Attributi shadow del servizio di Sincronizzazione di Microsoft Entra Connect
La maggior parte degli attributi è rappresentata nello stesso modo in Microsoft Entra ID come in Active Directory locale. Tuttavia, alcuni attributi hanno una gestione speciale e il valore dell'attributo in Microsoft Entra ID potrebbe essere diverso da quello che Microsoft Entra Connect sincronizza.
Introduzione agli attributi ombra
Alcuni attributi hanno due rappresentazioni in Microsoft Entra ID. Vengono archiviati sia il valore locale che un valore calcolato. Questi attributi aggiuntivi sono denominati attributi ombra. I due attributi più comuni in cui viene visualizzato questo comportamento sono userPrincipalName e proxyAddress. Il motore di sincronizzazione in Microsoft Entra Connect e la sincronizzazione cloud esporta il valore nell'attributo shadow e quindi Microsoft Entra ID elabora questo attributo per calcolare il valore finale. Il motore di sincronizzazione importa anche i valori dall'attributo shadow, quindi anche se il valore calcolato finale è diverso, dal punto di vista del motore di sincronizzazione, è in grado di confermare il valore originale esportato. Non è possibile visualizzare gli attributi shadow usando l'interfaccia di amministrazione di Microsoft Entra o con PowerShell, ma la comprensione di questo concetto consente di risolvere determinati scenari in cui l'attributo ha valori diversi in locale e nel cloud.
Per comprendere meglio il comportamento, esaminare questo esempio da Fabrikam:
Hanno più suffissi UserPrincipalName (UPN) nell'Active Directory locale, ma ne viene verificato solo uno in Microsoft Entra ID.
nomeUtentePrincipale
Un utente ha i valori di attributo seguenti in un dominio non verificato:
| Attributo | Valore |
|---|---|
| userPrincipalName locale in loco | lee.sperry@fabrikam.com |
| Microsoft Entra shadowUserPrincipalName | lee.sperry@fabrikam.com |
| NomePrincipaleUtente Microsoft Entra | lee.sperry@fabrikam.onmicrosoft.com |
L'attributo userPrincipalName è il valore visualizzato quando si usa PowerShell.
Poiché il valore dell'attributo locale reale viene archiviato in Microsoft Entra ID, quando si verifica il dominio di fabrikam.com, Microsoft Entra ID aggiorna l'attributo userPrincipalName con il valore di shadowUserPrincipalName. Non è necessario sincronizzare le modifiche apportate dalla sincronizzazione Microsoft Entra Connect o cloud per aggiornare questi valori.
proxyAddresses
Lo stesso processo per includere solo i domini verificati si verifica anche per proxyAddresses, ma con una logica aggiuntiva. Il controllo dei domini verificati si verifica solo per gli utenti delle cassette postali. Un utente o un contatto abilitato alla posta elettronica rappresentano un utente di un'altra organizzazione di Exchange ed è possibile aggiungere qualsiasi valore in proxyAddresses a questi oggetti.
Per un utente della cassetta postale, in locale o in Exchange Online, vengono visualizzati solo i valori per i domini verificati. Potrebbe essere simile al seguente:
| Attributo | Valore |
|---|---|
| proxyAddresses in sede | SMTP:abbie.spencer@fabrikamonline.com smtp:abbie.spencer@fabrikam.com smtp:abbie@fabrikamonline.com |
| ProxyAddresses di Exchange Online | SMTP:abbie.spencer@fabrikamonline.com smtp:abbie@fabrikamonline.com SIP:abbie.spencer@fabrikamonline.com |
In questo caso, smtp:abbie.spencer@fabrikam.com è stato rimosso perché tale dominio non è verificato. Exchange ha anche aggiunto SIP:abbie.spencer@fabrikamonline.com. Fabrikam potrebbe non usare Lync/Skype for Business in locale, ma Microsoft Entra ID ed Exchange Online si preparano per questo.
Questa logica per proxyAddresses viene definita ProxyCalc. ProxyCalc viene richiamato con ogni modifica di un utente quando:
- L'utente riceve un piano di servizio assegnato che include Exchange Online, anche se non possiede la licenza per una cassetta postale di Exchange. Ad esempio, se all'utente viene assegnato lo SKU di Office E3, ma è selezionato solo il servizio SharePoint Online. Questa condizione è vera anche se la cassetta postale dell'utente è ancora locale.
- L'attributo msExchRecipientTypeDetails ha un valore.
- Apporti una modifica a proxyAddresses o userPrincipalName.
Il processo ProxyCalc sanifica un indirizzo se ShadowProxyAddresses contiene un dominio non verificato e l'utente ha una delle proprietà seguenti configurate.
- L'utente ha una licenza con un piano di tipo di servizio EXO abilitato (escluso MyAnalytics)
- L'utente ha impostato MSExchRemoteRecipientType (non nullo)
- L'utente è considerato una risorsa condivisa
L'utente viene considerato una risorsa condivisa quando l'attributo CloudMSExchRecipientDisplayType ha uno dei valori seguenti:
| Tipo di visualizzazione oggetto | Valore (decimale) |
|---|---|
| MailboxUser | 0 |
| PublicFolder | 2 |
| ConferenceRoomMailbox | 7 |
| EquipmentMailbox | 8 |
| ArbitrationMailbox | 10 |
| RoomList | 15 |
| TeamMailboxUser | 16 |
| GroupMailbox | 17 |
| Casella di Posta per la Pianificazione | 18 |
| ACLableMailboxUser | 1073741824 |
| ACLableTeamMailboxUser | 1073741840 |
Nota
CloudMSExchRecipientDisplayType non è visibile nel contesto di Microsoft Entra ID e può essere visualizzato solo utilizzando il cmdlet di Exchange Online Get-Recipient.
Esempio:
Get-Recipient admin | fl *type*
ProxyCalc potrebbe richiedere del tempo per elaborare una modifica in un utente e non è sincrono con il processo di esportazione di Microsoft Entra Connect.
Nota
La logica ProxyCalc include alcuni comportamenti aggiuntivi per gli scenari avanzati non documentati in questo argomento. Questo argomento viene fornito per comprendere il comportamento e non documentare tutta la logica interna.
Valori degli attributi in quarantena
Gli attributi shadow vengono usati anche quando sono presenti valori di attributo duplicati. Per ulteriori informazioni, vedere la resilienza degli attributi duplicati .