Inzicht in bulkgebruikersupdates tijdens wijzigingen in geverifieerde domeinen

In dit artikel wordt een veelvoorkomend scenario beschreven waarin in de auditlogboeken veel UserPrincipalName updates worden weergegeven die worden geactiveerd door een geverifieerde domeinwijziging. In dit artikel worden de oorzaken en overwegingen voor updates van UserManagement in de auditlogboeken uitgelegd die optreden tijdens wijzigingen in geverifieerde domeinen. In het artikel wordt dieper ingegaan op de back-endbewerking waarmee massaobjectwijzigingen in Microsoft Entra-id worden geactiveerd.

Symptomen

In de auditlogboeken van Microsoft Entra worden meerdere gebruikersupdates weergegeven die zijn opgetreden in mijn Microsoft Entra-tenant. De actorinformatie voor deze gebeurtenissen is leeg of toont N/B.

De bulkupdates omvatten het wijzigen van het domein voor het UserPrincipalName van het voorkeursdomein van de organisatie naar het standaarddomeinachtervoegsel *.onmicrosoft.com.

Voorbeeld van details van auditlogboek

Activiteitsdatum (UTC): 2022-01-27 07:44:05

Activiteit: Gebruiker bijwerken

Actortype: Overig

Actor UPN: N.B.

Status: geslaagd

Categorie: UserManagement

Service: Core Directory

Doel-id: aaaaaaaaa-bbbb-0000-11111-bbbbbbbbbbbbb

Doelnaam: user@contoso.com

Doeltype: Gebruiker

Zoek in de volledige details van de vermelding van het auditlogboek naar de modifiedProperties sectie. In deze sectie ziet u de wijzigingen die zijn aangebracht in het gebruikersobject. De oldValue velden en newValue velden geven de wijziging van het domein weer.

"modifiedProperties":
  "displayName": "UserPrincipalName",
  "oldValue": "[\"user@contoso.onmicrosoft.com\"]",
  "newValue": "[\"user@contoso.com\"]"

Oorzaken

Een veelvoorkomende reden achter wijzigingen in massaobjecten is het gevolg van een niet-synchrone back-endbewerking. Deze bewerking bepaalt de juiste UserPrincipalName en proxyAddresses die worden bijgewerkt in Microsoft Entra-gebruikers, -groepen of -contactpersonen.

Het doel van deze back-endbewerking zorgt ervoor dat UserPrincipalName en proxyAddresses op elk gewenst moment consistent zijn in Microsoft Entra ID. Een expliciete wijziging, zoals een geverifieerde domeinwijziging, activeert deze bewerking.

Als u bijvoorbeeld een geverifieerd domein toevoegt Fabrikam.com aan uw Contoso.onmicrosoft.com tenant, wordt met deze actie de back-endbewerking voor alle objecten in de tenant geactiveerd. Deze gebeurtenis wordt vastgelegd in de Auditlogboeken van Microsoft Entra als Update User-gebeurtenissen voorafgegaan door een geverifieerde domeingebeurtenis toevoegen.

Als Fabrikam.com is verwijderd uit de Contoso.onmicrosoft.com-tenant, worden alle Update User gebeurtenissen voorafgegaan door een verwijder geverifieerde domein gebeurtenis.

Resolutie

Als u dit probleem hebt aangetroffen, kunt u mogelijk profiteren van het gebruik van Microsoft Entra Connect om gegevens te synchroniseren tussen uw on-premises adreslijst en Microsoft Entra-id. Deze actie zorgt ervoor dat de UserPrincipalName en proxyAddresses zijn consistent in beide omgevingen.

Wanneer u deze objecten handmatig probeert toe te voegen of te onderhouden, loopt u het risico dat een andere back-endbewerking een bulkwijziging activeert.

Bekijk de volgende artikelen om vertrouwd te raken met deze concepten:

• Microsoft Entra UserPrincipalName-overzicht

• Hoe het kenmerk proxyAddresses wordt ingevuld in Microsoft Entra-id

Overwegingen

Deze back-endbewerking veroorzaakt geen wijzigingen in bepaalde objecten die:

• geen actieve Microsoft Exchange-licentie hebben
• hebben MSExchRemoteRecipientType ingesteld op Null
• worden niet beschouwd als een gedeelde resource

Een gedeelde resource is wanneer CloudMSExchRecipientDisplayType deze een van de volgende waarden bevat:

• MailboxUser (gedeeld)
• PublicFolder
• ConferenceRoomMailbox
• EquipmentMailbox
• ArbitrationMailbox
• RoomList
• TeamMailboxUser
• GroupMailbox
• SchedulingMailbox
• ACLableMailboxUser
• ACLableTeamMailboxUser

Om meer correlatie te bouwen tussen deze twee verschillende gebeurtenissen, werkt Microsoft aan het bijwerken van de actorgegevens in de auditlogboeken om deze wijzigingen te identificeren zoals geactiveerd door een geverifieerde domeinwijziging. Met deze actie kunt u nagaan wanneer de gebeurtenis van de verandering van het geverifieerde domein heeft plaatsgevonden en de objecten in de tenant massaal zijn bijgewerkt.

In de meeste gevallen zijn er geen wijzigingen voor gebruikers omdat hun UserPrincipalName en proxyAddresses consistent zijn, dus we werken eraan om alleen die updates weer te geven in de controlelogboeken die daadwerkelijk tot een wijziging in het object hebben geleid. Met deze actie voorkomt u ruis in de auditlogboeken en kunnen beheerders de resterende wijzigingen van gebruikers correleren met geverifieerde domeinwijzigingsgebeurtenissen.

Deep Dive

Wilt u meer weten over wat er achter de schermen gebeurt? Hier volgt een uitgebreide uitleg over de back-endbewerking waarmee massaobjectwijzigingen in Microsoft Entra-id worden geactiveerd. Voordat u aan de slag gaat, raadpleegt u het artikel over schaduwkenmerken van de Microsoft Entra Connect Sync-service om inzicht te hebben in de schaduwkenmerken.

UserPrincipalName

Voor gebruikers met alleen de cloud is userPrincipalName ingesteld op een geverifieerd domeinachtervoegsel. Wanneer een inconsistente UserPrincipalName wordt verwerkt, wordt deze door de bewerking geconverteerd naar het standaardachtervoegsel onmicrosoft.com, bijvoorbeeld: username@Contoso.onmicrosoft.com.

Voor gesynchroniseerde gebruikers wordt userPrincipalName ingesteld op een geverifieerd domeinachtervoegsel en komt deze overeen met de on-premises waarde. ShadowUserPrincipalName Wanneer een inconsistente UserPrincipalName wordt verwerkt, wordt de bewerking teruggezet naar dezelfde waarde als de ShadowUserPrincipalName of, in het geval dat het domeinachtervoegsel uit de tenant is verwijderd, converteert deze naar het standaarddomeinachtervoegsel *.onmicrosoft.com .

ProxyAddresses

Voor cloudgebruikers betekent consistentie dat het proxyAddresses overeenkomt met een geverifieerd domeinachtervoegsel. Wanneer een inconsistente proxyAddresses wordt verwerkt, converteert de back-endbewerking deze naar het standaarddomeinachtervoegsel *.onmicrosoft.com , bijvoorbeeld: SMTP:username@Contoso.onmicrosoft.com.

Voor gesynchroniseerde gebruikers betekent consistentie dat de proxyAddresses overeenkomen met de on-premises proxyAddresses-waarde (dat wil zeggen ShadowProxyAddresses). De proxyAddresses worden naar verwachting gesynchroniseerd met ShadowProxyAddresses. Als aan de gesynchroniseerde gebruiker een Exchange-licentie is toegewezen, moeten de cloud- en on-premises waarden overeenkomen. Deze waarden moeten ook overeenkomen met een geverifieerd domeinachtervoegsel.

In dit scenario worden de inconsistente proxy-adressen met een niet-geverifieerd domeinachtervoegsel opgeschoond en verwijderd uit het object in Microsoft Entra ID door een bewerking aan de achterkant. Als dat ongeverifieerde domein later wordt geverifieerd, herberekent de backendbewerking en voegt de proxyAddresses van ShadowProxyAddresses weer toe aan het object in Microsoft Entra ID.

Notitie

Voor gesynchroniseerde objecten kunt u voorkomen dat de logica van de back-endbewerking onverwachte resultaten berekent. Het is raadzaam proxyAddresses in te stellen op een door Microsoft Entra geverifieerd domein op het on-premises object.

Verwante inhoud

Schaduwkenmerken van de Microsoft Entra Connect Sync-service