Porozumění hromadným aktualizacím uživatelů během změn ověřené domény
Tento článek popisuje běžný scénář, kdy protokoly auditu zobrazují mnoho UserPrincipalName aktualizací aktivovaných ověřenou změnou domény. Tento článek vysvětluje příčiny a aspekty aktualizací UserManagement v protokolech auditu, ke kterým dochází během ověřených změn domény. Tento článek obsahuje podrobné informace o back-endové operaci, která aktivuje změny hromadných objektů v ID Microsoft Entra.
Příznaky
Protokoly auditu Microsoft Entra ukazují, že v mém tenantovi Microsoft Entra proběhlo několik aktualizací uživatelů. Informace o objektu Actor pro tyto události jsou prázdné nebo zobrazují N/A.
Hromadné aktualizace zahrnují změnu domény pro UserPrincipalName z upřednostňované domény organizace na výchozí *.onmicrosoft.com koncovku domény.
Ukázkové podrobnosti protokolu auditu
Datum aktivity (UTC): 2022-01-27 07:44:05
Aktivita: Aktualizace uživatele
Typ herce: Jiné
Hlavní název uživatele (UPN) objektu actor: N/A
Stav: úspěch
Kategorie: UserManagement
Služba: Základní adresář
ID cíle: aaaaaaaaa-bbbb-0000-11111-bbbbbbbbbbbbb
Cílový název: user@contoso.com
Typ cíle: Uživatel
V úplných podrobnostech položky protokolu auditu vyhledejte sekci modifiedProperties. Tato část ukazuje změny provedené v objektu uživatele. Pole oldValue a newValue zobrazuje změnu domény.
"modifiedProperties":
"displayName": "UserPrincipalName",
"oldValue": "[\"user@contoso.onmicrosoft.com\"]",
"newValue": "[\"user@contoso.com\"]"
Příčiny
Jedním z běžných důvodů změny hromadných objektů je nesynchronní back-endová operace. Tato operace určuje vhodné UserPrincipalName a proxyAddresses, které mají být aktualizovány u uživatelů, skupin nebo kontaktů Microsoft Entra.
Účelem této back-endové operace je zajistit, aby userPrincipalName a proxyAddresses byly v Microsoft Entra ID vždy konzistentní. Tato operace aktivuje explicitní změnu, například ověřenou změnu domény.
Pokud například přidáte ověřenou doménu Fabrikam.com do tenanta Contoso.onmicrosoft.com, tato akce aktivuje operaci back-endu pro všechny objekty v tenantovi. Tato událost je zaznamenána v protokolech auditu Microsoft Entra jako události aktualizace uživatele před událostí Přidat ověřenou doménu .
Pokud Fabrikam.com byla odebrána z tenanta Contoso.onmicrosoft.com, před všemi událostmi aktualizovat uživatele se zobrazí událost Odebrat ověřenou doménu .
Usnesení
Pokud jste narazili na tento problém, můžete využít microsoft Entra Connect k synchronizaci dat mezi místním adresářem a Id Microsoft Entra. Tato akce zajistí, že UserPrincipalName i proxyAddresses budou v obou prostředích konzistentní.
Když se pokusíte tyto objekty přidat nebo udržovat ručně, riskujete další back-endovou operaci, která aktivuje hromadnou změnu.
Projděte si následující články a seznamte se s těmito koncepty:
Úvahy
Tato back-endová operace nezpůsobí změny určitých objektů, které:
- nemá aktivní licenci Microsoft Exchange
- mít
MSExchRemoteRecipientTypenastavené na Null - nejsou považovány za sdílený prostředek.
Sdílený prostředek je v případech, kdy CloudMSExchRecipientDisplayType obsahuje jednu z následujících hodnot:
-
MailboxUser(sdíleno) PublicFolderConferenceRoomMailboxEquipmentMailboxArbitrationMailboxRoomListTeamMailboxUserGroupMailboxSchedulingMailboxACLableMailboxUserACLableTeamMailboxUser
Aby se mezi těmito dvěma různorodými událostmi vytvořily další korelace, microsoft pracuje na aktualizaci informací o objektu Actor v protokolech auditu, aby tyto změny identifikoval jako aktivované ověřenou změnou domény. Tato akce pomáhá zjistit, kdy proběhla událost ověřené změny domény a zahájila hromadnou aktualizaci objektů v tenantovi.
Ve většině případů uživatelům nedochází ke změnám, protože jejich UserPrincipalName a proxyAddresses jsou konzistentní, a proto se snažíme zobrazovat v protokolech auditu pouze ty aktualizace, které způsobily skutečnou změnu objektu. Tato akce zabraňuje šumu v protokolech auditu a pomáhá správcům korelovat zbývající změny uživatelů s ověřenými událostmi změn domény.
Hloubková analýza
Chcete se dozvědět více o tom, co se děje na pozadí? Tady je podrobný přehled o back-endové operaci, která aktivuje změny hromadných objektů v ID Microsoft Entra. Než se pustíte do toho, přečtěte si článek o stínových atributech služby Microsoft Entra Connect Sync a seznamte se s atributy stínu.
UserPrincipalName (název uživatelského principu)
Pro uživatele jen v cloudu je vlastnost UserPrincipalName nastavená na ověřenou příponu domény. Při zpracování nekonzistentního userPrincipalName ji operace převede na výchozí příponu onmicrosoft.com, například: username@Contoso.onmicrosoft.com.
Pro synchronizované uživatele je UserPrincipalName nastavena na ověřenou příponu domény a odpovídá místní hodnotě. ShadowUserPrincipalName Při zpracování nekonzistentního UserPrincipalName se operace vrátí ke stejné hodnotě jako ShadowUserPrincipalName nebo, pokud byla přípona domény odebrána z klienta, převede ji na výchozí *.onmicrosoft.com příponu domény.
ProxyAddresses
U uživatelů, kteří jsou jenom v cloudu, konzistence znamená, že proxyAddresses odpovídá ověřené příponě domény. Při zpracování nekonzistentního proxyAddresses ji back-endová operace převede na výchozí *.onmicrosoft.com příponu domény, například: SMTP:username@Contoso.onmicrosoft.com.
Pro synchronizované uživatele znamená konzistence, že proxyAddresses odpovídají místní hodnotě proxyAddresses (to znamená ShadowProxyAddresses). Očekává se, že proxyAddresses budou synchronizované se ShadowProxyAddresses. Pokud má synchronizovaný uživatel přiřazenou licenci Exchange, musí se hodnoty cloudu a místních hodnot shodovat. Tyto hodnoty musí také odpovídat ověřené příponě domény.
V tomto scénáři operace na pozadí čistí nekonzistentní proxy adresy s neověřenou příponou domény, která je odstraněna z objektu v Microsoft Entra ID. Pokud se tato neověřená doména ověří později, backendová operace znovu zkompiluje a přidá proxyAddresses ze ShadowProxyAddresses zpět do objektu v Microsoft Entra ID.
Poznámka:
Pro synchronizované objekty je nejlepší, aby se zabránilo tomu, že logika operace back-endu vypočítá neočekávané výsledky, nastavit proxyAddresses na doménu ověřenou Microsoft Entra u lokálního objektu.