Atributos de sombra do serviço Microsoft Entra Connect Sync
A maioria dos atributos é representada da mesma forma no Microsoft Entra ID e no Ative Directory local. Mas alguns atributos têm alguma manipulação especial e o valor do atributo no Microsoft Entra ID pode ser diferente do que o Microsoft Entra Connect sincroniza.
Introdução aos atributos de sombra
Alguns atributos têm duas representações no Microsoft Entra ID. O valor local e um valor calculado são armazenados. Esses atributos extras são chamados de atributos de sombra. Os dois atributos mais comuns onde você vê esse comportamento são userPrincipalName e proxyAddress. O mecanismo de sincronização no Microsoft Entra Connect e sincronização na nuvem exporta o valor para o atributo shadow e, em seguida, o Microsoft Entra ID processa esse atributo para calcular o valor final. O mecanismo de sincronização também importa valores do atributo shadow, portanto, mesmo que o valor final calculado seja diferente, da perspetiva do mecanismo de sincronização, ele é capaz de confirmar o valor original que foi exportado. Você não pode ver os atributos de sombra usando o centro de administração do Microsoft Entra ou com o PowerShell, mas entender esse conceito ajuda a solucionar problemas de determinados cenários em que o atributo tem valores diferentes no local e na nuvem.
Para entender melhor o comportamento, veja este exemplo da Fabrikam:
Eles têm vários sufixos UserPrincipalName (UPN) em seu Ative Directory local, mas apenas um é verificado no Microsoft Entra ID.
userPrincipalName
Um usuário tem os seguintes valores de atributo em um domínio não verificado:
| Atributo | Value |
|---|---|
| userPrincipalName local | lee.sperry@fabrikam.com |
| Microsoft Entra shadowUserPrincipalName | lee.sperry@fabrikam.com |
| Microsoft Entra userPrincipalName | lee.sperry@fabrikam.onmicrosoft.com |
O atributo userPrincipalName é o valor que você vê ao usar o PowerShell.
Como o valor real do atributo local é armazenado no Microsoft Entra ID, quando você verifica o domínio fabrikam.com, o Microsoft Entra ID atualiza o atributo userPrincipalName com o valor do shadowUserPrincipalName. Não é necessário sincronizar as alterações do Microsoft Entra Connect ou da sincronização na nuvem para que esses valores sejam atualizados.
proxyAddresses
O mesmo processo para incluir apenas domínios verificados também ocorre para proxyAddresses, mas com alguma lógica extra. A verificação de domínios verificados só acontece para usuários de caixa de correio. Um usuário ou contato habilitado para email representa um usuário em outra organização do Exchange e você pode adicionar quaisquer valores em proxyAddresses a esses objetos.
Para um usuário de caixa de correio, local ou no Exchange Online, somente valores para domínios verificados aparecem. Pode ser assim:
| Atributo | Value |
|---|---|
| proxyAddresses locais | SMTP:abbie.spencer@fabrikamonline.com smtp:abbie.spencer@fabrikam.com smtp:abbie@fabrikamonline.com |
| Endereços proxy do Exchange Online | SMTP:abbie.spencer@fabrikamonline.com smtp:abbie@fabrikamonline.com SIP:abbie.spencer@fabrikamonline.com |
Neste caso, smtp:abbie.spencer@fabrikam.com foi removido, uma vez que esse domínio não é verificado. Mas o Exchange também adicionou SIP:abbie.spencer@fabrikamonline.com. A Fabrikam pode não estar usando o Lync/Skype for Business local, mas o Microsoft Entra ID e o Exchange Online se preparam para isso.
Essa lógica para proxyAddresses é conhecida como ProxyCalc. ProxyCalc é invocado com cada alteração em um usuário quando:
- O usuário recebe um plano de serviço atribuído que inclui o Exchange Online, mesmo que o usuário não tenha sido licenciado para uma caixa de correio do Exchange. Por exemplo, se o usuário receber a SKU do Office E3, mas somente o serviço SharePoint Online for selecionado. Essa condição é verdadeira mesmo se a caixa de correio do usuário ainda estiver no local.
- O atributo msExchRecipientTypeDetails tem um valor.
- Você faz uma alteração para proxyAddresses ou userPrincipalName.
O processo ProxyCalc limpa um endereço se ShadowProxyAddresses contiver um domínio não verificado e o usuário tiver uma das seguintes propriedades configuradas.
- O usuário é licenciado com um plano de tipo de serviço EXO habilitado (excluindo MyAnalytics)
- O usuário tem MSExchRemoteRecipientType definido (não nulo)
- O usuário é considerado um recurso compartilhado
O usuário é considerado um recurso compartilhado quando seu atributo CloudMSExchRecipientDisplayType tem um dos seguintes valores:
| Tipo de exibição de objeto | Valor (Decimal) |
|---|---|
| MailboxUser | 0 |
| PublicFolder | 2 |
| Sala de ConferênciaCaixa de Correio | 7 |
| EquipamentoCaixa de correio | 8 |
| ArbitragemCaixa de correio | 10 |
| Lista de quartos | 15 |
| TeamMailboxUser | 16 |
| GroupMailbox | 17 |
| AgendamentoCaixa de Correio | 18 |
| ACLableMailboxUser | 1073741824 |
| ACLableTeamMailboxUser | 1073741840 |
Nota
O CloudMSExchRecipientDisplayType não é visível do lado da ID do Microsoft Entra e só pode ser exibido usando o cmdlet Get-Recipient do Exchange Online.
Exemplo:
Get-Recipient admin | fl *type*
O ProxyCalc pode levar algum tempo para processar uma alteração em um usuário e não é síncrono com o processo de exportação do Microsoft Entra Connect.
Nota
A lógica ProxyCalc tem alguns comportamentos adicionais para cenários avançados não documentados neste tópico. Este tópico é fornecido para você entender o comportamento e não documentar toda a lógica interna.
Valores de atributos em quarentena
Os atributos de sombra também são usados quando há valores de atributos duplicados. Para obter mais informações, consulte Resiliência de atributos duplicados.