenie zmiany domeny i zaczęło masowo aktualizować obiekty w dzierżawie.

W większości przypadków nie ma żadnych zmian dla użytkowników, ponieważ ich UserPrincipalName i proxyAddresses są spójne, dlatego pracujemy nad wyświetlaniem w dziennikach inspekcji tylko tych aktualizacji, które spowodowały rzeczywistą zmianę obiektu. Ta akcja zapobiega szumowi w dziennikach inspekcji i pomaga administratorom skorelować pozostałe zmiany użytkowników ze zweryfikowanych zdarzeń zmiany domeny.

Dogłębna analiza

Chcesz dowiedzieć się więcej o tym, co dzieje się za kulisami? Poniżej przedstawiono szczegółowe informacje na temat operacji backendu, która wyzwala masowe zmiany obiektów w Microsoft Entra ID. Przed rozpoczęciem pracy zapoznaj się z artykułem dotyczącym atrybutów cieniowych usługi Microsoft Entra Connect Sync, aby poznać atrybuty w tle.

UserPrincipalName

W przypadku użytkowników korzystających tylko z chmury parametr UserPrincipalName jest ustawiony na zweryfikowany sufiks domeny. Po przetworzeniu niespójnej nazwy UserPrincipalName operacja konwertuje ją na domyślny sufiks onmicrosoft.com, na przykład: username@Contoso.onmicrosoft.com.

W przypadku zsynchronizowanych użytkowników parametr UserPrincipalName jest ustawiony na zweryfikowany sufiks domeny i odpowiada wartości ShadowUserPrincipalNamelokalnej . Gdy jest przetwarzana niespójna nazwa UserPrincipalName, operacja jest przywracana do tej samej wartości co ShadowUserPrincipalName lub w przypadku usunięcia sufiksu domeny z dzierżawy, konwertuje ją na domyślny *.onmicrosoft.com sufiks domeny.

ProxyAddresses

W przypadku użytkowników korzystających tylko z chmury spójność oznacza, że proxyAddresses jest zgodna ze zweryfikowanym sufiksem domeny. Po przetworzeniu niespójnych adresów proxy w operacji w tle konwertuje się je na domyślny *.onmicrosoft.com sufiks domeny, na przykład: SMTP:username@Contoso.onmicrosoft.com.

W przypadku zsynchronizowanych użytkowników spójność oznacza, że atrybut proxyAddresses jest zgodny z lokalną wartością proxyAddresses (czyli ShadowProxyAddresses). Oczekuje się, że adresy proxy zostaną zsynchronizowane z adresami ShadowProxyAddresses. Jeśli zsynchronizowany użytkownik ma przypisaną licencję programu Exchange, wartości chmury i środowiska lokalnego muszą być zgodne. Te wartości muszą być również zgodne ze zweryfikowanym sufiksem domeny.

W tym scenariuszu operacja zaplecza oczyszcza niespójne adresy proxyAddresses z niezweryfikowanym sufiksem domeny i jest usuwana z obiektu w identyfikatorze Entra firmy Microsoft. Jeśli ta niezweryfikowana domena zostanie zweryfikowana później, operacja zaplecza zostanie ponownie skompilowana i doda adres proxyAddresses z elementu ShadowProxyAddresses z powrotem do obiektu w identyfikatorze Entra firmy Microsoft.

Uwaga

W przypadku zsynchronizowanych obiektów, aby uniknąć uzyskiwania nieoczekiwanych wyników przez logikę operacji zaplecza, najlepiej ustawić wartość proxyAddresses na zweryfikowaną domenę Microsoft na obiekcie lokalnym.

Powiązana zawartość

Atrybuty usługi Synchronizacja programu Microsoft Entra Connect