Атрибуты тени службы синхронизации Microsoft Entra Connect
Большинство атрибутов представлены таким же образом в идентификаторе Microsoft Entra, что и в локальной среде Active Directory. Но некоторые атрибуты имеют некоторую специальную обработку и значение атрибута в идентификаторе Microsoft Entra ID может отличаться от того, что Microsoft Entra Connect синхронизирует.
Некоторые атрибуты имеют два представления в идентификаторе Microsoft Entra. Хранятся как локальное, так и вычисляемое значение. Эти дополнительные атрибуты называются теневыми атрибутами. Два наиболее распространенных атрибута, в которых наблюдается такое поведение, это userPrincipalName и proxyAddress. Модуль синхронизации в Microsoft Entra Connect и облачной синхронизации экспортирует значение в теневой атрибут, а затем идентификатор Microsoft Entra обрабатывает этот атрибут, чтобы вычислить окончательное значение. Подсистема синхронизации также импортирует значения из теневого атрибута, поэтому даже если окончательное вычисляемое значение отличается, с точки зрения подсистемы синхронизации она может подтвердить исходное значение, которое было экспортировано. Вы не можете видеть теневые атрибуты с помощью Центра администрирования Microsoft Entra или PowerShell, но понимание этой концепции может помочь вам в устранении неполадок в определенных сценариях, где атрибут имеет разные значения в локальной среде и в облаке.
Чтобы лучше понять поведение, ознакомьтесь с этим примером из Fabrikam:
У них несколько суффиксов UserPrincipalName (UPN) в локальной среде Active Directory, но только один проверяется в идентификаторе Microsoft Entra.
У пользователя есть следующие значения атрибутов в неверифицированном домене:
| Атрибут | Ценность |
|---|---|
| локальное имя пользователяPrincipalName | lee.sperry@fabrikam.com |
| Microsoft Entra shadowUserPrincipalName | lee.sperry@fabrikam.com |
| Microsoft Entra userPrincipalName (имя пользователя) | lee.sperry@fabrikam.onmicrosoft.com |
Атрибут userPrincipalName — это значение, которое отображается при использовании PowerShell.
Так как реальное значение локального атрибута хранится в идентификаторе Microsoft Entra, при проверке домена fabrikam.com идентификатор Microsoft Entra обновляет атрибут userPrincipalName со значением из shadowUserPrincipalName. Вам не нужно синхронизировать изменения из Microsoft Entra Connect или облачной синхронизации для обновления этих значений.
Тот же процесс включения только проверенных доменов также применяется к прокси-адресам, но с некоторыми дополнительными логическими условиями. Проверка проверенных доменов выполняется только для пользователей почтовых ящиков. Пользователь с поддержкой почты или контакт представляют пользователя в другой организации Exchange, и вы можете добавить любые значения в proxyAddresses в эти объекты.
Для пользователя почтового ящика локально или в Exchange Online отображаются только значения проверенных доменов. Это может выглядеть следующим образом:
| Атрибут | Ценность |
|---|---|
| локальные proxy-адреса | SMTP:abbie.spencer@fabrikamonline.com smtp:abbie.spencer@fabrikam.com smtp:abbie@fabrikamonline.com |
| Прокси-адреса Exchange Online | SMTP:abbie.spencer@fabrikamonline.com smtp:abbie@fabrikamonline.com SIP:abbie.spencer@fabrikamonline.com |
В этом случае smtp:abbie.spencer@fabrikam.com удалены, так как этот домен не проверен. Но Exchange также добавил SIP:abbie.spencer@fabrikamonline.com. Fabrikam может не использовать локальную службу Lync или Skype для бизнеса, но Microsoft Entra ID и Exchange Online готовы к этому.
Эта логика для proxyAddresses называется ProxyCalc. ProxyCalc вызывается при каждом изменении пользователя, когда:
- Пользователь получает план обслуживания, который включает Exchange Online, даже если пользователь не был лицензирован для почтового ящика Exchange. Например, если пользователю назначен номер SKU Office E3, но выбрана только служба SharePoint Online. Это условие верно, даже если почтовый ящик пользователя по-прежнему находится в локальной среде.
- Атрибут msExchRecipientTypeDetails имеет значение.
- Вы вносите изменения в proxyAddresses или userPrincipalName.
Процесс ProxyCalc очищает адрес, если ShadowProxyAddresses содержит неверифицированный домен, а пользователь имеет одно из следующих свойств.
- У пользователя включен тарифный план типа службы EXO (за исключением MyAnalytics)
- У пользователя установлено значение MSExchRemoteRecipientType (ненулевое)
- Пользователь считается общим ресурсом
Пользователь считается общим ресурсом, если его атрибут CloudMSExchRecipientDisplayType имеет одно из следующих значений:
| Тип отображения объекта | Значение (десятичное значение) |
|---|---|
| MailboxUser | 0 |
| PublicFolder | 2 |
| Почтовый ящик конференц-зала | 7 |
| Почтовый ящик оборудования | 8 |
| Арбитражный почтовый ящик | 10 |
| Список комнат | 15 |
| TeamMailboxUser | 16 |
| Групповой почтовый ящик | 17 |
| Почтовый ящик для планирования | 18 |
| ACLableMailboxUser | 1073741824 |
| Пользователь почтового ящика команды с доступом по ACL | 1073741840 |
Примечание
CloudMSExchRecipientDisplayType не отображается на стороне Microsoft Entra ID и может просматриваться только с помощью командлета Exchange Online Get-Recipient.
Пример:
Get-Recipient admin | fl *type*
ProxyCalc может потребоваться некоторое время для обработки изменений у пользователя и не совпадает по времени с процессом экспорта Microsoft Entra Connect.
Примечание
Логика ProxyCalc имеет некоторое дополнительное поведение для расширенных сценариев, которые не описаны в этом разделе. Этот раздел предоставляется для понимания поведения и не документирования всей внутренней логики.
Теневые атрибуты также используются при наличии повторяющихся значений атрибутов. Для получения дополнительной информации см. устойчивость повторяющихся атрибутов.