Dela via


Skuggattribut för Microsoft Entra Anslut Sync-tjänsten

De flesta attribut representeras på samma sätt i Microsoft Entra-ID som i din lokal Active Directory. Men vissa attribut har viss särskild hantering och attributvärdet i Microsoft Entra-ID kan skilja sig från vad Microsoft Entra Anslut synkroniserar.

Introduktion till skuggattribut

Vissa attribut har två representationer i Microsoft Entra-ID. Både det lokala värdet och ett beräknat värde lagras. Dessa extra attribut kallas skuggattribut. De två vanligaste attributen där du ser det här beteendet är userPrincipalName och proxyAddress. Synkroniseringsmotorn i Microsoft Entra Anslut och molnsynkronisering exporterar värdet till skuggattributet och sedan bearbetar Microsoft Entra ID det här attributet för att beräkna det slutliga värdet. Synkroniseringsmotorn importerar också värden från skuggattributet, så även om det slutliga beräknade värdet skiljer sig från synkroniseringsmotorns perspektiv kan det bekräfta det ursprungliga värdet som exporterades. Du kan inte se skuggattributen med hjälp av administrationscentret för Microsoft Entra eller med PowerShell, men om du förstår det här konceptet kan du felsöka vissa scenarier där attributet har olika värden lokalt och i molnet.

För att bättre förstå beteendet kan du titta på det här exemplet från Fabrikam:
Skärmbild som visar Active Directory UPN-suffixet för flera exempel med motsvarande Microsoft Entra-domänvärde som inte har lagts till, inte verifierats och verifierats.
De har flera UPN-suffix (UserPrincipalName) i sina lokal Active Directory, men endast ett verifieras i Microsoft Entra-ID.

userPrincipalName

En användare har följande attributvärden i en icke-verifierad domän:

Attribut Värde
lokalt userPrincipalName lee.sperry@fabrikam.com
Microsoft Entra shadowUserPrincipalName lee.sperry@fabrikam.com
Microsoft Entra userPrincipalName lee.sperry@fabrikam.onmicrosoft.com

Attributet userPrincipalName är det värde du ser när du använder PowerShell.

Eftersom det verkliga lokala attributvärdet lagras i Microsoft Entra-ID uppdaterar Microsoft Entra-ID:t userPrincipalName med värdet från shadowUserPrincipalName när du verifierar fabrikam.com domänen. Du behöver inte synkronisera några ändringar från Microsoft Entra Anslut eller molnsynkronisering för att dessa värden ska uppdateras.

proxyAddresses

Samma process för att endast inkludera verifierade domäner sker också för proxyAddresses, men med lite extra logik. Kontrollen av verifierade domäner sker endast för postlådeanvändare. En e-postaktiverad användare eller kontakt representerar en användare i en annan Exchange-organisation och du kan lägga till alla värden i proxyAddresses till dessa objekt.

För en postlådeanvändare, antingen lokalt eller i Exchange Online, visas endast värden för verifierade domäner. Det kan se ut så här:

Attribut Värde
lokal proxyAddresses SMTP:abbie.spencer@fabrikamonline.com
smtp:abbie.spencer@fabrikam.com
smtp:abbie@fabrikamonline.com
Exchange Online proxyAddresses SMTP:abbie.spencer@fabrikamonline.com
smtp:abbie@fabrikamonline.com
SIP:abbie.spencer@fabrikamonline.com

I det här fallet har smtp:abbie.spencer@fabrikam.com tagits bort eftersom domänen inte har verifierats. Men Exchange lade också till SIP:abbie.spencer@fabrikamonline.com. Fabrikam kanske inte använder lokala Lync/Skype för företag, men Microsoft Entra ID och Exchange Online förbereder sig för det.

Den här logiken för proxyAddresses kallas ProxyCalc. ProxyCalc anropas med varje ändring på en användare när:

  • Användaren får en tilldelad tjänstplan som innehåller Exchange Online även om användaren inte har licensierats för en Exchange-postlåda. Om användaren till exempel har tilldelats Office E3 SKU, men endast SharePoint Online-tjänsten har valts. Det här villkoret gäller även om användarens postlåda fortfarande är lokal.
  • Attributet msExchRecipientTypeDetails har ett värde.
  • Du gör en ändring i proxyAddresses eller userPrincipalName.

ProxyCalc-processen sanerar en adress om ShadowProxyAddresses innehåller en icke-verifierad domän och användaren har någon av följande egenskaper konfigurerade.

  • Användaren är licensierad med en EXO-tjänsttypsplan aktiverad (exklusive MyAnalytics)
  • Användaren har MSExchRemoteRecipientType inställt (inte null)
  • Användaren anses vara en delad resurs

Användaren betraktas som en delad resurs när dess CloudMSExchRecipientDisplayType-attribut har något av följande värden:

Objektvisningstyp Värde (decimalt):
MailboxUser 0
PublicFolder 2
ConferenceRoomMailbox 7
EquipmentMailbox 8
ArbitrationMailbox 10
RoomList 15
TeamMailboxUser 16
GroupMailbox 17
SchemaläggningMailbox 18
ACLableMailboxUser 1073741824
ACLableTeamMailboxUser 1073741840

Kommentar

CloudMSExchRecipientDisplayType visas inte från Microsoft Entra-ID-sidan och kan bara visas med Exchange Online-cmdleten Get-Recipient.

Exempel:

  Get-Recipient admin | fl *type*

ProxyCalc kan ta lite tid att bearbeta en ändring för en användare och är inte synkron med Microsoft Entra-Anslut exportprocessen.

Kommentar

ProxyCalc-logiken har vissa ytterligare beteenden för avancerade scenarier som inte dokumenteras i det här avsnittet. Det här avsnittet ges för att du ska förstå beteendet och inte dokumentera all intern logik.

Attributvärden i karantän

Skuggattribut används också när det finns dubbla attributvärden. Mer information finns i duplicerad attributåterhämtning.

Se även