Microsoft Entra Connect - msExchUserHoldPolicies 和 cloudMsExchUserHoldPolicies

2025-06-21

以下参考文档介绍了 Exchange 使用的这些属性以及编辑默认同步规则的正确方法。

什么是 msExchUserHoldPolicies 和 cloudMsExchUserHoldPolicies？

Exchange Server 有两种类型的保留：诉讼保留和 In-Place 保留。启用诉讼保留后，所有邮箱所有项目都将置于保留状态。 In-Place 保留用于仅保留满足使用 In-Place eDiscovery 工具定义的搜索查询条件的项目。

MsExchUserHoldPolicies 和 cloudMsExchUserHoldPolicies 属性允许本地 AD 和 Microsoft Entra ID 确定哪些用户处于保留状态，具体取决于他们使用的是本地 Exchange 还是在线 Exchange。

msExchUserHoldPolicies 同步流

默认情况下，MsExchUserHoldPolicies 由 Microsoft Entra Connect 直接同步到 metaverse 中的 msExchUserHoldPolicies 属性，然后同步到 Microsoft Entra ID 中的 msExchUserHoldPolicies 属性

下表描述了流程：

从本地 Active Directory 入站：

Active Directory 属性	属性名称	流类型	Metaverse 属性	同步规则
内部部署的 Active Directory	msExchUserHold策略	直接	msExchUserHold策略	从 AD 输入 - 用户交换

出站到 Microsoft Entra ID：

Metaverse 属性	属性名称	流类型	Microsoft Entra 属性	同步规则
Microsoft Entra 身份识别系统	msExchUserHold策略	直接	msExchUserHold策略	输出到 Microsoft Entra ID – UserExchangeOnline

cloudMsExchUserHoldPolicies 同步流

默认情况下，cloudMsExchUserHoldPolicies 由 Microsoft Entra Connect 直接同步到 metaverse 中的 cloudMsExchUserHoldPolicies 属性。然后，如果 msExchUserHoldPolicies 在 metaverse 中不为 null，则传入的属性将流出到 Active Directory。

下表描述了流程：

从 Microsoft Entra ID 入站：

Active Directory 属性	属性名称	流类型	Metaverse 属性	同步规则
内部部署的 Active Directory	cloudMsExchUserHold策略	直接	cloudMsExchUserHold策略	从 Microsoft Entra ID 输入 - 用户交换

出站到本地 Active Directory：

Metaverse 属性	属性名称	流类型	Microsoft Entra 属性	同步规则
Microsoft Entra 身份识别系统	cloudMsExchUserHold策略	IF（非 NULL）	msExchUserHold策略	Out to AD – UserExchangeOnline

有关属性行为的信息

msExchangeUserHoldPolicies 是单个颁发机构属性。可以在本地目录或云目录中的对象（在本例中为用户对象）上设置单个 authority 属性。授权机构起始规则规定，如果属性是从本地同步的，则不允许 Microsoft Entra ID 更新此属性。

要允许用户在云中的用户对象上设置保留策略，请使用 cloudMSExchangeUserHoldPolicies 属性。使用此属性是因为 Microsoft Entra ID 无法直接根据上述规则设置 msExchangeUserHoldPolicies。然后，如果 msExchangeUserHoldPolicies 不为 null，则此属性将同步回本地目录，并替换 msExchangeUserHoldPolicies 的当前值。

在某些情况下，例如，如果同时在本地和 Azure 中更改两者，这可能会导致一些问题。

后续步骤

详细了解如何将本地标识与 Microsoft Entra ID 集成。