Stínové atributy služby Microsoft Entra Připojení Sync
Většina atributů je reprezentována stejným způsobem jako v MICROSOFT Entra ID, jako jsou ve vašem místní Active Directory. Některé atributy ale mají zvláštní zpracování a hodnota atributu v MICROSOFT Entra ID může být jiná než to, co Microsoft Entra Připojení synchronizuje.
Úvod ke stínovým atributům
Některé atributy mají v Microsoft Entra ID dvě reprezentace. Místní i počítaná hodnota se ukládají. Tyto další atributy se nazývají stínové atributy. Mezi dva nejběžnější atributy, ve kterých vidíte toto chování, patří userPrincipalName a proxyAddress. Synchronizační modul v Microsoft Entra Připojení a cloudové synchronizaci exportuje hodnotu do stínového atributu a potom Microsoft Entra ID zpracuje tento atribut k výpočtu konečné hodnoty. Synchronizační modul také importuje hodnoty ze stínového atributu, takže i když se konečná počítaná hodnota liší od pohledu synchronizačního modulu, dokáže potvrdit původní hodnotu, která byla exportována. Stínové atributy se nezobrazují pomocí Centra pro správu Microsoft Entra ani pomocí PowerShellu, ale pochopením tohoto konceptu můžete vyřešit určité scénáře, ve kterých má atribut různé hodnoty v místním prostředí i v cloudu.
Pokud chcete lépe porozumět tomuto chování, podívejte se na tento příklad ze společnosti Fabrikam:
Ve svém místní Active Directory mají více přípon UserPrincipalName (UPN), ale v Microsoft Entra ID je ověřený pouze jeden.
userPrincipalName (Hlavní název uživatele)
Uživatel má v neověřené doméně následující hodnoty atributů:
| Atribut | Hodnota |
|---|---|
| Místní userPrincipalName | lee.sperry@fabrikam.com |
| Microsoft Entra shadowUserPrincipalName | lee.sperry@fabrikam.com |
| Microsoft Entra userPrincipalName | lee.sperry@fabrikam.onmicrosoft.com |
Atribut userPrincipalName je hodnota, kterou vidíte při použití PowerShellu.
Vzhledem k tomu, že skutečná místní hodnota atributu je uložena v Microsoft Entra ID, když ověříte fabrikam.com doménu, Microsoft Entra ID aktualizuje atribut userPrincipalName hodnotou ze shadowUserPrincipalName. Abyste mohli tyto hodnoty aktualizovat, nemusíte synchronizovat žádné změny ze služby Microsoft Entra Připojení ani synchronizace cloudu.
proxyAddresses
Stejný proces pouze pro zahrnutí ověřených domén se také vyskytuje u proxyAddresses, ale s určitou další logikou. Kontrola ověřených domén se provede jenom pro uživatele poštovní schránky. Uživatel nebo kontakt s podporou pošty představuje uživatele v jiné organizaci Exchange a k těmto objektům můžete přidat jakékoli hodnoty v proxyAddresses.
Pro uživatele poštovní schránky, ať už místně, nebo v Exchangi Online, se zobrazí jenom hodnoty pro ověřené domény. Může to vypadat takto:
| Atribut | Hodnota |
|---|---|
| místní proxyAddresses | SMTP: smtp:abbie.spencer@fabrikamonline.com smtp:abbie.spencer@fabrikam.com abbie@fabrikamonline.com |
| Exchange Online proxyAddresses | SMTP: smtp:abbie.spencer@fabrikamonline.com SIP:abbie@fabrikamonline.com abbie.spencer@fabrikamonline.com |
V tomto případě se smtp odebralabbie.spencer@fabrikam.com, protože tato doména není ověřená. Ale Exchange také přidal SIP:abbie.spencer@fabrikamonline.com. Fabrikam možná nepoužívá místní Lync nebo Skype pro firmy, ale Microsoft Entra ID a Exchange Online se na něj připraví.
Tato logika pro proxyAddresses se označuje jako ProxyCalc. Funkce ProxyCalc se vyvolá při každé změně uživatele, když:
- Uživatel získá přiřazený plán služby, který zahrnuje Exchange Online, i když uživatel nebyl licencovaný pro poštovní schránku Exchange. Pokud má uživatel například přiřazenou skladovou položku Office E3, ale vybere se jenom služba SharePoint Online. Tato podmínka platí i v případě, že je poštovní schránka uživatele stále místní.
- Atribut msExchRecipientTypeDetails má hodnotu.
- Provedete změnu proxyAddresses nebo userPrincipalName.
Proces ProxyCalc sanitizuje adresu, pokud ShadowProxyAddresses obsahuje neověřenou doménu a uživatel má nakonfigurovanou jednu z následujících vlastností.
- Uživatel má licenci s povoleným plánem typu služby EXO (s výjimkou MyAnalytics).
- Uživatel má nastavenou hodnotu MSExchRemoteRecipientType (ne null).
- Uživatel se považuje za sdílený prostředek.
Uživatel se považuje za sdílený prostředek, pokud má atribut CloudMSExchRecipientDisplayType jednu z následujících hodnot:
| Typ zobrazení objektu | Hodnota (decimální): |
|---|---|
| Poštovní schránka | 0 |
| Veřejná složka | 2 |
| ConferenceRoomMailbox | 7 |
| EquipmentMailbox | 8 |
| ArbitrationMailbox | 10 |
| Seznam místností | 15 |
| TeamMailboxUser | 16 |
| GroupMailbox | 17 |
| SchedulingMailbox | 18 |
| ACLableMailboxUser | 1073741824 |
| ACLableTeamMailboxUser | 1073741840 |
Poznámka:
CloudMSExchRecipientDisplayType není viditelný na straně ID Microsoft Entra a dá se zobrazit jenom pomocí rutiny Get-Recipient exchange Online.
Příklad:
Get-Recipient admin | fl *type*
ProxyCalc může nějakou dobu trvat, než zpracuje změnu uživatele a není synchronní s procesem exportu microsoft Entra Připojení.
Poznámka:
Logika ProxyCalc má několik dalších chování pro pokročilé scénáře, které nejsou zdokumentované v tomto tématu. Toto téma je k dispozici, abyste porozuměli chování a nezdokumentujte veškerou interní logiku.
Hodnoty atributů v karanténě
Stínové atributy se používají také v případech, kdy existují duplicitní hodnoty atributů. Další informace najdete v tématu Odolnost duplicitních atributů.