Microsoft Entra Connect 同步服務陰影屬性
大部分屬性是以它們在內部部署 Active Directory 中的相同方式,在 Microsoft Entra ID 中表示。 但是某些屬性有一些特殊處理,而且在 Azure AD 中的屬性值可能不同於 Microsoft Entra Connect 同步處理。
簡介陰影屬性
某些屬性在 Microsoft Entra ID 中有兩個表示法。 會儲存內部部署值和計算值。 這些額外的屬性稱為陰影屬性。 您會在其中看到此行為的兩個最常見屬性是 userPrincipalName 和 proxyAddress。 Microsoft Entra Connect 和雲端同步中的同步處理引擎會將值匯出至陰影屬性,然後 Microsoft Entra ID 會處理此屬性以計算最終值。 同步處理引擎也會從陰影屬性匯入值,因此即使最終計算值不同,從同步處理引擎的觀點來看,仍可確認匯出的原始值。 您無法使用 Microsoft Entra 系統管理中心 或 PowerShell 來查看陰影屬性,但瞭解此概念可協助您針對屬性在內部部署環境和雲端具有不同值的特定案例進行疑難排解。
若要進一步了解行為,請參閱來自 Fabrikam 的這個範例:
他們在內部部署 Active Directory 中有多個 UserPrincipalName (UPN) 後置詞,但在 Microsoft Entra ID 中只會驗證一個。
userPrincipalName
使用者在未驗證網域中具有下列屬性值:
屬性 | 值 |
---|---|
內部部署 userPrincipalName | lee.sperry@fabrikam.com |
Microsoft Entra shadowUserPrincipalName | lee.sperry@fabrikam.com |
Microsoft Entra userPrincipalName | lee.sperry@fabrikam.onmicrosoft.com |
userPrincipalName 屬性是您使用 PowerShell 時看到的值。
因為實際內部部署屬性值會儲存在 Microsoft Entra ID 中,當您確認 fabrikam.com 網域時,Microsoft Entra ID 會以 shadowUserPrincipalName 的值更新 userPrincipalName 屬性。 您不必同步處理來自 Microsoft Entra Connect 或雲端同步的任何變更,這些值就會更新。
proxyAddresses
僅包含已驗證網域的相同程序也會針對 proxyAddresses 發生,但是具有某些額外邏輯。 針對已驗證網域的檢查只會對信箱使用者發生。 擁有郵件功能的使用者或連絡人代表另一個 Exchange 組織中的使用者,您可以將 proxyAddresses 中的任何值新增至這些物件。
對於信箱使用者,內部部署或 Exchange Online,只會顯示已驗證網域的值。 它看起來如下所示:
屬性 | 值 |
---|---|
內部部署 proxyAddresses | SMTP:abbie.spencer@fabrikamonline.com smtp:abbie.spencer@fabrikam.com smtp:abbie@fabrikamonline.com |
Exchange Online proxyAddresses | SMTP:abbie.spencer@fabrikamonline.com smtp:abbie@fabrikamonline.com SIP:abbie.spencer@fabrikamonline.com |
在此情況下,smtp:abbie.spencer@fabrikam.com 已移除,因為尚未驗證該網域。 但是 Exchange 也會新增 SIP:abbie.spencer@fabrikamonline.com。 Fabrikam 可能不會使用內部部署 Lync/商務用 Skype,但 Microsoft Entra ID 和 Exchange Online 會做好準備。
proxyAddresses 的此邏輯稱為 ProxyCalc。 ProxyCalc 在使用者每次變更時叫用,其時機為︰
- 使用者取得指派的服務方案 (包含 Exchange Online),即使使用者沒有 Exchange 信箱的授權也一樣。 例如,如果使用者已獲指派 Office E3 SKU,但是只會選取 SharePoint Online 服務。 即使使用者的信箱仍然是內部部署,情況也是如此。
- 屬性 msExchRecipientTypeDetails 具有值。
- 您對 proxyAddresses 或 userPrincipalName 進行變更。
如果 ShadowProxyAddresses 包含未驗證的網域,且使用者已設定下列其中一個屬性,則 ProxyCalc 程序會清理位址。
- 使用者透過已啟用 EXO 服務類型方案獲得授權 (不包括 MyAnalytics)
- 使用者已設定 MSExchRemoteRecipientType 集合 (非 Null)
- 使用者不會視為共用資源。
當使用者的 CloudMSExchRecipientDisplayType 屬性具有下列其中一個值時,使用者就會被視為共用資源:
物件顯示類型 | 值 (十進位) |
---|---|
MailboxUser | 0 |
公用資料夾 | 2 |
ConferenceRoomMailbox | 7 |
EquipmentMailbox | 8 |
ArbitrationMailbox | 10 |
RoomList | 15 |
TeamMailboxUser | 16 |
GroupMailbox | 17 |
SchedulingMailbox | 18 |
ACLableMailboxUser | 1073741824 |
ACLableTeamMailboxUser | 1073741840 |
注意
CloudMSExchRecipientDisplayType 無法從 Microsoft Entra ID 端看見,而且只能使用 Exchange Online Cmdlet Get-Recipient 來檢視。
範例:
Get-Recipient admin | fl *type*
ProxyCalc 可能需要一些時間來處理使用者的變更,而且與 Microsoft Entra Connect 匯出程序不同步。
注意
ProxyCalc 邏輯具有本主題中未提及之進階案例的一些額外行為。 本主題是讓您了解行為,而未記載所有內部邏輯。
隔離的屬性值
有重複的屬性值時,也會使用陰影屬性。 如需詳細資訊,請參閱重複屬性恢復功能。