Atributos paralelos del servicio de sincronización de Microsoft Entra Connect
La mayoría de los atributos se representan del mismo modo en Microsoft Entra ID, ya que se encuentran en Active Directory local. Sin embargo, algunos atributos tienen algún tratamiento especial y el valor del atributo en Microsoft Entra ID puede ser distinto a lo que sincroniza Microsoft Entra Connect.
Introducción a los atributos paralelos
Algunos atributos tienen dos representaciones en Microsoft Entra ID. Se almacenan el valor local y un valor calculado. Estos atributos adicionales se denominan atributos paralelos. Los dos atributos más comunes donde verá este comportamiento son userPrincipalName y proxyAddress. El motor de sincronización de Microsoft Entra Connect y la sincronización en la nube exporta el valor al atributo de propiedad reemplazada y, a continuación, Microsoft Entra ID procesa este atributo para calcular el valor final. El motor de sincronización también importa valores del atributo de propiedad reemplazada, de modo que aunque el valor final calculado sea diferente, desde la perspectiva del motor de sincronización, es capaz de confirmar el valor original que se exportó. No puede ver los atributos de propiedad reemplazada mediante el Centro de administración de Microsoft Entra o con PowerShell, pero comprender este concepto le ayuda a solucionar determinados escenarios en los que el atributo tiene valores diferentes en el entorno local y en la nube.
Para comprender mejor el comportamiento, vea este ejemplo de Fabrikam:
Tienen varios sufijos UserPrincipalName (UPN) en su instancia local de Active Directory, pero solo se comprueba uno en Microsoft Entra ID.
userPrincipalName
Un usuario tiene los siguientes valores de atributo en un dominio no comprobado:
Attribute | Value |
---|---|
userPrincipalName local | lee.sperry@fabrikam.com |
shadowUserPrincipalName de Microsoft Entra | lee.sperry@fabrikam.com |
userPrincipalName de Microsoft Entra | lee.sperry@fabrikam.onmicrosoft.com |
El atributo userPrincipalName es el valor que aparece cuando se usa PowerShell.
Puesto que el valor del atributo local real se almacena en Microsoft Entra ID, al comprobar el dominio fabrikam.com, Microsoft Entra ID actualiza el atributo userPrincipalName con el valor de shadowUserPrincipalName. No es necesario sincronizar ningún cambio desde Microsoft Entra Connect o la sincronización en la nube para que se actualicen estos valores.
proxyAddresses
El mismo proceso para incluir solo dominios comprobados también se produce para proxyAddresses, pero con alguna lógica adicional. La comprobación de dominios comprobados solo se produce para los usuarios de buzón. Un usuario habilitado para correo o un contacto representa un usuario de otra organización de Exchange y puede agregar los valores de proxyAddresses en estos objetos.
Para un usuario del buzón, de forma local o en Exchange Online, aparecen únicamente los valores para los dominios comprobados. Debería ser parecido a esto:
Atributo | Value |
---|---|
proxyAddresses local | SMTP:abbie.spencer@fabrikamonline.com smtp:abbie.spencer@fabrikam.com smtp:abbie@fabrikamonline.com |
ProxyAddresses de Exchange Online | SMTP:abbie.spencer@fabrikamonline.com smtp:abbie@fabrikamonline.com SIP:abbie.spencer@fabrikamonline.com |
En este caso, smtp:abbie.spencer@fabrikam.com se quitó porque ese dominio no se ha comprobado. No obstante, Exchange también agregó SIP:abbie.spencer@fabrikamonline.com. Puede que Fabrikam no utilice Lync/Skype Empresarial local, pero Microsoft Entra ID y Exchange Online están preparados para ello.
Esta lógica para proxyAddresses se conoce como ProxyCalc. ProxyCalc se llama con cada cambio en un usuario cuando:
- El usuario obtiene un plan de servicio asignado que incluye Exchange Online, incluso si el usuario no tenía licencia para un buzón de Exchange. Por ejemplo, si al usuario se le asigna la SKU de Office E3, pero solo se selecciona el servicio SharePoint Online. Esta condición ocurre incluso si el buzón del usuario sigue siendo local.
- El atributo msExchRecipientTypeDetails tiene un valor.
- Realiza un cambio en proxyAddresses o userPrincipalName.
El proceso ProxyCalc corrige una dirección si ShadowProxyAddresses contiene un dominio no comprobado y el usuario tiene una de las siguientes propiedades configuradas.
- El usuario tiene una licencia con un plan de tipo de servicio de EXO habilitado (excepto MyAnalytics).
- El usuario tiene MSExchRemoteRecipientType establecido (no null).
- El usuario se considera un recurso compartido.
Se considera que el usuario es un recurso compartido cuando su atributo CloudMSExchRecipientDisplayType tiene uno de los siguientes valores:
Tipo para mostrar de objeto | Valor (decimal) |
---|---|
MailboxUser | 0 |
PublicFolder | 2 |
ConferenceRoomMailbox | 7 |
EquipmentMailbox | 8 |
ArbitrationMailbox | 10 |
RoomList | 15 |
TeamMailboxUser | 16 |
GroupMailbox | 17 |
SchedulingMailbox | 18 |
ACLableMailboxUser | 1073741824 |
ACLableTeamMailboxUser | 1073741840 |
Nota:
CloudMSExchRecipientDisplayType no es visible desde el lado de Microsoft Entra ID y solo se puede ver mediante el cmdlet de Exchange Online Get-Recipient.
Ejemplo:
Get-Recipient admin | fl *type*
ProxyCalc puede tardar algún tiempo en procesar un cambio en un usuario y no está sincronizado con el proceso de exportación de Microsoft Entra Connect.
Nota:
La lógica de ProxyCalc tiene algunos comportamientos adicionales para escenarios avanzados que no se documentan en este tema. Este tema se proporciona para que pueda entender el comportamiento y no tener que documentar toda la lógica interna.
Valores de atributo en cuarentena
Los atributos paralelos también se utilizan cuando hay valores de atributo duplicados. Para más información, consulte Resistencia de atributos duplicados.