Понимание массовых обновлений пользователей при верифицированных изменениях домена

В этой статье описывается распространенный сценарий, в котором журналы аудита отображают множество UserPrincipalName обновлений, активируемых проверенным изменением домена. В этой статье объясняются причины и аспекты обновлений, касающихся UserManagement, в журналах аудита, которые происходят во время подтвержденных изменений домена. В этой статье содержится подробное представление о внутренней операции, которая активирует изменения массовых объектов в идентификаторе Microsoft Entra.

Симптомы

Журналы аудита Microsoft Entra показывают, что в моем клиенте Microsoft Entra произошло несколько обновлений пользователей. Сведения о субъекте для этих событий пусты или отображаются как нет данных.

Массовые обновления включают изменение домена UserPrincipalName, который был изменён с предпочтительного домена организации на суффикс домена по умолчанию *.onmicrosoft.com.

Пример сведений журнала аудита

Дата действия (UTC): 2022-01-27 07:44:05

Действие: Обновление пользователя

Тип субъекта: другой

УПН актера: н/д

Состояние: успех

Категория: UserManagement

Служба: Основной каталог

Целевой идентификатор: aaaaaaaa-bbbb-0000-11111-bbbbbbbbbbbbb

Целевое имя: user@contoso.com

Тип целевого объекта: пользователь

См. полные сведения о записи в журнале аудита в разделе modifiedProperties. В этом разделе показаны изменения, внесенные в объект пользователя. Поля oldValue и newValue показывают изменение домена.

"modifiedProperties":
  "displayName": "UserPrincipalName",
  "oldValue": "[\"user@contoso.onmicrosoft.com\"]",
  "newValue": "[\"user@contoso.com\"]"

Причины

Одна из распространенных причин изменений массового объекта обусловлена несинхронной операцией серверной части. Эта операция определяет соответствующие UserPrincipalName и proxyAddresses, которые обновляются в пользователях, группах или контактах Microsoft Entra.

Цель этой внутренней операции гарантирует согласованность UserPrincipalName и proxyAddresses в идентификаторе Microsoft Entra в любое время. Явное изменение, например проверенное изменение домена, активирует эту операцию.

Например, если добавить проверенный домен Fabrikam.com в клиент Contoso.onmicrosoft.com, это действие активирует операцию серверной части для всех объектов в клиенте. Это событие фиксируется в журналах аудита Microsoft Entra в качестве событий обновления пользователей, предшествующих событию "Добавление проверенного домена".

Если Fabrikam.com была удалена из клиента Contoso.onmicrosoft.com, то всем событиям «Обновить пользователя» предшествует событие «Удалить проверенный домен».

Разрешение

Если вы столкнулись с этой проблемой, вы можете воспользоваться Microsoft Entra Connect для синхронизации данных между локальным каталогом и идентификатором Microsoft Entra. Это действие гарантирует, что UserPrincipalName и proxyAddresses согласованы в обеих средах.

При попытке вручную добавить или сохранить эти объекты, возникает риск выполнения другой внутренней операции, запускающей массовое изменение.

Ознакомьтесь со следующими статьями, чтобы ознакомиться с этими понятиями:

• Население Microsoft Entra UserPrincipalName

• Заполнение атрибута proxyAddresses в идентификаторе Microsoft Entra

Рекомендации

Эта операция серверной части не приводит к изменениям определенных объектов, которые:

• у вас нет активной лицензии Microsoft Exchange
• имеет MSExchRemoteRecipientType значение null
• не считаются общим ресурсом

Когда CloudMSExchRecipientDisplayType содержит одно из следующих значений, это ресурс общего пользования.

• MailboxUser (используется совместно)
• PublicFolder
• ConferenceRoomMailbox
• EquipmentMailbox
• ArbitrationMailbox
• RoomList
• TeamMailboxUser
• GroupMailbox
• SchedulingMailbox
• ACLableMailboxUser
• ACLableTeamMailboxUser

Чтобы создать дополнительную корреляцию между этими двумя разрозненных событиями, корпорация Майкрософт работает над обновлением сведений об субъекте в журналах аудита, чтобы определить эти изменения, активируемые проверенным изменением домена. Это действие помогает проверить, когда произошло проверенное событие изменения домена и началось массовое обновление данных в арендаторе.

В большинстве случаев для пользователей нет изменений, так как их UserPrincipalName и proxyAddresses согласованы, поэтому мы работаем над тем, чтобы в журналах аудита отображались только те обновления, которые привели к фактическому изменению объекта. Это действие предотвращает шум в журналах аудита и помогает администраторам сопоставлять оставшиеся изменения пользователей с проверенными событиями изменения домена.

Углубленный анализ

Хотите узнать больше о том, что происходит за кулисами? Ниже приведен подробный обзор внутренней операции, которая активирует изменения массовых объектов в идентификаторе Microsoft Entra ID. Прежде чем ознакомиться с этим, ознакомьтесь со статьей о теневых атрибутах службы синхронизации Microsoft Entra Connect, чтобы понять атрибуты тени.

ИмяОсновногоПользователя

Для пользователей, использующих только облачные решения, UserPrincipalName устанавливается с проверенным суффиксом домена. При обработке несогласованного UserPrincipalName операция преобразует его в суффикс по умолчанию onmicrosoft.com, например: username@Contoso.onmicrosoft.com

Для синхронизированных пользователей параметр UserPrincipalName имеет суффикс проверенного домена и соответствует локальному значению ShadowUserPrincipalName. При обработке несогласованного UserPrincipalName операция возвращается к тому же значению, что и ShadowUserPrincipalName или, если суффикс домена был удален из клиента, преобразует его в суффикс домена по умолчанию *.onmicrosoft.com .

Прокси-адреса

Для пользователей только облачных сервисов, согласованность означает, что proxyAddresses соответствует суффиксу проверенного домена. При обработке несогласованных proxyAddresses серверный процесс преобразует их в суффикс домена по умолчанию *.onmicrosoft.com, например: SMTP:username@Contoso.onmicrosoft.com.

Для синхронизированных пользователей согласованность означает, что proxyAddresses соответствует значению параметра proxyAddresses в локальной сети (то есть ShadowProxyAddresses). Ожидается, что proxy-адреса будут синхронизированы с ShadowProxyAddresses. Если у синхронизированного пользователя назначена лицензия Exchange, то облачные и локальные значения должны совпадать. Эти значения также должны соответствовать проверенному суффиксу домена.

В этом сценарии серверная операция очищает несогласованные proxyAddresses с непроверенным суффиксом домена и удаляет их из объекта в Microsoft Entra ID. Если этот непроверенный домен будет позже проверен, серверная операция пересчитывает и добавляет proxyAddresses из ShadowProxyAddresses обратно в объект в Microsoft Entra ID.

Примечание.

Для синхронизированных объектов, чтобы избежать того, чтобы логика внутренней работы операций вычисляла непредвиденные результаты, рекомендуется установить proxyAddresses на проверенный домен Microsoft Entra в объекте локальной инфраструктуры.

Связанное содержимое

Атрибуты тени службы синхронизации Microsoft Entra Connect