Atrybuty w tle usługi Microsoft Entra Połączenie Sync
Większość atrybutów jest reprezentowana w taki sam sposób, jak w identyfikatorze Entra firmy Microsoft, ponieważ znajdują się one w lokalna usługa Active Directory. Jednak niektóre atrybuty mają specjalną obsługę, a wartość atrybutu w identyfikatorze Entra firmy Microsoft może się różnić od tego, co firma Microsoft Entra Połączenie synchronizuje.
Wprowadzenie atrybutów cienia
Niektóre atrybuty mają dwie reprezentacje w identyfikatorze Entra firmy Microsoft. Przechowywane są zarówno wartość lokalna, jak i wartość obliczeniowa. Te dodatkowe atrybuty są nazywane atrybutami cienia. Dwa najbardziej typowe atrybuty, w których widzisz to zachowanie, to userPrincipalName i proxyAddress. Aparat synchronizacji w usłudze Microsoft Entra Połączenie i synchronizacji w chmurze eksportuje wartość do atrybutu w tle, a następnie identyfikator Entra firmy Microsoft przetwarza ten atrybut w celu obliczenia końcowej wartości. Aparat synchronizacji importuje również wartości z atrybutu w tle, więc nawet jeśli ostateczna obliczona wartość jest inna, z perspektywy aparatu synchronizacji, może potwierdzić oryginalną wartość wyeksportowaną. Atrybuty w tle nie są widoczne przy użyciu centrum administracyjnego firmy Microsoft Entra lub programu PowerShell, ale zrozumienie tej koncepcji ułatwia rozwiązywanie problemów z niektórymi scenariuszami, w których atrybut ma różne wartości lokalne i w chmurze.
Aby lepiej zrozumieć zachowanie, zapoznaj się z tym przykładem firmy Fabrikam:
Mają wiele sufiksów UserPrincipalName (UPN) w lokalna usługa Active Directory, ale tylko jeden jest weryfikowany w identyfikatorze Entra firmy Microsoft.
userPrincipalName
Użytkownik ma następujące wartości atrybutów w domenie niezweryfikowanej:
| Atrybut | Wartość |
|---|---|
| lokalna nazwa użytkownikaPrincipalName | lee.sperry@fabrikam.com |
| Microsoft Entra shadowUserPrincipalName | lee.sperry@fabrikam.com |
| Microsoft Entra userPrincipalName | lee.sperry@fabrikam.onmicrosoft.com |
Atrybut userPrincipalName jest wartością widoczną podczas korzystania z programu PowerShell.
Ponieważ rzeczywista wartość atrybutu lokalnego jest przechowywana w identyfikatorze Entra firmy Microsoft, podczas weryfikowania domeny fabrikam.com identyfikator Entra firmy Microsoft aktualizuje atrybut userPrincipalName z wartością shadowUserPrincipalName. Nie musisz synchronizować żadnych zmian z witryny Microsoft Entra Połączenie ani synchronizacji w chmurze, aby te wartości były aktualizowane.
proxyAddresses
Ten sam proces dotyczy tylko zweryfikowanych domen dla serwerów proxyAddresses, ale z dodatkową logiką. Sprawdzanie zweryfikowanych domen odbywa się tylko dla użytkowników skrzynki pocztowej. Użytkownik z obsługą poczty lub kontakt reprezentują użytkownika w innej organizacji programu Exchange i można dodać dowolne wartości w pliku proxyAddresses do tych obiektów.
W przypadku użytkownika skrzynki pocztowej lokalnie lub w usłudze Exchange Online są wyświetlane tylko wartości zweryfikowanych domen. Może to wyglądać następująco:
| Atrybut | Wartość |
|---|---|
| lokalne adresy proxy | SMTP: smtp:abbie.spencer@fabrikamonline.com abbie.spencer@fabrikam.com smtp:abbie@fabrikamonline.com |
| Adresy proxy usługi Exchange Online | SMTP: smtp:abbie.spencer@fabrikamonline.com abbie@fabrikamonline.com SIP:abbie.spencer@fabrikamonline.com |
W takim przypadku smtp:abbie.spencer@fabrikam.com został usunięty, ponieważ ta domena nie jest weryfikowana. Ale Exchange dodał również SIP:abbie.spencer@fabrikamonline.com. Firma Fabrikam może nie używać lokalnego programu Lync/Skype dla firm, ale przygotuje się do niego microsoft Entra ID i Exchange Online.
Ta logika dla proxyAddresses jest określana jako ProxyCalc. Funkcja ProxyCalc jest wywoływana z każdą zmianą w użytkowniku, gdy:
- Użytkownik otrzymuje przypisany plan usługi obejmujący usługę Exchange Online, nawet jeśli użytkownik nie ma licencji na skrzynkę pocztową programu Exchange. Jeśli na przykład użytkownik ma przypisaną jednostkę SKU usługi Office E3, ale wybrano tylko usługę SharePoint Online. Ten warunek jest spełniony, nawet jeśli skrzynka pocztowa użytkownika jest nadal lokalna.
- Atrybut msExchRecipientTypeDetails ma wartość.
- Wprowadzisz zmianę w polu proxyAddresses lub userPrincipalName.
Proces proxyCalc oczyszcza adres, jeśli element ShadowProxyAddresses zawiera niezweryfikowaną domenę, a użytkownik ma jedną z następujących skonfigurowanych właściwości.
- Użytkownik ma licencję z włączonym planem typu usługi EXO (z wyłączeniem usługi MyAnalytics)
- Użytkownik ma zestaw MSExchRemoteRecipientType (nie ma wartości null)
- Użytkownik jest uważany za zasób udostępniony
Użytkownik jest uważany za zasób udostępniony, gdy jego atrybut CloudMSExchRecipientDisplayType ma jedną z następujących wartości:
| Typ wyświetlania obiektu | Wartość (dziesiętna) |
|---|---|
| Skrzynka pocztowaUżytkownik | 0 |
| PublicFolder | 2 |
| ConferenceRoomMailbox | 7 |
| EquipmentMailbox | 8 |
| ArbitrationMailbox | 10 |
| Lista pokoju | 15 |
| TeamMailboxUser | 16 |
| GroupMailbox | 17 |
| SchedulingMailbox | 18 |
| ACLableMailboxUser | 1073741824 |
| ACLableTeamMailboxUser | 1073741840 |
Uwaga
Parametr CloudMSExchRecipientDisplayType nie jest widoczny po stronie identyfikatora Entra firmy Microsoft i można go wyświetlić tylko przy użyciu polecenia cmdlet Get-Recipient usługi Exchange Online.
Przykład:
Get-Recipient admin | fl *type*
Proces proxyCalc może zająć trochę czasu, aby przetworzyć zmianę użytkownika i nie jest synchroniczny z procesem eksportowania Połączenie firmy Microsoft.
Uwaga
Logika proxyCalc ma pewne dodatkowe zachowania dla zaawansowanych scenariuszy, które nie zostały udokumentowane w tym temacie. Ten temat jest udostępniany, aby zrozumieć zachowanie i nie udokumentować całej logiki wewnętrznej.
Wartości atrybutów poddane kwarantannie
Atrybuty w tle są również używane, gdy istnieją zduplikowane wartości atrybutów. Aby uzyskać więcej informacji, zobacz odporność zduplikowanych atrybutów.
Zobacz też
- Microsoft Entra Połączenie Sync
- Integrowanie tożsamości lokalnych z identyfikatorem Entra firmy Microsoft.