Sdílet prostřednictvím


Principy hromadných aktualizací uživatelů během ověřených změn domény

Tento článek popisuje běžný scénář, kdy protokoly auditu zobrazují mnoho UserPrincipalName aktualizací aktivovaných ověřenou změnou domény. Tento článek vysvětluje příčiny a aspekty aktualizací UserManagement v protokolech auditu, ke kterým dochází během ověřených změn domény. Tento článek obsahuje podrobné informace o back-endové operaci, která aktivuje změny hromadných objektů v ID Microsoft Entra.

Příznaky

Protokoly auditu Microsoft Entra ukazují, že v mém tenantovi Microsoft Entra došlo k více aktualizacím uživatelů. Informace objektu Actor pro tyto události jsou prázdné nebo zobrazují není k dispozici.

Hromadné aktualizace zahrnují změnu domény pro UserPrincipalName změnu z upřednostňované domény organizace na výchozí *.onmicrosoft.com příponu domény.

Ukázkové podrobnosti protokolu auditu

Datum aktivity (UTC): 2022-01-27 07:44:05

Aktivita: Aktualizace uživatele

Typ objektu actor: Jiné

Hlavní název uživatele (UPN) objektu actor: N/A

Stav: úspěch

Kategorie: UserManagement

Služba: Základní adresář

ID cíle: aaaaa-bbbb-0000-11111-bbbbbbbbb

Cílový název: user@contoso.com

Typ cíle: Uživatel

V úplných podrobnostech položky protokolu auditu vyhledejte modifiedProperties oddíl. Tato část ukazuje změny provedené v objektu uživatele. V oldValue polích se newValue zobrazuje změna domény.

"modifiedProperties":
  "displayName": "UserPrincipalName",
  "oldValue": "[\"user@contoso.onmicrosoft.com\"]",
  "newValue": "[\"user@contoso.com\"]"

Příčiny

Jedním z běžných důvodů změny hromadných objektů je nesynchronní back-endová operace. Tato operace určuje vhodné UserPrincipalName a proxyAddresses aktualizované v uživatelích, skupinách nebo kontaktech Microsoft Entra.

Účelem této back-endové operace je zajistit, aby userPrincipalName a proxyAddresses byly v Microsoft Entra ID vždy konzistentní. Tato operace aktivuje explicitní změnu, například ověřenou změnu domény.

Pokud například přidáte ověřenou doménu Fabrikam.com do tenanta Contoso.onmicrosoft.com, tato akce aktivuje operaci back-endu pro všechny objekty v tenantovi. Tato událost je zaznamenána v protokolech auditu Microsoft Entra jako události aktualizace uživatele před událostí Přidat ověřenou doménu .

Pokud Fabrikam.com byla odebrána z tenanta Contoso.onmicrosoft.com, před všemi událostmi aktualizovat uživatele se zobrazí událost Odebrat ověřenou doménu .

Rozlišení

Pokud jste narazili na tento problém, můžete využít microsoft Entra Connect k synchronizaci dat mezi místním adresářem a Id Microsoft Entra. Tato akce zajistí, že v obou prostředích budou UserPrincipalName konzistentní a proxyAddresses konzistentní.

Když se pokusíte tyto objekty přidat nebo udržovat ručně, riskujete další back-endovou operaci, která aktivuje hromadnou změnu.

Projděte si následující články a seznamte se s těmito koncepty:

Důležité informace

Tato back-endová operace nezpůsobí změny určitých objektů, které:

  • nemá aktivní licenci Microsoft Exchange
  • nastavená MSExchRemoteRecipientType na hodnotu Null
  • nejsou považovány za sdílený prostředek.

Sdílený prostředek je v případech, kdy CloudMSExchRecipientDisplayType obsahuje jednu z následujících hodnot:

  • MailboxUser (sdíleno)
  • PublicFolder
  • ConferenceRoomMailbox
  • EquipmentMailbox
  • ArbitrationMailbox
  • RoomList
  • TeamMailboxUser
  • GroupMailbox
  • SchedulingMailbox
  • ACLableMailboxUser
  • ACLableTeamMailboxUser

Aby se mezi těmito dvěma různorodými událostmi vytvořily další korelace, microsoft pracuje na aktualizaci informací o objektu Actor v protokolech auditu, aby tyto změny identifikoval jako aktivované ověřenou změnou domény. Tato akce pomáhá zkontrolovat, kdy proběhla ověřená událost změny domény, a začala hromadně aktualizovat objekty v tenantovi.

Ve většiněpřípadůchm UserPrincipalName proxyAddresses uživatelům se ve většině případů neprovádějí žádné změny, takže pracujeme jenom v protokolech auditu, které způsobily skutečnou změnu objektu. Tato akce zabraňuje šumu v protokolech auditu a pomáhá správcům korelovat zbývající změny uživatelů s ověřenými událostmi změn domény.

Podrobně

Chcete se dozvědět více o tom, co se děje na pozadí? Tady je podrobný přehled o back-endové operaci, která aktivuje změny hromadných objektů v ID Microsoft Entra. Než se pustíte do toho, přečtěte si článek o stínových atributech služby Microsoft Entra Connect Sync a seznamte se s atributy stínu.

UserPrincipalName

Pro uživatele jen v cloudu je vlastnost UserPrincipalName nastavená na ověřenou příponu domény. Při zpracování nekonzistentního userPrincipalName ji operace převede na výchozí příponu onmicrosoft.com, například: username@Contoso.onmicrosoft.com.

Pro synchronizované uživatele je UserPrincipalName nastavena na ověřenou příponu domény a odpovídá místní hodnotě. ShadowUserPrincipalName Při zpracování nekonzistentního userPrincipalName se operace vrátí ke stejné hodnotě jako ShadowUserPrincipalName nebo v případě odebrání přípony domény z tenanta ji převede na výchozí *.onmicrosoft.com příponu domény.

ProxyAddresses

U uživatelů, kteří jsou jenom v cloudu, konzistence znamená, že proxyAddresses odpovídá ověřené příponě domény. Při zpracování nekonzistentního proxyAddresses ji back-endová operace převede na výchozí *.onmicrosoft.com příponu domény, například: SMTP:username@Contoso.onmicrosoft.com.

Pro synchronizované uživatele konzistence znamená, že proxyAddresses odpovídá místní hodnotě proxyAddresses (to znamená ShadowProxyAddresses). Očekává se, že proxyAddresses budou synchronizované se StínProxyAddresses. Pokud má synchronizovaný uživatel přiřazenou licenci Exchange, musí se hodnoty cloudu a místních hodnot shodovat. Tyto hodnoty musí také odpovídat ověřené příponě domény.

V tomto scénáři operace back-endu sanitizuje nekonzistentní proxyAddresses s neověřenou příponou domény a je odebrán z objektu v Microsoft Entra ID. Pokud se tato neověřená doména ověří později, back-endová operace znovu zkompiuje a přidá proxyAddresses z ShadowProxyAddresses zpět do objektu v Microsoft Entra ID.

Poznámka:

Aby se zabránilo výpočtu neočekávaných výsledků logiky operace back-endu, je nejlepší nastavit proxyAddresses na doménu ověřenou Microsoft Entra v místním objektu.

Další kroky

Stínové atributy služby Microsoft Entra Connect Sync