Dela via


Förstå massanvändaruppdateringar under verifierade domänändringar

Den här artikeln beskriver ett vanligt scenario där granskningsloggarna visar många UserPrincipalName uppdateringar som utlöses av en verifierad domänändring. Den här artikeln förklarar orsaker och överväganden för UserManagement-uppdateringar i granskningsloggarna som inträffar under verifierade domänändringar. Artikeln innehåller en djupdykning i serverdelsåtgärden som utlöser massobjektändringar i Microsoft Entra-ID.

Symtom

Microsoft Entra-granskningsloggarna visar att flera användaruppdateringar har inträffat i min Microsoft Entra-klientorganisation. Aktörsinformationen för dessa händelser är tom eller visar N/A.

Massuppdateringarna omfattar att ändra domänen för den UserPrincipalName ändrade från organisationens föredragna domän till standarddomänsuffixet *.onmicrosoft.com .

Exempel på granskningslogginformation

Aktivitetsdatum (UTC): 2022-01-27 07:44:05

Aktivitet: Uppdatera användare

Aktörstyp: Övrigt

Aktörs-UPN: N/A

Status: lyckades

Kategori: UserManagement

Tjänst: Core Directory

Mål-ID: aaaaaaaaaa-bbbb-0000-11111-bbbbbbbbbbbbb

Målnamn: user@contoso.com

Måltyp: Användare

Leta efter avsnittet i den fullständiga informationen i granskningsloggposten modifiedProperties . Det här avsnittet visar de ändringar som gjorts i användarobjektet. Fälten oldValue och newValue visar domänändringen.

"modifiedProperties":
  "displayName": "UserPrincipalName",
  "oldValue": "[\"user@contoso.onmicrosoft.com\"]",
  "newValue": "[\"user@contoso.com\"]"

Orsaker

En vanlig orsak bakom massobjektändringar beror på en icke-synkron serverdelsåtgärd. Den här åtgärden avgör lämpligt UserPrincipalName och proxyAddresses som uppdateras i Microsoft Entra-användare, grupper eller kontakter.

Syftet med den här serverdelsåtgärden säkerställer att UserPrincipalName och proxyAddresses är konsekventa i Microsoft Entra-ID när som helst. En explicit ändring, till exempel en verifierad domänändring, utlöser den här åtgärden.

Om du till exempel lägger till en verifierad domän Fabrikam.com till din Contoso.onmicrosoft.com klientorganisation utlöser den här åtgärden serverdelsåtgärden på alla objekt i klientorganisationen. Den här händelsen registreras i Microsoft Entra-granskningsloggarna som uppdateringsanvändarhändelser som föregås av händelsen Lägg till verifierad domän .

Om Fabrikam.com har tagits bort från Contoso.onmicrosoft.com klientorganisation föregås alla uppdateringsanvändares händelser av händelsen Ta bort verifierad domän .

Åtgärd

Om du stöter på det här problemet kan du dra nytta av att använda Microsoft Entra Connect för att synkronisera data mellan din lokala katalog och Microsoft Entra-ID. Den här åtgärden säkerställer att UserPrincipalName och proxyAddresses är konsekventa i båda miljöerna.

När du försöker lägga till eller underhålla dessa objekt manuellt riskerar du att en annan serverdelsåtgärd utlöser en massändring.

Läs följande artiklar för att bekanta dig med dessa begrepp:

Att tänka på

Den här serverdelsåtgärden orsakar inte ändringar i vissa objekt som:

  • har ingen aktiv Microsoft Exchange-licens
  • har MSExchRemoteRecipientType angetts till Null
  • betraktas inte som en delad resurs

En delad resurs är när CloudMSExchRecipientDisplayType innehåller något av följande värden:

  • MailboxUser (delad)
  • PublicFolder
  • ConferenceRoomMailbox
  • EquipmentMailbox
  • ArbitrationMailbox
  • RoomList
  • TeamMailboxUser
  • GroupMailbox
  • SchedulingMailbox
  • ACLableMailboxUser
  • ACLableTeamMailboxUser

För att skapa mer korrelation mellan dessa två olika händelser arbetar Microsoft med att uppdatera aktörsinformationen i granskningsloggarna för att identifiera dessa ändringar som utlöses av en verifierad domänändring. Den här åtgärden hjälper dig att kontrollera när den verifierade domänändringshändelsen ägde rum och började massuppdateringen av objekten i klientorganisationen.

I de flesta fall finns det inga ändringar i användarna som deras UserPrincipalName och proxyAddresses är konsekventa, så vi arbetar bara med att visa de uppdateringar som orsakade en faktisk ändring av objektet i granskningsloggarna. Den här åtgärden förhindrar brus i granskningsloggarna och hjälper administratörer att korrelera de återstående användarändringarna till verifierade domänändringshändelser.

Djupdykning

Vill du veta mer om vad som händer i bakgrunden? Här är en djupdykning i serverdelsåtgärden som utlöser massobjektändringar i Microsoft Entra-ID. Innan du går in kan du läsa artikeln skuggattribut för Microsoft Entra Connect Sync-tjänsten för att förstå skuggattributen.

UserPrincipalName

För enbart molnanvändare är UserPrincipalName inställt på ett verifierat domänsuffix. När ett inkonsekvent UserPrincipalName bearbetas konverterar åtgärden det till standard-onmicrosoft.com-suffixet, till exempel: username@Contoso.onmicrosoft.com.

För synkroniserade användare är UserPrincipalName inställt på ett verifierat domänsuffix och matchar det lokala värdet, ShadowUserPrincipalName. När ett inkonsekvent UserPrincipalName bearbetas återgår åtgärden till samma värde som ShadowUserPrincipalName eller, om domänsuffixet togs bort från klientorganisationen, konverterar det till standarddomänsuffixet *.onmicrosoft.com .

ProxyAddresses

För enbart molnanvändare innebär konsekvens att matcha proxyAddresses ett verifierat domänsuffix. När en inkonsekvent proxyAddresses bearbetas konverterar serverdelsåtgärden den till standarddomänsuffixet *.onmicrosoft.com , till exempel: SMTP:username@Contoso.onmicrosoft.com.

För synkroniserade användare innebär konsekvens att proxyAddresses matchar det lokala proxyAddresses-värdet (det vill säga ShadowProxyAddresses). ProxyAddresses förväntas vara synkroniserade med ShadowProxyAddresses. Om den synkroniserade användaren har tilldelats en Exchange-licens måste moln- och lokala värden matcha. Dessa värden måste också matcha ett verifierat domänsuffix.

I det här scenariot sanerar serverdelsåtgärden den inkonsekventa proxynLägg till med ett overifierat domänsuffix och tas bort från objektet i Microsoft Entra-ID. Om den overifierade domänen verifieras senare beräknas serverdelsåtgärden om och lägger till proxyAddresses från ShadowProxyAddresses tillbaka till objektet i Microsoft Entra-ID.

Kommentar

För synkroniserade objekt är det bäst att ange proxyAddresses till en Microsoft Entra-verifierad domän på det lokala objektet för att undvika logiken för serverdelsåtgärden från att beräkna oväntade resultat.

Nästa steg

Skuggattribut för Microsoft Entra Connect Sync-tjänsten