Microsoft Entra Connect Sync 服務陰影屬性
大部分屬性在 Microsoft Entra ID 中的表示方式與您內部部署的 Active Directory 中相同。 但有些屬性會有特殊處理,因此在 Microsoft Entra ID 中的屬性值可能與 Microsoft Entra Connect 同步的不一致。
陰影屬性簡介
某些屬性在 Microsoft Entra ID 中有兩種表示法。 內部部署值和計算值都會儲存。 這些額外的屬性稱為陰影屬性。 您看到此行為的兩個最常見屬性是 userPrincipalName 和 proxyAddress。 Microsoft Entra Connect 和雲端同步處理中的同步處理引擎會將值匯出至陰影屬性,然後Microsoft Entra ID 處理此屬性以計算最終值。 同步處理引擎也會從陰影屬性匯入值,因此即使最終計算值與同步處理引擎的觀點不同,仍能確認導出的原始值。 您無法使用 Microsoft Entra 系統管理中心 或 PowerShell 來查看陰影屬性,但瞭解此概念可協助您針對屬性在內部部署和雲端中具有不同值的特定案例進行疑難解答。
若要進一步了解行為,請參閱 Fabrikam 的此範例:
![螢幕快照顯示數個範例的 Active Directory UPN 後綴,其中對應的Microsoft Entra Domain 值為 [未新增]、[未驗證] 和 [已驗證]。](media/how-to-connect-syncservice-shadow-attributes/domains.png)
他們在內部部署的 Active Directory 中有多個 UserPrincipalName(UPN)後綴,但在 Microsoft Entra ID 中只有一個被驗證。
使用者主名稱 (userPrincipalName)
使用者具有非驗證網域中的下列屬性值:
| 屬性 | 價值 |
|---|---|
| 內部部署 userPrincipalName(使用者主體名稱) | lee.sperry@fabrikam.com |
| Microsoft Entra shadowUserPrincipalName | lee.sperry@fabrikam.com |
| Microsoft Entra userPrincipalName | lee.sperry@fabrikam.onmicrosoft.com |
userPrincipalName 屬性是您使用 PowerShell 時看到的值。
因為實際的本地部署屬性值會儲存在 Microsoft Entra ID,因此驗證 fabrikam.com 網域時,Microsoft Entra ID 會使用 shadowUserPrincipalName 的值來更新 userPrincipalName 屬性。 您不需要同步處理來自 Microsoft Entra Connect 或雲端同步的任何變更,就能更新這些值。
代理地址
相同的過程不僅適用於包括已驗證網域的情況,也適用於 proxyAddresses,但會有一些額外的邏輯。 驗證網域的檢查只會針對信箱用戶進行。 啟用郵件的使用者或聯繫人代表另一個 Exchange 組織中的使用者,而且您可以將 proxyAddresses 中的任何值新增至這些物件。
對於信箱使用者,不論是內部部署環境還是 Exchange Online 中,只會顯示已驗證網域的值。 看起來可能像這樣:
| 屬性 | 價值 |
|---|---|
| 内部部署代理地址 | SMTP:abbie.spencer@fabrikamonline.com smtp:abbie.spencer@fabrikam.com smtp:abbie@fabrikamonline.com |
| Exchange Online 代理地址 | SMTP:abbie.spencer@fabrikamonline.com smtp:abbie@fabrikamonline.com SIP:abbie.spencer@fabrikamonline.com |
在此情況下,smtp:abbie.spencer@fabrikam.com 已移除,因為該網域未經過驗證。 但 Exchange 也新增了 SIP :abbie.spencer@fabrikamonline.com。 Fabrikam 可能未使用內部部署的 Lync 或商務用 Skype,但 Microsoft Entra ID 和 Exchange Online 已做好準備。
ProxyAddresses 的這個邏輯稱為 ProxyCalc。 ProxyCalc 會在每次使用者變更時被叫用:
- 使用者會被指派一個包含 Exchange Online 的服務方案,即使該使用者沒有 Exchange 信箱的授權。 例如,如果使用者被指派 Office E3 SKU,但只會選取 SharePoint Online 服務。 即使使用者的信箱仍在內部部署,此條件也是如此。
- 屬性 msExchRecipientTypeDetails 具有值。
- 您變更了代理地址(proxyAddresses)或使用者主體名稱(userPrincipalName)。
如果 ShadowProxyAddresses 包含非驗證網域,且使用者已設定下列其中一個屬性,ProxyCalc 程式就會清理位址。
- 使用者已啟用 EXO 服務類型方案授權(不包括 MyAnalytics)
- 使用者具有 MSExchRemoteRecipientType 設定(非 null)
- 用戶被視為共享資源
當使用者的 CloudMSExchRecipientDisplayType 屬性具有下列其中一個值時,使用者就會被視為共享資源:
| 對象顯示類型 | 值 (十進位) |
|---|---|
| MailboxUser | 0 |
| 公共資料夾 | 2 |
| 會議室信箱 | 7 |
| 設備信箱 | 8 |
| 仲裁信箱 | 10 |
| 房間列表 | 15 |
| TeamMailboxUser | 16 |
| 群組信箱 | 17 |
| SchedulingMailbox | 18 |
| ACLableMailboxUser | 1073741824 |
| ACLableTeamMailboxUser | 1073741840 |
注意
CloudMSExchRecipientDisplayType 無法從 Microsoft Entra ID 端看見,只能使用 Exchange Online cmdlet Get-Recipient來檢視。
例:
Get-Recipient admin | fl *type*
ProxyCalc 可能需要一些時間來處理用戶的變更,而且與 Microsoft Entra Connect 導出程式不同步。
注意
ProxyCalc 邏輯對於本主題中未記載的進階案例有一些其他行為。 本主題可供您了解行為,而不會記錄所有內部邏輯。
隔離的屬性值
當有重複的屬性值時,也會使用陰影屬性。 如需詳細資訊,請參閱 重複屬性的恢復能力。