Förstå massanvändaruppdateringar under verifierade domänändringar
Den här artikeln beskriver ett vanligt scenario där granskningsloggarna visar många UserPrincipalName uppdateringar som utlöses av en verifierad domänändring. Den här artikeln förklarar orsaker och överväganden för UserManagement-uppdateringar i granskningsloggarna som inträffar under verifierade domänändringar. Artikeln innehåller en djupdykning i serverdelsåtgärden som utlöser massobjektändringar i Microsoft Entra-ID.
Symtom
Microsoft Entra-granskningsloggarna visar att flera användaruppdateringar har inträffat i min Microsoft Entra-klientorganisation. Aktörsinformationen för dessa händelser är tom eller visar N/A.
Massuppdateringarna innebär att ändra domänen för UserPrincipalName från organisationens föredragna domän till standarddomänsuffixet *.onmicrosoft.com.
Exempel på granskningslogginformation
Aktivitetsdatum (UTC): 2022-01-27 07:44:05
Aktivitet: Uppdatera användare
Aktörstyp: Övrigt
Aktör UPN: N/A
Status: lyckades
Kategori: UserManagement
Tjänst: Core Directory
Mål-ID: aaaaaaaaaa-bbbb-0000-11111-bbbbbbbbbbbbb
Målnamn: user@contoso.com
Måltyp: Användare
Leta efter modifiedProperties-avsnittet i den fullständiga informationen i granskningsloggposten. Det här avsnittet visar de ändringar som gjorts i användarobjektet. Fälten oldValue och newValue visar domänändringen.
"modifiedProperties":
"displayName": "UserPrincipalName",
"oldValue": "[\"user@contoso.onmicrosoft.com\"]",
"newValue": "[\"user@contoso.com\"]"
Orsaker
En vanlig orsak bakom massobjektändringar beror på en icke-synkron serverdelsåtgärd. Den här åtgärden avgör vilka UserPrincipalName och proxyAddresses som uppdateras hos användare, grupper eller kontakter i Microsoft Entra.
Syftet med den här serverdelsåtgärden säkerställer att UserPrincipalName och proxyAddresses är konsekventa i Microsoft Entra-ID när som helst. En explicit ändring, till exempel en verifierad domänändring, utlöser den här åtgärden.
Om du till exempel lägger till en verifierad domän Fabrikam.com till din Contoso.onmicrosoft.com klientorganisation utlöser den här åtgärden serverdelsåtgärden på alla objekt i klientorganisationen. Den här händelsen registreras i Microsoft Entra-granskningsloggarna som uppdateringsanvändarhändelser som föregås av händelsen Lägg till verifierad domän .
Om Fabrikam.com har tagits bort från tenanten Contoso.onmicrosoft.com föregås alla Uppdatera användare-händelser av en Ta bort verifierad domän-händelse.
Beslut
Om du stöter på det här problemet kan du dra nytta av att använda Microsoft Entra Connect för att synkronisera data mellan din lokala katalog och Microsoft Entra-ID. Den här åtgärden säkerställer att UserPrincipalName och proxyAddresses är konsekventa i båda miljöerna.
När du försöker lägga till eller underhålla dessa objekt manuellt riskerar du att en annan serverdelsåtgärd utlöser en massändring.
Läs följande artiklar för att bekanta dig med dessa begrepp:
Att tänka på
Den här serverdelsåtgärden orsakar inte ändringar i vissa objekt som:
- har ingen aktiv Microsoft Exchange-licens
- har
MSExchRemoteRecipientTypeställts till null - betraktas inte som en delad resurs
En delad resurs är när CloudMSExchRecipientDisplayType innehåller något av följande värden:
-
MailboxUser(delad) PublicFolderConferenceRoomMailboxEquipmentMailboxArbitrationMailboxRoomListTeamMailboxUserGroupMailboxSchedulingMailboxACLableMailboxUserACLableTeamMailboxUser
För att skapa mer korrelation mellan dessa två olika händelser arbetar Microsoft med att uppdatera aktörsinformationen i granskningsloggarna för att identifiera dessa ändringar som utlöses av en verifierad domänändring. Den här åtgärden hjälper dig att kontrollera när den verifierade domänändringshändelsen ägde rum och började massuppdateringen av objekten i klientorganisationen.
I de flesta fall finns det inga ändringar för användarna eftersom deras UserPrincipalName och proxyAddresses är konsekventa, så vi arbetar med att endast visa de uppdateringar som orsakade faktiska ändringar av objektet i granskningsloggarna. Den här åtgärden förhindrar brus i granskningsloggarna och hjälper administratörer att korrelera de återstående användarändringarna till verifierade domänändringshändelser.
Djupdykning
Vill du veta mer om vad som händer i bakgrunden? Här är en djupdykning i backend-processen som utlöser massobjektändringar i Microsoft Entra ID. Innan du går in kan du läsa artikeln skuggattribut för Microsoft Entra Connect Sync-tjänsten för att förstå skuggattributen.
Användarprincipnamn
För enbart molnanvändare är UserPrincipalName inställt på ett verifierat domänsuffix. När ett inkonsekvent UserPrincipalName bearbetas konverterar åtgärden det till standard-onmicrosoft.com-suffixet, till exempel: username@Contoso.onmicrosoft.com.
För synkroniserade användare är UserPrincipalName inställt på ett verifierat domänsuffix och matchar det lokala värdet, ShadowUserPrincipalName. När ett inkonsekvent UserPrincipalName bearbetas återgår åtgärden till samma värde som ShadowUserPrincipalName eller, om domänsuffixet togs bort från klientorganisationen, konverterar det till standarddomänsuffixet *.onmicrosoft.com .
Proxyadresser
För enbart molnanvändare innebär konsekvens att proxyAddresses måste matcha ett verifierat domänsuffix. När en inkonsekvent proxyAddresses bearbetas konverterar serverdelsåtgärden den till standarddomänsuffixet *.onmicrosoft.com , till exempel: SMTP:username@Contoso.onmicrosoft.com.
För synkroniserade användare innebär konsekvens att proxyAddresses matchar det lokala proxyAddresses-värdet (det vill säga ShadowProxyAddresses). ProxyAddresses förväntas vara synkroniserade med ShadowProxyAddresses. Om den synkroniserade användaren har tilldelats en Exchange-licens måste moln- och lokala värden matcha. Dessa värden måste också matcha ett verifierat domänsuffix.
I det här scenariot korrigerar serverdelsåtgärden de inkonsekventa proxyAddresses som har ett overifierat domänsuffix och tar bort det från objektet i Microsoft Entra-ID. Om den obekräftade domänen verifieras senare, beräknar serverdelsåtgärden om och lägger till proxyAddresses från ShadowProxyAddresses tillbaka till objektet i Microsoft Entra ID.
Anteckning
För synkroniserade objekt är det bäst att ange proxyAddresses till en Microsoft Entra-verifierad domän på det lokala objektet för att undvika logiken för serverdelsåtgärden från att beräkna oväntade resultat.