Förstå massanvändaruppdateringar under verifierade domänändringar
Den här artikeln beskriver ett vanligt scenario där granskningsloggarna visar många UserPrincipalName uppdateringar som utlöses av en verifierad domänändring. Den här artikeln förklarar orsaker och överväganden för UserManagement-uppdateringar i granskningsloggarna som inträffar under verifierade domänändringar. Artikeln innehåller en djupdykning i serverdelsåtgärden som utlöser massobjektändringar i Microsoft Entra-ID.
Symtom
Microsoft Entra-granskningsloggarna visar att flera användaruppdateringar har inträffat i min Microsoft Entra-klientorganisation. Aktörsinformationen för dessa händelser är tom eller visar N/A.
Massuppdateringarna omfattar att ändra domänen för den UserPrincipalName ändrade från organisationens föredragna domän till standarddomänsuffixet *.onmicrosoft.com .
Exempel på granskningslogginformation
Aktivitetsdatum (UTC): 2022-01-27 07:44:05
Aktivitet: Uppdatera användare
Aktörstyp: Övrigt
Aktörs-UPN: N/A
Status: lyckades
Kategori: UserManagement
Tjänst: Core Directory
Mål-ID: aaaaaaaaaa-bbbb-0000-11111-bbbbbbbbbbbbb
Målnamn: user@contoso.com
Måltyp: Användare
Leta efter avsnittet i den fullständiga informationen i granskningsloggposten modifiedProperties . Det här avsnittet visar de ändringar som gjorts i användarobjektet. Fälten oldValue och newValue visar domänändringen.
"modifiedProperties":
"displayName": "UserPrincipalName",
"oldValue": "[\"user@contoso.onmicrosoft.com\"]",
"newValue": "[\"user@contoso.com\"]"
Orsaker
En vanlig orsak bakom massobjektändringar beror på en icke-synkron serverdelsåtgärd. Den här åtgärden avgör lämpligt UserPrincipalName och proxyAddresses som uppdateras i Microsoft Entra-användare, grupper eller kontakter.
Syftet med den här serverdelsåtgärden säkerställer att UserPrincipalName och proxyAddresses är konsekventa i Microsoft Entra-ID när som helst. En explicit ändring, till exempel en verifierad domänändring, utlöser den här åtgärden.
Om du till exempel lägger till en verifierad domän Fabrikam.com till din Contoso.onmicrosoft.com klientorganisation utlöser den här åtgärden serverdelsåtgärden på alla objekt i klientorganisationen. Den här händelsen registreras i Microsoft Entra-granskningsloggarna som uppdateringsanvändarhändelser som föregås av händelsen Lägg till verifierad domän .
Om Fabrikam.com har tagits bort från Contoso.onmicrosoft.com klientorganisation föregås alla uppdateringsanvändares händelser av händelsen Ta bort verifierad domän .
Åtgärd
Om du har stött på det här problemet kan du dra nytta av att använda Microsoft Entra Anslut för att synkronisera data mellan din lokala katalog och Microsoft Entra-ID. Den här åtgärden säkerställer att UserPrincipalName och proxyAddresses är konsekventa i båda miljöerna.
När du försöker lägga till eller underhålla dessa objekt manuellt riskerar du att en annan serverdelsåtgärd utlöser en massändring.
Läs följande artiklar för att bekanta dig med dessa begrepp:
Att tänka på
Den här serverdelsåtgärden orsakar inte ändringar i vissa objekt som:
- har ingen aktiv Microsoft Exchange-licens
- har
MSExchRemoteRecipientTypeangetts till Null - betraktas inte som en delad resurs
En delad resurs är när CloudMSExchRecipientDisplayType innehåller något av följande värden:
MailboxUser(delad)PublicFolderConferenceRoomMailboxEquipmentMailboxArbitrationMailboxRoomListTeamMailboxUserGroupMailboxSchedulingMailboxACLableMailboxUserACLableTeamMailboxUser
För att skapa mer korrelation mellan dessa två olika händelser arbetar Microsoft med att uppdatera aktörsinformationen i granskningsloggarna för att identifiera dessa ändringar som utlöses av en verifierad domänändring. Den här åtgärden hjälper dig att kontrollera när den verifierade domänändringshändelsen ägde rum och började massuppdateringen av objekten i klientorganisationen.
I de flesta fall finns det inga ändringar i användarna som deras UserPrincipalName och proxyAddresses är konsekventa, så vi arbetar bara med att visa de uppdateringar som orsakade en faktisk ändring av objektet i granskningsloggarna. Den här åtgärden förhindrar brus i granskningsloggarna och hjälper administratörer att korrelera de återstående användarändringarna till verifierade domänändringshändelser.
Djupdykning
Vill du veta mer om vad som händer i bakgrunden? Här är en djupdykning i serverdelsåtgärden som utlöser massobjektändringar i Microsoft Entra-ID. Innan du går in kan du läsa artikeln Microsoft Entra Anslut Sync-tjänstens skuggattribut för att förstå skuggattributen.
UserPrincipalName
För enbart molnanvändare är UserPrincipalName inställt på ett verifierat domänsuffix. När ett inkonsekvent UserPrincipalName bearbetas konverterar åtgärden det till standard-onmicrosoft.com-suffixet, till exempel: username@Contoso.onmicrosoft.com.
För synkroniserade användare är UserPrincipalName inställt på ett verifierat domänsuffix och matchar det lokala värdet, ShadowUserPrincipalName. När ett inkonsekvent UserPrincipalName bearbetas återgår åtgärden till samma värde som ShadowUserPrincipalName eller, om domänsuffixet togs bort från klientorganisationen, konverterar det till standarddomänsuffixet *.onmicrosoft.com .
ProxyAddresses
För enbart molnanvändare innebär konsekvens att matcha proxyAddresses ett verifierat domänsuffix. När en inkonsekvent proxyAddresses bearbetas konverterar serverdelsåtgärden den till standarddomänsuffixet *.onmicrosoft.com , till exempel: SMTP:username@Contoso.onmicrosoft.com.
För synkroniserade användare innebär konsekvens att proxyAddresses matchar det lokala proxyAddresses-värdet (dvs. ShadowProxyAddresses). ProxyAddresses förväntas vara synkroniserade med ShadowProxyAddresses. Om den synkroniserade användaren har tilldelats en Exchange-licens måste moln- och lokala värden matcha. Dessa värden måste också matcha ett verifierat domänsuffix.
I det här scenariot sanerar serverdelsåtgärden den inkonsekventa proxynLägg till med ett overifierat domänsuffix och tas bort från objektet i Microsoft Entra-ID. Om den overifierade domänen verifieras senare beräknas serverdelsåtgärden om och lägger till proxyAddresses från ShadowProxyAddresses tillbaka till objektet i Microsoft Entra-ID.
Kommentar
För synkroniserade objekt är det bäst att ange proxyAddresses till en Microsoft Entra-verifierad domän på det lokala objektet för att undvika logiken för serverdelsåtgärden från att beräkna oväntade resultat.