Общие сведения о массовых обновлениях пользователей во время проверенных изменений домена
В этой статье описывается распространенный сценарий, в котором журналы аудита отображают множество UserPrincipalName обновлений, активируемых проверенным изменением домена. В этой статье описываются причины и рекомендации по обновлению UserManagement в журналах аудита, которые происходят во время проверенных изменений домена. В этой статье содержится подробное представление о внутренней операции, которая активирует изменения массовых объектов в идентификаторе Microsoft Entra.
Симптомы
Журналы аудита Microsoft Entra показывают, что в моем клиенте Microsoft Entra произошло несколько обновлений пользователей. Сведения об субъекте для этих событий пусты или отображаются N/A.
Массовые обновления включают изменение домена для UserPrincipalName измененного с предпочтительного домена организации на суффикс домена по умолчанию *.onmicrosoft.com .
Пример сведений журнала аудита
Дата действия (UTC): 2022-01-27 07:44:05
Действие. Обновление пользователя
Тип субъекта: другой
Имя участника-пользователя: N/A
Состояние: успех
Категория: UserManagement
Служба: Основной каталог
Целевой идентификатор: aaa-bbbb-0000-11111-bbb
Целевое имя: user@contoso.com
Тип целевого объекта: пользователь
Полные сведения о записи журнала аудита см. в modifiedProperties разделе. В этом разделе показаны изменения, внесенные в объект пользователя. В oldValue полях newValue отображается изменение домена.
"modifiedProperties":
"displayName": "UserPrincipalName",
"oldValue": "[\"user@contoso.onmicrosoft.com\"]",
"newValue": "[\"user@contoso.com\"]"
Причины
Одна из распространенных причин изменений массового объекта обусловлена несинхронной операцией серверной части. Эта операция определяет соответствующее UserPrincipalName и proxyAddresses обновляется в пользователях, группах или контактах Microsoft Entra.
Цель этой внутренней операции гарантирует согласованность UserPrincipalName и proxyAddresses в идентификаторе Microsoft Entra в любое время. Явное изменение, например проверенное изменение домена, активирует эту операцию.
Например, если добавить проверенный домен Fabrikam.com в клиент Contoso.onmicrosoft.com, это действие активирует операцию серверной части для всех объектов в клиенте. Это событие фиксируется в журналах аудита Microsoft Entra в качестве событий обновления пользователей, предшествующих событию "Добавление проверенного домена".
Если Fabrikam.com удалены из клиента Contoso.onmicrosoft.com, то перед событием "Удалить проверенное доменное" предшествует все события "Обновить пользователя".
Разрешение
Если вы столкнулись с этой проблемой, вы можете воспользоваться Microsoft Entra Connect для синхронизации данных между локальным каталогом и идентификатором Microsoft Entra. Это действие гарантирует UserPrincipalName согласованность и proxyAddresses согласованность в обеих средах.
При попытке вручную добавить или сохранить эти объекты, возникает риск выполнения другой внутренней операции, запускающей массовое изменение.
Ознакомьтесь со следующими статьями, чтобы ознакомиться с этими понятиями:
Рекомендации
Эта операция серверной части не приводит к изменениям определенных объектов, которые:
- у вас нет активной лицензии Microsoft Exchange
- имеет
MSExchRemoteRecipientTypeзначение NULL - не считаются общим ресурсом
Общий ресурс содержит CloudMSExchRecipientDisplayType одно из следующих значений:
MailboxUser(используется совместно)PublicFolderConferenceRoomMailboxEquipmentMailboxArbitrationMailboxRoomListTeamMailboxUserGroupMailboxSchedulingMailboxACLableMailboxUserACLableTeamMailboxUser
Чтобы создать дополнительную корреляцию между этими двумя разрозненных событиями, корпорация Майкрософт работает над обновлением сведений об субъекте в журналах аудита, чтобы определить эти изменения, активируемые проверенным изменением домена. Это действие помогает проверить, когда произошло событие изменения домена и начало массово обновлять объекты в клиенте.
В большинстве случаев изменения пользователей не изменяются как их UserPrincipalName и proxyAddresses согласованы, поэтому мы работаем над отображением только в журналах аудита этих обновлений, которые привели к фактическому изменению объекта. Это действие предотвращает шум в журналах аудита и помогает администраторам сопоставлять оставшиеся изменения пользователей с проверенными событиями изменения домена.
Подробный обзор
Хотите узнать больше о том, что происходит за кулисами? Ниже приведен подробный обзор внутренней операции, которая активирует изменения массовых объектов в идентификаторе Microsoft Entra ID. Прежде чем ознакомиться с этим, ознакомьтесь со статьей о теневых атрибутах службы синхронизации Microsoft Entra Connect, чтобы понять атрибуты тени.
UserPrincipalName
Для пользователей, доступных только для облака, значение UserPrincipalName устанавливается на проверенный суффикс домена. При обработке несогласованного UserPrincipalName операция преобразует ее в суффикс по умолчанию onmicrosoft.com, например: username@Contoso.onmicrosoft.com
Для синхронизированных пользователей параметр UserPrincipalName имеет суффикс проверенного домена и соответствует локальному значению ShadowUserPrincipalName. При обработке несогласованного UserPrincipalName операция возвращается к тому же значению, что и ShadowUserPrincipalName или, если суффикс домена был удален из клиента, преобразует его в суффикс домена по умолчанию *.onmicrosoft.com .
ProxyAddresses
Для пользователей, доступных только для облака, согласованность означает, что proxyAddresses совпадает с суффиксом проверенного домена. При обработке несогласованного проксиAddresses серверная операция преобразует ее в суффикс домена по умолчанию*.onmicrosoft.com, например: SMTP:username@Contoso.onmicrosoft.com
Для синхронизированных пользователей согласованность означает, что proxyAddresses соответствует значению локального проксиAddresses (т. е. ShadowProxyAddresses). Ожидается, что прокси-серверы Будут синхронизированы с ShadowProxyAddresses. Если у синхронизированного пользователя назначена лицензия Exchange, то облачные и локальные значения должны совпадать. Эти значения также должны соответствовать проверенной суффиксу домена.
В этом сценарии серверная операция санирует несогласованный проксиAddresses с суффиксом домена без проверки и удаляется из объекта в идентификаторе Microsoft Entra. Если этот непроверенный домен проверен позже, серверная операция перекомпьютерирует и добавляет проксиAddresses из ShadowProxyAddresses обратно в объект в идентификаторе Microsoft Entra.
Примечание.
Для синхронизированных объектов, чтобы избежать вычисления непредвиденных результатов логики внутренних операций, рекомендуется настроить проксиAddresses на проверенный домен Microsoft Entra в локальном объекте.