Microsoft Entra 連線 Sync 服務陰影屬性
大部分屬性在 Microsoft Entra ID 中以與您 內部部署的 Active Directory 相同的方式來表示。 但有些屬性有一些特殊的處理,而且 Microsoft Entra ID 中的屬性值可能與 Microsoft Entra 連線 同步處理的內容不同。
簡介陰影屬性
某些屬性在 Microsoft Entra ID 中有兩個表示法。 會儲存內部部署值和計算值。 這些額外的屬性稱為陰影屬性。 您會在其中看到此行為的兩個最常見屬性是 userPrincipalName 和 proxyAddress。 Microsoft Entra 中的同步處理引擎 連線 雲端同步處理會將值匯出至陰影屬性,然後 Microsoft Entra ID 會處理此屬性來計算最終值。 同步處理引擎也會從陰影屬性匯入值,因此即使最終計算值與同步處理引擎的觀點不同,仍能確認導出的原始值。 您無法使用 Microsoft Entra 系統管理中心 或 PowerShell 來查看陰影屬性,但瞭解此概念可協助您針對屬性在內部部署和雲端中具有不同值的特定案例進行疑難解答。
若要進一步了解行為,請參閱來自 Fabrikam 的這個範例:
![此螢幕快照顯示數個範例的 Active Directory UPN 後綴,其中對應的 Microsoft Entra Domain 值為 [未新增]、[未驗證] 和 [已驗證]。](media/how-to-connect-syncservice-shadow-attributes/domains.png)
他們在 內部部署的 Active Directory 中有多個 UserPrincipalName (UPN) 後綴,但 Microsoft Entra ID 中只會驗證一個。
userPrincipalName
使用者具有非驗證網域中的下列屬性值:
| 屬性 | 值 |
|---|---|
| 內部部署 userPrincipalName | lee.sperry@fabrikam.com |
| Microsoft Entra shadowUserPrincipalName | lee.sperry@fabrikam.com |
| Microsoft Entra userPrincipalName | lee.sperry@fabrikam.onmicrosoft.com |
userPrincipalName 屬性是您使用 PowerShell 時看到的值。
因為實際的內部部署屬性值會儲存在 Microsoft Entra ID 中,當您驗證 fabrikam.com 網域時,Microsoft Entra ID 會使用 shadowUserPrincipalName 的值來更新 userPrincipalName 屬性。 您不需要同步處理來自 Microsoft Entra 連線 或雲端同步的任何變更,這些值才能更新。
proxyAddresses
僅包含已驗證網域的相同程序也會針對 proxyAddresses 發生,但是具有某些額外邏輯。 針對已驗證網域的檢查只會對信箱使用者發生。 擁有郵件功能的使用者或連絡人代表另一個 Exchange 組織中的使用者,您可以將 proxyAddresses 中的任何值新增至這些物件。
對於信箱使用者,內部部署或 Exchange Online,只會顯示已驗證網域的值。 它看起來如下所示:
| 屬性 | 值 |
|---|---|
| 內部部署 proxyAddresses | SMTP:smtp:abbie.spencer@fabrikamonline.com smtp:abbie.spencer@fabrikam.com abbie@fabrikamonline.com |
| Exchange Online proxyAddresses | SMTP:smtp:abbie.spencer@fabrikamonline.com abbie@fabrikamonline.com SIP:abbie.spencer@fabrikamonline.com |
在此情況下, smtp:abbie.spencer@fabrikam.com 已移除,因為該網域未經過驗證。 但是 Exchange 也會新增 SIP:abbie.spencer@fabrikamonline.com。 Fabrikam 可能不會使用內部部署 Lync/商務用 Skype,但 Microsoft Entra ID 和 Exchange Online 會為其做好準備。
proxyAddresses 的此邏輯稱為 ProxyCalc。 ProxyCalc 在使用者每次變更時叫用,其時機為︰
- 使用者取得指派的服務方案,包括 Exchange Online,即使使用者沒有 Exchange 信箱的授權也一樣。 例如,如果使用者被指派 Office E3 SKU,但只會選取 SharePoint Online 服務。 即使使用者的信箱仍在內部部署,此條件也是如此。
- 屬性 msExchRecipientTypeDetails 具有值。
- 您對 proxyAddresses 或 userPrincipalName 進行變更。
如果 ShadowProxyAddresses 包含非驗證網域,且使用者已設定下列其中一個屬性,ProxyCalc 程式就會清理位址。
- 使用者透過已啟用 EXO 服務類型方案獲得授權 (不包括 MyAnalytics)
- 使用者已設定 MSExchRemoteRecipientType 集合 (非 Null)
- 使用者不會視為共用資源。
當使用者的 CloudMSExchRecipientDisplayType 屬性具有下列其中一個值時,使用者就會被視為共享資源:
| 物件顯示類型 | 值 (十進位) |
|---|---|
| MailboxUser | 0 |
| 公用資料夾 | 2 |
| ConferenceRoomMailbox | 7 |
| EquipmentMailbox | 8 |
| ArbitrationMailbox | 10 |
| RoomList | 15 |
| TeamMailboxUser | 16 |
| GroupMailbox | 17 |
| SchedulingMailbox | 18 |
| ACLableMailboxUser | 1073741824 |
| ACLableTeamMailboxUser | 1073741840 |
注意
CloudMSExchRecipientDisplayType 無法從 Microsoft Entra ID 端看見,而且只能使用 Exchange Online Cmdlet Get-Recipient 來檢視。
範例:
Get-Recipient admin | fl *type*
ProxyCalc 可能需要一些時間來處理用戶的變更,且與 Microsoft Entra 連線 導出程式不同步。
注意
ProxyCalc 邏輯具有本主題中未提及之進階案例的一些額外行為。 本主題是讓您了解行為,而未記載所有內部邏輯。
隔離的屬性值
有重複的屬性值時,也會使用陰影屬性。 如需詳細資訊,請參閱重複屬性恢復功能。