Атрибуты тени службы синхронизации Microsoft Entra Подключение
Большинство атрибутов представлены таким же образом в идентификаторе Microsoft Entra, что и в локальная служба Active Directory. Но некоторые атрибуты имеют некоторую специальную обработку, а значение атрибута в идентификаторе Microsoft Entra может отличаться от того, что microsoft Entra Подключение синхронизирует.
Общие сведения о теневых атрибутах
Некоторые атрибуты имеют два представления в идентификаторе Microsoft Entra. Для них сохраняются локальное и вычисляемое значения. Эти дополнительные атрибуты называются теневыми. Двумя наиболее распространенными атрибутами из этой категории являются userPrincipalName и proxyAddress. Модуль синхронизации в Microsoft Entra Подключение и облачной синхронизации экспортирует значение в теневой атрибут, а затем идентификатор Microsoft Entra обрабатывает этот атрибут, чтобы вычислить окончательное значение. Подсистема синхронизации также импортирует значения из теневой атрибута, поэтому даже если окончательное вычисляемое значение отличается от точки зрения подсистемы синхронизации, оно может подтвердить исходное значение, экспортируемое. Вы не можете видеть теневые атрибуты с помощью Центра администрирования Microsoft Entra или PowerShell, но понимание этой концепции помогает устранить определенные сценарии, в которых атрибут имеет разные значения в локальной среде и в облаке.
Чтобы лучше понять, как это работает, рассмотрим следующий пример от компании Fabrikam.
У них несколько суффиксов UserPrincipalName (UPN) в локальная служба Active Directory, но только один проверяется в идентификаторе Microsoft Entra.
userPrincipalName
У пользователя есть следующие значения атрибутов в неверифицированном домене:
| Атрибут | Значение |
|---|---|
| userPrincipalName для локальной среды | lee.sperry@fabrikam.com |
| Microsoft Entra shadowUserPrincipalName | lee.sperry@fabrikam.com |
| Microsoft Entra userPrincipalName | lee.sperry@fabrikam.onmicrosoft.com |
Атрибут userPrincipalName — это значение, отображаемое при использовании PowerShell.
Так как реальное значение локального атрибута хранится в идентификаторе Microsoft Entra, при проверке домена fabrikam.com идентификатор Microsoft Entra обновляет атрибут userPrincipalName со значением из shadowUserPrincipalName. Вам не нужно синхронизировать изменения из Microsoft Entra Подключение или облачной синхронизации для обновления этих значений.
proxyAddresses
То же самое, только с учетом проверенных доменов, происходит с proxyAddresses, но с добавлением некоторой дополнительной логики. Проверка проверенных доменов происходит только для пользователей почтовых ящиков. Пользователь, поддерживающий почту, или контакт представляет пользователя в другой организации Exchange, и вы можете добавить в эти объекты любые значения в proxyAddresses.
Для пользователя почтового ящика, размещенного в локальной среде или Exchange Online, отображаются только значения для проверенных доменов. Это выглядит следующим образом.
| Атрибут | Значение |
|---|---|
| proxyAddresses для локальной среды | SMTP: smtp: smtp:abbie.spencer@fabrikamonline.com smtp:abbie.spencer@fabrikam.com abbie@fabrikamonline.com |
| proxyAddresses для Exchange Online | SMTP: SMTP: SIP: SIP:abbie.spencer@fabrikamonline.com abbie@fabrikamonline.com abbie.spencer@fabrikamonline.com |
В этом случае smtp:abbie.spencer@fabrikam.com был удален, так как этот домен не проверен. Но служба Exchange также добавила SIP:abbie.spencer@fabrikamonline.com. Fabrikam может не использовать локальную lync/Skype для бизнеса, но идентификатор Microsoft Entra и Exchange Online готовятся к нему.
Эта логика proxyAddresses называется ProxyCalc. ProxyCalc вызывается при каждом изменении пользователя, когда:
- Пользователь получает план обслуживания, который включает Exchange Online, даже если пользователь не был лицензирован для почтового ящика Exchange. Например, если пользователю назначен номер SKU Office E3, но выбрана только служба SharePoint Online. Это условие верно, даже если почтовый ящик пользователя по-прежнему находится в локальной среде.
- Атрибут msExchRecipientTypeDetails имеет значение.
- Пользователь изменил proxyAddresses или userPrincipalName.
Процесс ProxyCalc очищает адрес, если ShadowProxyAddresses содержит неверифицированный домен, а пользователь имеет одно из следующих свойств.
- У пользователя есть лицензия с включенным планом типа службы EXO (за исключением MyAnalytics).
- Для пользователя задан параметр MSExchRemoteRecipientType (не NULL).
- Пользователь считается общим ресурсом.
Пользователь считается общим ресурсом, если его атрибут CloudMSExchRecipientDisplayType имеет одно из следующих значений:
| Отображаемый тип объекта | Значение (десятичное) |
|---|---|
| MailboxUser | 0 |
| PublicFolder | 2 |
| ConferenceRoomMailbox | 7 |
| EquipmentMailbox | 8 |
| ArbitrationMailbox | 10 |
| RoomList | 15 |
| TeamMailboxUser | 16 |
| GroupMailbox | 17 |
| SchedulingMailbox | 18 |
| ACLableMailboxUser | 1073741824 |
| ACLableTeamMailboxUser | 1073741840 |
Примечание.
CloudMSExchRecipientDisplayType не отображается на стороне идентификатора Microsoft Entra и может просматриваться только с помощью командлета Exchange Online Get-Recipient.
Пример:
Get-Recipient admin | fl *type*
ProxyCalc может занять некоторое время для обработки изменений для пользователя и не синхронно с процессом экспорта Microsoft Entra Подключение.
Примечание.
Логика ProxyCalc содержит дополнительные режимы для более сложных сценариев, которые не описаны в этом разделе. Этот раздел предоставлен для понимания поведения и не содержит описания всей внутренней логики.
Значения атрибутов, помещенных в карантин
Теневые атрибуты также используются при наличии повторяющихся значений атрибутов. Дополнительные сведения см. в разделе Синхронизация удостоверений и устойчивость повторяющихся атрибутов.