Partilhar via


Noções básicas sobre atualizações de usuários em massa durante alterações de domínio verificadas

Este artigo descreve um cenário comum em que os logs de auditoria exibem muitas UserPrincipalName atualizações acionadas por uma alteração de domínio verificada. Este artigo explica as causas e considerações para atualizações do UserManagement nos logs de auditoria que ocorrem durante as alterações de domínio verificadas. O artigo fornece um mergulho profundo na operação de back-end que dispara alterações de objeto em massa no ID do Microsoft Entra.

Sintomas

Os logs de auditoria do Microsoft Entra mostram que várias atualizações de usuário ocorreram no meu locatário do Microsoft Entra. As informações do Ator para esses eventos estão vazias ou mostram N/A.

As atualizações em massa envolvem a UserPrincipalName alteração do domínio alterado do domínio preferencial da organização para o sufixo de domínio padrão *.onmicrosoft.com .

Exemplos de detalhes do log de auditoria

Data da atividade (UTC): 2022-01-27 07:44:05

Atividade: Atualizar usuário

Tipo de ator: Outro

Ator UPN: N/A

Estado: sucesso

Categoria: UserManagement

Serviço: Core Directory

ID alvo: aaaaaa-bbbb-0000-11111-bbbbbbbbbbbbb

Nome do destino: user@contoso.com

Tipo de destino: Usuário

Dentro dos detalhes completos da entrada do log de auditoria, procure a modifiedProperties seção . Esta seção mostra as alterações feitas no objeto de usuário. Os oldValue campos e newValue mostram a alteração do domínio.

"modifiedProperties":
  "displayName": "UserPrincipalName",
  "oldValue": "[\"user@contoso.onmicrosoft.com\"]",
  "newValue": "[\"user@contoso.com\"]"

Causas

Uma razão comum por trás das alterações de objeto em massa é devido a uma operação de back-end não síncrona. Esta operação determina os apropriados UserPrincipalName e proxyAddresses que são atualizados em usuários, grupos ou contatos do Microsoft Entra.

A finalidade dessa operação de back-end garante que UserPrincipalName e proxyAddresses sejam consistentes no Microsoft Entra ID a qualquer momento. Uma alteração explícita, como uma alteração de domínio verificada, aciona essa operação.

Por exemplo, se você adicionar um Fabrikam.com de domínio verificado ao locatário Contoso.onmicrosoft.com, essa ação acionará a operação de back-end em todos os objetos no locatário. Esse evento é capturado nos logs de auditoria do Microsoft Entra como eventos Update User precedidos por um evento Add verified domain .

Se Fabrikam.com foi removido do locatário Contoso.onmicrosoft.com, todos os eventos Atualizar Usuário serão precedidos por um evento Remover domínio verificado.

Resolução

Se você encontrou esse problema, você pode se beneficiar do uso do Microsoft Entra Connect para sincronizar dados entre seu diretório local e o Microsoft Entra ID. Esta ação garante que o UserPrincipalName e proxyAddresses são consistentes em ambos os ambientes.

Quando você tenta adicionar ou manter manualmente esses objetos, corre o risco de outra operação de back-end disparar uma alteração em massa.

Analise os seguintes artigos para se familiarizar com esses conceitos:

Considerações

Essa operação de back-end não causa alterações em determinados objetos que:

  • não tem uma licença ativa do Microsoft Exchange
  • definiram MSExchRemoteRecipientType como Nulo
  • não são considerados um recurso compartilhado

Um recurso compartilhado é quando CloudMSExchRecipientDisplayType contém um dos seguintes valores:

  • MailboxUser (partilhado)
  • PublicFolder
  • ConferenceRoomMailbox
  • EquipmentMailbox
  • ArbitrationMailbox
  • RoomList
  • TeamMailboxUser
  • GroupMailbox
  • SchedulingMailbox
  • ACLableMailboxUser
  • ACLableTeamMailboxUser

Para criar mais correlação entre esses dois eventos díspares, a Microsoft está trabalhando na atualização das informações do Ator nos logs de auditoria para identificar essas alterações como acionadas por uma alteração de domínio verificada. Essa ação ajuda a verificar quando o evento de alteração de domínio verificado ocorreu e começou a atualizar em massa os objetos no locatário.

Na maioria dos casos, não há alterações nos usuários como suas UserPrincipalName e proxyAddresses são consistentes, portanto, estamos trabalhando para exibir apenas nos logs de auditoria as atualizações que causaram uma alteração real no objeto. Essa ação evita o ruído nos logs de auditoria e ajuda os administradores a correlacionar as alterações de usuário restantes com eventos de alteração de domínio verificados.

Aprofundamento

Quer saber mais sobre o que está acontecendo nos bastidores? Aqui está um mergulho profundo na operação de back-end que dispara alterações de objeto em massa no Microsoft Entra ID. Antes de mergulhar, confira o artigo Atributos de sombra do serviço Microsoft Entra Connect Sync para entender os atributos de sombra.

UserPrincipalName

Para usuários somente na nuvem, o UserPrincipalName é definido como um sufixo de domínio verificado. Quando um UserPrincipalName inconsistente é processado, a operação o converte no sufixo onmicrosoft.com padrão, por exemplo: username@Contoso.onmicrosoft.com.

Para usuários sincronizados, o UserPrincipalName é definido como um sufixo de domínio verificado e corresponde ao valor local, ShadowUserPrincipalName. Quando um UserPrincipalName inconsistente é processado, a operação reverte para o mesmo valor que o ShadowUserPrincipalName ou, no caso de o sufixo de domínio ter sido removido do locatário, converte-o no sufixo de domínio padrão *.onmicrosoft.com .

ProxyAddresses

Para usuários somente na nuvem, consistência significa que a correspondência é um sufixo proxyAddresses de domínio verificado. Quando um proxyAddresses inconsistente é processado, a operação de back-end o converte no sufixo de domínio padrão *.onmicrosoft.com , por exemplo: SMTP:username@Contoso.onmicrosoft.com.

Para usuários sincronizados, consistência significa que os proxyAddresses correspondem ao valor proxyAddresses local (ou seja, ShadowProxyAddresses). Espera-se que os proxyAddresses estejam em sincronia com ShadowProxyAddresses. Se o usuário sincronizado tiver uma licença do Exchange atribuída, os valores na nuvem e no local deverão corresponder. Esses valores também devem corresponder a um sufixo de domínio verificado.

Nesse cenário, a operação de back-end limpa os proxyAddresses inconsistentes com um sufixo de domínio não verificado e é removida do objeto no Microsoft Entra ID. Se esse domínio não verificado for verificado posteriormente, a operação de back-end recalculará e adicionará os proxyAddresses de ShadowProxyAddresses de volta ao objeto no ID do Microsoft Entra.

Nota

Para objetos sincronizados, para evitar que a lógica de operação de back-end calcule resultados inesperados, é melhor definir proxyAddresses como um domínio verificado do Microsoft Entra no objeto local.

Passos Seguintes

Atributos de sombra do serviço Microsoft Entra Connect Sync